安全防護場景與安全報警的：「點、線、面」

0x01 防護場景與防禦

在最近業內同行的交流過程中，發現企業內部除了業務不同，都有類似的安全防護場景，使用的防護系統也趨於統一化，商業產品可能來源於同一廠商，開源產品使用的是相同的技術。一個威脅事件發生在時間軸的先後順序來看，在威脅行為的不同場景階段，一般要使用不同基礎防禦系統防護。我們把攻擊階段簡單的分類：滲透、入侵、破壞、墨跡、逃逸。在不同的階段使用不同的防護產品與其對位。

滲透階段：

在滲透階段最常見的嗅探動作就是掃描，而掃描如果不看payload內容，也可通過觀察訪問頻次與時間的關係，判斷異常掃描行為是否存在。比如：WAF系統可以識別攔截這些掃描行為。

入侵階段：

攻擊者可能通過取得shell或是其它途徑獲取系統許可權，IDS/IPS可以通過監聽讀取系統所在環境中的流量分析異常，當攻擊的payload命中策略，當外鏈通信與威脅庫匹配時，可以發現定位威脅。

破壞階段：

當攻擊者潛伏到系統中，不做敏感動作，不產生威脅流量訪問，就可以很好的隱藏自己。一旦有嚴重的威脅指令行為，或是機器的狀態民動，HIDS就可按預定策略發現破壞行為，並報警。

滅跡階段：

很多惡意腳本都是自刪除的，攻擊者是想不流下蛛絲馬跡，對安全資產監控的手段越多，留下攻擊者痕迹的數據越詳實，日誌中心、數據代理、探針的部署，可以儘可能的發現威脅攻擊的脈絡，管理威脅響應的狀態並跟蹤處理結果。

逃逸階段：

攻擊行為結束，攻擊者想撤離後。就算沒有第一時間實現發現攻擊，我們也可以通過分析攻擊者在各個階段留下的痕迹，溯源攻擊路徑，評估損失，SIM系統可儘早的發現威脅，將危害防患於未然。

針對流量讀取、行為記錄、數據聚合、智能統計，都是在記錄正常行為數據同時，過濾出異常行為的存在。防護策略定義，也是對異常行為的一種定義。拋開事件發生的階段與對應防護系統設定具體不談。安全運維人員，最需要關注和分析的就是安全威脅預警情報，而對大量的安全資產，這個預警情報相對個人的處理能力來說幾乎是海量的，如果組織和抽象這些威脅信息，是安全運維人員不得不面對的問題，下面給出了一定的信息組織原則：安全威脅情報匯聚的「點、線、面」。

0x02 威脅點線面

之前說了，雖然各家公司的業務不同，但安全防護場景接近。我們把防護系統收集的情報，聚合出一副安全總括情報圖，通過這個圖來映射出公司資產環境的總體安全狀態。各個系統的情報輸出是多樣化的，都是自成一體，非有機的數據孤島，我們通過數據結構化，數據聚合，總體上，將威脅情報， 從抽象形式上分成三種形態：點、線、面。

點：

高危威脅預警報警。

線：

關聯資產威脅情報。

面：

頭部威脅信息聚合圖表。

上圖，我們將威脅信息的點線面形式，匯聚到了一起，既可看到，「100、30、20」這種聚合的統計圖表， 又可看到「源IP」到」目地IP」之間的威脅關聯路徑，同時突出的被威脅單元資產。情報預警越及時準確，響應的才能更更快，可以通過點線面的情報組織，感知威脅所處階段。

0x03 面：圖表與數據聚合

面：頭部威脅信息聚合圖表。在生產環境中，我們聚合了各種系統的數據，概況數據的含義，定義異常邊界，「面」的威脅情報，展現了一個大顆粒的系統安全狀態信息，把整千上萬資產設備的數據，經過數據匯聚，形成一副安全鳥瞰圖。 把威脅情報量化，圖表化。用圖表去概括一種常態的趨勢變化，一旦出現異常數據裂變，可以清晰的看到異常數據與正常趨勢的差異，對於大趨勢的明顯異常，這種可視化的方式可以直觀的感受到。每天的威脅日報，各種統計圖表就是這種面的威脅情報的展現。

0x04 線索與回溯與問題

線：關聯資產威脅情報。攻擊者對與資產互動留下的痕迹，形成了一條數據證據鏈路，按這條路徑，可以觀察出攻擊者的具體行為步驟，發現那些資產淪陷。如果從服務之間的訪問路徑來定義分析異常，可預知某些資產之間，是不會發生交互關聯的，一旦交互發生，就是異常行為的出現，典型的是正常的生產服務單元，不會無緣無故的去掃描同網段里的基它機器。我們可以在黑名單中，定義威脅路徑，作為策略發現異常。可以回溯訪問鏈路評估資產損失。圖資料庫就是一種對應的技術落地手段。

0x05 焦點聚焦與高危情報

點：高危威脅預警報警。「面」和「線」都是複數形式的報警情報，在實際的應急處理中，要直接定位到被攻擊資產的所有者。在可見的視野範圍內，誰是小偷掏包者，誰是包的主人， 在偷竊行為還沒有造成損失之前，告警受害者。是精確定位威脅的關鍵點。找到攻擊源和被攻擊者，並且預先就定義出非常態的異常關聯，定義的越苛刻細緻，報警的誤報率越低。給出應急關鍵數據：那個機器被誰攻擊，攻擊是什麼，被攻擊的機器所有者，這種最明確的預警斷言。短息郵件，第一時間發給關鍵人員。

0x06 集中報警與響應

0x07 威脅的集中與跟蹤

安全資產越多，受到攻擊的概率就越大，當有明確的報警，被以「點」的形式體現出來時，接下來面臨的的問題是報警如何匯聚，並且跟蹤狀態。聚合的過程是威脅信息篩選的逆過程，我們將威脅的點信息，變成線性記錄，再把記錄匯聚成一張表，再給表中的記錄加上新的狀態標籤， 這就像在沙子中淘金，在把金子熔成金塊。通過點線面情報集中，有的有的放矢，才不會被淹沒在海量的威脅告警中不著重點。

0x08 總結

在實際的安全運維工程，運用了各種安全子系統，如何面對和處理這些系統產生的告警信息，可以精確的定位威脅是一個課題，在不斷實踐中歸納出這些基本原則，無論是商業產品還是開源項目，對威脅信息的抽象與有效組織，才可以提高應急的響應速度。我們基於這些原則，把握運維人員在威脅事件處理中，與防護系統間的良性互動，不被信息淹沒，相對高效的化風險於未然。

*本文作者：xsecurity，本文屬 FreeBuf 原創獎勵計劃，未經許可禁止轉載。

推薦閱讀：