层出不穷的安全事件使大家意识到,企业安全体系不是部署入侵检测,防火墙等安全设备就够了。企业安全团队在应对越来越复杂的安全态势力不从心。传统安全产品使安全团队淹没在巨量的告警日志中无法自拔,不知所错。安全研究人员围绕着数据收集,数据分析和响应策略提出了很多模型。其中洛克希德马丁提出的攻击链模型对攻击行为给出了比较清晰的刻画,为如何在海量日志里准确的刻画攻击路径及攻击危害提供了思路。ISCM则提出以主动、自动化和基于风险的方法设计安全响应策略。NASA关于基于持续监控制定安全事件响应机制的报告,对如何构建安全运营系统提出了指导。
今年,绿盟科技推出了基于大数据的安全分析系统,本文即是基于数据分析的安全事件响应系统设计探讨。安全团队在某客户部署了这套系统,接收来自若干台入侵防御系统的日志,利用这套系统为客户提供相应的安全分析服务。本文是对在使用这套系统进行安全事件分析的一个案例总结。通过这个过程,对如何构建一个适合于安全团队使用的运维系统做了进一步讨论。
安全数据分析与响应过程分析
从系统的入侵威胁态势图(图1)上,可以看到近期,若干台处于同一子网的服务器发生了多起的攻击事件。攻击的主要类型是暴力破解,如图2。
态势统计图
攻击类型维度的统计态势图
系统列出了最近7天基于IPS告警日志的攻击链分析结果列表,如图3所示。点击列表右侧的详情可以查看其中一条攻击链的分析,如图4所示。
态势统计图
针对单个ip的攻击链分析详情
攻击者尝试登录系统,并进行暴力破解攻击行为,在没有得逞的情况下,对服务器进行了大量的web攻击。由于系统部署时间不长,所以我们还没有对保护的资产对象进行梳理。我们借助绿盟的威胁情报系统试图找出被攻击服务器的相关信息。如图5所示。
绿盟威胁情报系统服务器信息查询结果
根据反向DNS查询,可以得到这个IP地址对应的域名信息,如图6。我们的平台也给出了这台服务器的web指纹信息,如图7。可以看到,这台服务器对应的网站域名,安装了windows服务器,并使用iis7.5对公众提供web服务和ftp服务。我们猜测,网站主要是对公众提供信息服务,而ftp服务主要是用来做业务系统维护。
IP对应域名信息
服务器web指纹信息
进一步下钻原始攻击日志,如图8所示各种暴力猜测。统计数字表明有多个源ip发起了针对服务器上安装的mysql数据库服务器、ftp服务器进行了暴力破解等攻击。虽然从态势图和攻击链分析图上均表明服务器并没有被攻陷,但这些源IP持续的进行攻击显然是恶意行为。系统给出了处理事件的建议,如图所示。在征得客户同意的条件下,在入侵检测系统上对这些源ip进行了封禁。
原始日志统计信息
事件处置建议
安全团队对攻击源ip进行分析,发现所有ip都是来自于IDC的windows服务器,如图10。这些机器可能已经变成了僵尸主机。由于没有更多的数据来源,安全团队无法进行更深入的分析以达到追踪溯源的目的。
攻击源IP的信息
系统设计探讨
从这次分析过程中,我们体会到系统应该有这样的设计目标:使安全团队对安全态势一目了然,提供自动辅助的工具系统来建立近于实时的安全响应策略。以下从三个方面展开系统设计的思考。
态势感知和决策支撑能力
入侵威胁态势可以使安全团队对整体安全状况可以有快速的了解。系统可以告知最近整体的安全态势、趋势如何,管理人员需不需要进行策略的调整优化,资源的调配等等。系统还可以基于数据,做出好看、优美、有用的数据图表,特别是显示安全策略效果方面帮助客户了解到系统的价值所在。
现如今大量的安全设备、系统、地图、地球仪涌现。各种花哨的数据飞来飞去,这不应该是我们重点关注的,我们关注的是这些信息、事件是否真实有效,是否能够帮助用户解决安全问题。
系统应该能够使安全人员快速、准确关注到最为需要关注的事件。基于数据分析的安全事件响应系统,在给用户展示的时候,应能够进行”数据分级”、或优先级分级、用户分级,基于几个关键维度进行分类,以减少各种数据噪音。尤其是在攻击事件较多的情况下,攻击链分析模型虽然对攻击行为做了归并,但仍然需要对攻击事件的危险程度给出系统的判断并引导安全人员进行处理。目前系统实现的攻击链列表,就无法有效的使安全人员区分事件处理的优先级。系统可以告知哪些事件必须要介入,并且自动提供处置的建议。而在背后,实际上系统已经自动处理了若干事件(包括已知的和未知的),自动化处理能力是系统能力的关键一环。
系统应该提供辅助线索式的下钻功能,让分析人员从一个入口就能持续往下挖掘,而不是像传统的系统设计要在不同的功能页面中频繁跳转。
多数据源、多系统自动对接,自动整合能力。
单一系统的能力往往是有限的,正如文中举出的事例,安全事件的复杂性决定了我们在分析、研判安全事件的时候,可能需要对接、整合多个系统的能力。以期系统能够主动的、半自动或自动的进行安全事件响应、防御。响应系统可以自动对接其他数据系统(本文中的威胁情报系统)。系统可以基于告警日志的分析结果,根据目的IP地址,自动通过系统查询、列举出服务器的位置、操作系统、开放的服务、高危的漏洞(例如本例服务器使用的IIS历史上爆出的漏洞如雷贯耳)等信息,以供运维人员参考。系统还应该能接收来自主机的日志,本例只有来自入侵检测设备的日志,如果系统可以获得服务器的相关信息(例如事件日志、安全补丁情况),就能做更为有效的关联分析,使攻击链完整性和准确性提高,安全策略效果评估更有效。在处理DDoS攻击事件时候,可以自动对接DDoS态势系统,以帮助用户了解整个DDoS事件的全局态势。
系统本身应该是开放的,可以借助更多其他安全数据能力。引入开放合作的威胁情报可以有效提高对攻击IP的分析能力。例如系统可以设计获取不同安全厂商提供的威胁情报能力。系统可以设计使用开放的接口与运营商或者其他安全厂商的系统进行对接,取得相当程度的攻击溯源分析能力。
当多系统,或者说多情报系统对接完毕后,各种能力的关联整合是较为核心的环节,需要有经验的安全从业人员共同出力,将个人经验、团队经验程序化、机器化,衍生为更有效率的生产力,这些部分还有很多想象空间。
提供支撑安全响应策略体系的能力
系统应该为安全团队提供持续监控的能力。系统对安全人员进行事件处理后的效果进行评估并及时反馈给安全人员。系统应该结合风险评估系统持续性的对服务器脆弱性进行评估。
结语
本文对使用安全分析系统进行安全数据分析和响应过程做了讨论,并对系统如何满足安全运维需求进行了设计方面的初步探讨。企业安全体系的构建是个复杂的系统工程,该系统仍然有许多需要完善的地方,期待更多的人可以参与讨论。
英文链接:https://blog.nsfocus.net/discussion-on-designing-a-security-incident-response-system/
如果您需要了解更多内容,可以
加入QQ群:486207500
直接询问:010-68438880-8669