基礎安全運營平臺是集威脅情報、漏洞檢測、入侵感知、主動防禦、後門查殺、安全基線、安全大腦於一體的綜合安全平臺,承擔着企業抵禦各種網絡攻擊和防範內部風險的重任。
首先通過威脅情報從外部獲取最新的攻擊數據和趨勢,其次通過漏洞檢測統計企業資產並週期性巡檢、修補安全漏洞,再基於入侵感知發現各種網絡、主機、服務的攻擊,隨後通過安全大腦統籌分析和自動化響應,一氣呵成完成互聯網企業的基礎安全運營工作。
一、威脅情報
對於互聯網企業,掌握威脅情報可以幫助公司及時對公網資產面臨的安全威脅進行預警、瞭解最新的威脅動態,實施積極主動的威脅防禦和快速響應策略,結合安全數據的深度分析全面掌握安全威脅態勢,並準確的利用SIEM進行威脅追蹤和攻擊溯源。
1.1 公共情報庫
關於情報的收集,一方面可以從開源情報渠道抓取(如VirusTotal、Cymon等),另一方面可以從內部安全組件獲取(如WAF、NTA),還可以通過批量掃描、DDoS攻擊等渠道獲取。
威脅情報收集梳理框架:GOSINT、Spiderfoot
查詢Whois及歷史DNS信息比較好的工具有:SecurityTrails
查詢綜合性威脅情報比較好的工具有:IBM X-Force Exchange、Crymon
在綜合性互聯網端口查詢、服務統計方面做的比較好的工具有:SHODAN、Censys、FOFA
在惡意文件、URL、域名、MD5的分析方面做的比較好的工具有:VirusTotal
1.2 漏洞預警
很多漏洞發佈往往不會第一時間被錄入CVE漏洞庫,可以通過CMDB統計自己生產環境用到的各種組件,再對相應的官網漏洞頁面和一些黑客發佈漏洞POC的論壇或站點進行監控,一旦有新的漏洞出現便通過郵件或短信通知安全團隊處理。
1.3 信息泄漏
公司管理鬆散的情況下,經常會有員工將代碼上傳到GitHub等平臺,還有一些黑客拖庫後會在暗網上買賣數據,所以需要監控公司的信息泄漏情況。
掃描GitHub信息泄漏的開源工具:Gitrob、小米的x-patrol
對暗網掃描的開源工具有:OnionScan
比較好的綜合分析框架有:AIL
二、漏洞檢測
2.1 網絡漏洞
可以通過對端口直接進行遠程掃描而發現的漏洞,如OpenSSH遠程溢出漏洞、MySQL弱口令等。
常見的網絡漏洞掃描軟件有:Nessus、OpenVAS、Core Impact、Nexpose等
另外還有一些專項掃描工具,如:nmap、zmap、masscan
口令破解工具如:medusha、hydra、Ncrack
2.2 主機漏洞
主要是因爲機器上安裝Linux/Windows系統後不升級導致存在大量的可在本地利用的安全漏洞。
安全合規與漏洞評估軟件有:OpenSCAP
CVE漏洞掃描的開源工具有:cvechecker、cve-checker-tool
針對Java組件庫進行漏洞檢查:OWASP Dependency-Check
針對Javascript和Node.js庫進行漏洞檢查:Retire.js
針對容器漏洞進行掃描:Anchore
2.3 網站漏洞
常見的網站漏洞掃描器有:AWVS、AppScan、WebInspect
常見的網站漏洞掃描器開源的有:Arachni
三、入侵感知
入侵感知技術是一種通過監控一系列與安全相關的異常指標來達到發現入侵目的的手段。
一般可以從被動渠道感知入侵:
1、網絡異常,如DDoS攻擊、異常DNS請求、ARP欺騙
2、主機異常,如暴力破解、反彈shell、系統提權
3、隔離異常,如虛擬機逃逸、容器逃逸
4、應用異常,如命令執行、文件讀寫、SQL注入
也可以從主動渠道來感知入侵:
如蜜罐、誘餌、蜜籤等
3.1 網絡流量分析NTA
常見的網絡流量中的攻擊有:
1、協議隱患,如BGP協議攻擊、CDP協議攻擊、MAC地址欺騙、ARP緩存投毒、DHCP飢餓攻擊等;
2、拒絕服務,如SYN Flood、UDP Flood、NTP反射攻擊、SSDP反射攻擊、DNS反射攻擊等;
3、探測掃描,如IP掃描、端口掃描、漏洞掃描、病毒傳播、挖礦傳播、勒索軟件傳播、暴力破解等;
4、APT和C&C通信,如硬編碼IP域名、DGA隨機域名、DNS tunnel、加密流量分析等;
5、可解密的應用協議攻擊,如HTTP攻擊、SMTP攻擊、MySQL攻擊、SMB攻擊等。
NTA安全產品:
商業的網絡流量分析產品:Greycortex、RSA NetWitness Network、ProtectWise、Moloch等
開源的網絡流量分析產品:Bro、Apache Spot、Stream4Flow、NetCap
開源的高性能負載均衡產品:Katran、DPVS
開源的網絡入侵檢測產品:Snort、Suricata
網絡流量索引回溯分析:Moloch
3.2 主機入侵檢測HIDS
主機層可檢測的入侵威脅有很多,如系統提權、異常登錄、反彈shell、網絡嗅探、內存注入、異常進程行爲、異常文件讀寫、異常網絡通信、病毒後門、安全漏洞、配置缺陷等。
開源產品:OSSEC、Osquery、Elastic/beats、sysdig、Capsule8
在linux下實現進程實時監控主要有如下幾種方法:
1、在應用層通過ld.so.preload劫持glibc的execve函數來實現。開源產品有:exec-logger
2、在應用層通過linux提供的Process Events Connector相關調用來實現。開源產品有:Extrace
3、在應用層通過Linux Audit提供的接口來實現。有Linux內置的auditd服務,開源產品有:Osquery
4、在內核層通過Trancepoint、eBPF或Kprobe來實現。開源產品有:Sysdig、Capsule8
5、在內核層通過Hook Linux Syscall Table的execve函數指針或LSM框架提供的API來實現。有內置的LSM安全模塊,開源產品有:馭龍HIDS、AgentSmith
3.3 欺騙技術
欺騙技術在以往蜜罐技術的基礎上進行了加強,運用了誘餌、蜜籤和自動化蜜網創建等技術。蜜罐又分爲高交互蜜罐和低交互蜜罐,爲了達到較高的迷惑性,欺騙技術通常以高交互蜜罐爲主。
開源蜜罐產品:Honeytrap、OpenCanary
開源誘餌產品:honeybits
開源蜜籤產品:Canarytokens
虛擬機層實現監控的開源軟件:LibVMI、rVMI
四、主動防禦
主動防禦技術通常以保護爲主。在系統默認安全的基礎上加入主動防禦技術通常有助於攔截已知或未知的安全威脅。
4.1 主機入侵防禦HIPS
Linux自帶的安全機制:LSM(Linux安全模塊,Linux security module)
實現方式:AKO(Additional Kernel Observer)使用動態可加載內核模塊(LKM)
開源內核主動防護產品:LKRG(Linux內核運行時保護,Linux Kernel Runtime Guard)
4.2 web應用防火牆WAF
開源產品:ModSecurity(支持Nginx)、OpenStar
基於AI的WAF:Wallarm
開源的反欺詐應用安全產品:Repsheet
DDoS防護的實現:
一般的DDoS都是分層實現的,第一層(前端)可以通過anycast路由協議進行IP的跨地域調度;第二層可以通過硬件或軟件的專用DDoS防護設備進行抵禦;第三層在WAF上做應用層HTTP DDoS防護。
對於第二層防護,可以採用開源的高性能網絡4層負載均衡產品:Katran
對於第三層防護,可以採用開源產品:Tempesta FW應用分發控制器
4.3 運行時應用自保護RASP
與WAF相比,RASP工作在應用程序內部,可以獲取更多的程序運行細節,從而可以解決很多WAF誤報的問題;另一方面,通過與應用程序關鍵函數掛鉤觀察程序行爲,也可以解決基於簽名的WAF產生的攔截繞過問題,所以RASP在攔截黑客攻擊方面強於WAF。但是,在性能、穩定性、DDoS攔截方面,由於傳統WAF是獨立部署的,因此更具優勢。
同時支持Java和PHP的開源產品:OpenRASP
4.4 數據庫防火牆DBF
通過數據庫防火牆可以攔截SQL注入攻擊,對敏感數據脫敏,阻止高危數據刪除操作,記錄並發現違規行爲等。提供了最後一層對SQL注入的安全防護能力。
基於代理模式的開源產品:DBShield、Acre
基於插件模式的開源產品:mysql-audit
五、後門查殺AV
一般後門大致分爲3類:
1、高度隱蔽性後門Rootkit
2、一般性遠程控制後門
3、在web環境下執行的Webshell後門
5.1 Rootkit
Rootkit按作用階段主要分爲3種:應用層Rootkit、內核層Rootkit、引導啓動型Bootkit(底層Rootkit後門)。這三種Rootkit的檢測難度依次遞增。
開源工具:
應用層的Rootkit檢測:rkhunter、chkrootkit
離線內存Rootkit分析工具:Volatility
Rootkit進程隱藏檢測:Linux Process Hunter
全面的Rootkit檢測:Tyton、kjackal
5.2 主機後門
主機後門通常爲一般性的遠程控制應用層後門。這類後門比較多,且往往會和Rootkit技術結合使用。
工具:
Linux後門掃描工具:clamav
開源掃描腳本工具:malscan
開源主機後門檢測工具:binaryalert
開源分佈式掃描工具:klara
開源威脅情報響應和分析工具:rastrea2r
動態分析檢測工具:cuckoo、sandbox
惡意軟件企業級自動化分析框架:stoQ
5.3 webshell
webshell即專門的web後門,通常是通過腳本語言編寫的,靈活性高且易變形。常見的webshell有PHP、ASP、ASP.NET、JSP、Python、Node.js這些類型的後門。
工具:
開源的PHP webshell檢測工具:php-malware-finder
監控文件變動的工具:masc
開源的使用機器學習檢測webshell的工具:MLCheckWebshell
在線webshell檢測平臺:百度的WEBDIR+
六、安全基線
配置安全問題在安全漏洞中佔很大比例,涉及的範圍包括網絡、操作系統、各種應用服務器、數據庫系統等。常見的安全基線包含默認安全配置和安全加固兩部分。
工具:
安全基線模板網站:cisecurity
開源的合規軟件:Lynis、inSpec
開源的持續審計和配置管理平臺:Rudder
七、安全大腦
安全大腦即安全數據的綜合分析與編排自動化響應中心,主要功能包含安全態勢感知(SSA)、安全信息和事件管理(SIEM)、安全編排和自動化響應(SOAR)。
7.1 安全態勢感知
主要部分是安全大腦的前端展示。安全涉及的數據比較複雜且關聯性很強,需要比較好的前端展示框架。
安全大腦需要能夠處理涉及多個實體相互作用且關聯的複雜安全事件,爲此必須綜合運用知識圖譜、圖計算、數據語義化、機器學習等技術才能產生比較好的效果,另外還需要和外部的各種系統(如身份管理和威脅情報等方面的系統)對接,同時還需要安全團隊的不斷改進。
參考:
前端展示框架:Sqrrl
素材網站:SecViz
JS框架:D3.js、vis.js、three.js
7.2 安全信息和事件管理
產品:
SIEM產品:Splunk、QRadar、LogRhythm
智能決策解決方案:Spark、Flink、Storm
大數據存儲和處理項目:Hadoop、ClickHouse
日誌數據索引和查詢項目:Elasticsearch/Elastic Stack、Graylog
開源的日誌安全規則:Sigma
開源的大數據安全解決方案:Elastic、Metron
開源的圖數據庫項目:HugeGraph
安全編排與自動化響應
智能決策的下一步便是安全編排與自動化響應(SOAR)。
產品:
開源的SOAR產品:StackStorm、MozDef(Mozilla防禦平臺)
開源的安全運營編排產品:PatrOwl