/ Enterprise Securty

打造免费企业安全:便宜没好货吗?(一)

(写在前面:本文原文发于ENDGAME BLOG, 虽然是2016年的帖子系列,但译者相信这里面还是有一些细节值得借鉴。)

当依赖于已知IOC的安全实践逐渐开始失效,业界开始流行使用的词语开始变成”就当做已经被攻破“。太多的时候,直到第三方发现入侵并通知相关方,大多数入侵都从眼皮底下溜过。除了使用基于标志的解决方案或者等到令人尴尬的第三方告知,网络安全保卫者们需要”把自己的系统当做已被攻破“,并且,当针对性的APT攻击越来越流行,保卫者们必须超越搜索已知IOC的做法,开始在网络中对那些未知的入侵进行搜寻。

追踪未知威胁是非常具有挑战的,身为一种新的名词,它代表的事物也许下一秒就变化了。也许有人会觉得这种搜寻已经超出了他们的人手和资源能力范围。所以,防御者需要强大的工具从堆积如山的数据中筛选,快速侦测出安全事件。那些强大的商业安全产品无疑让那些有机会使用他们的人如虎添翼,但是信息安全预算是有限的,再重视信息安全的公司,也不会无限制的购买所有看起来很美的安全产品。那么这就到了我们这次要说的重点,如何在成本和安全中寻找到折衷的解决方法:便宜也是有好货的!

IOC搜索的弊端

网络安全层面的安全,传统来讲,涉及对IOC(安全事件特征标志,Indicator of Compromise)的搜寻,例如已知恶意域名、黑名单IP或者CIDR地址段,或者依赖类似于Snort和Bro的工具来寻找流量中的特征标志,但随着恶意软件编写者技巧不断更新,对手的网络基础设施情况不断变化,不断变的越来越类似于合法的服务,使用网络IOC来检测威胁开始变的越来越难和失效。换句话说,网络IOC搜索方式在迅速被淘汰。攻击者也在密切监视他们自己的网络资产情况,一旦发现某个IP/IP段被阻拦,他们就换个出口。有的攻击者甚至对他的基础设施按目标做隔离,减少了我们对IOC进行关联的价值。

云计算为IOC搜寻的困难可以说是火上浇油。攻击者非常轻易就能搞到这些云提供商上的公网IP地址,同样新的顶级域名提供商为了收入很少会对注册者做正规的背景核查,WHOIS隐私保护服务也为查询带来了极大的困难。

因为这些因素,仅仅靠追溯历史来搜寻已知威胁已经不够,防御者需要一种更巧妙的方法,通过搜寻”信号和模式“,防御者也许能定位到真正的威胁,制订的应急响应流程才能真正发挥作用。

利用被动DNS搜寻

被动DNS在识别这种信号模式上尤其有用,其是利用被动聆听DNS请求记录的方式,在本地重组DNS流量,Florian Weimer大牛早在2005年第17届FIRST大会上就演示了利用被动DNS减缓Botnet传播。从那时起,一批安全公司就开始在互联网各处安插被动DNS传感器,利用接受到的数据产生威胁情报。

被动DNS传感器,实质上就是抓取端口53之间的流量,并且拼接这些消息成为完整的DNS查询的过程。我们测试了以下两种开源传感器:

  • passiveDNS
  • sie-dns-sensor
    我们只收集迭代的DNS查询,如图所示:

    这些传感器内嵌TCPDUMP,可以被放置在任意位置。不过最好的位置依旧是放在本地的递归DNS服务器上,或者在旁路上。

当被动DNS数据收集下来以后,可以使用Kafka这样的消息队列来协调传感器发布的数据。

广义地,收集的数据有三种用途:

1.数据沉积以备后续分析

依据用例的不同,可以将数据存储在HDFS中以备后续大规模批量查询,或者,更简单一点的方法是使用ELK来进行搜索和趋势分析,外点检测等。

2.监测

监测各种不同的DNS数据,像NXdomain响应的数量,查询类型分类,查询总量,用户查询的数量,或查询顶级域名的分布等等都可以对理解按时/天/周的趋势有巨大的帮助。像类似于Graphite这样的应用可以依照数据生成不同的图表和分析。允许我们主动的鉴别任何异常。

3.实时威胁搜索

这种用途较为复杂,构造一些消费者,我们可以实时的对到达的数据进行处理,检测实时威胁,并且持续的寻找流量的规律和外点检测。
利用karios这样的库,我们可以进行复杂的时序分析。

下一步

当架构搭建好,数据收集完毕,真正的分析就可以开始了,在下一篇文章中,我会开始分析如何利用这些数据分析新注册的域名,FastFlux技术和DGA(域名产生算法)恶意软件。


博主将Endgame在SANS威胁追踪和应急响应峰会之后发布的文章分三篇译于此。
本文译自:ENDGAME BLOG