如何实现攻击溯源自动化
前言
入侵排查中,如何攻击溯源是一个很关键的环节,是一个收尾阶段,如何做到自动化攻击溯源,则更是技术能力的体现点。
在日常处理入侵事件过程中,用户或者客户主要核心关心两个点:
- 入侵事件解决了吗?(CPU、内存占用率下降了吗?木马清理干净了吗?业务恢复了吗?)
- 黑客是怎么攻击入侵的?(攻击时间轴是什么?)
同时在2B行业中,一份完整的攻击溯源报告交给客户必不可少的。
那么如何在海量的主机、日志和事件报警中寻找蛛丝马迹,去解放人力,去自动化关联分析等,是我们需要去思考的一个方向。当然高级的APT攻击不在此次思考范畴。
0x01 攻击溯源的价值
攻击溯源的价值是什么? 是抓黑客吗?作为企业或者公有云服务商,攻击溯源能带给什么价值?
其实,攻击溯源的主要价值不在于追捕黑客(当然不排查有大规模的黑客组织)。 溯源更大的价值在于:
- 掌握对手,不局限于已知漏洞,发现未知的0day等新型网络攻击行为;比如在野的;
- 掌握攻击者的意图、实力等,针对性采取合适的对策;
- 帮助大客户以及自身梳理和明确下一步安全体系建设的优先级,知道下一步该做什么;
- 掌握大客户以及自身安全体系的薄弱点,做PDCERF模型,从应急到响应,更好地进行防御。
简要来讲:解决攻击从哪来?到哪去?干了什么?
0x02 主机日志收集
/var/log/auth.log
/var/log/lastlog
/var/log/secure
/var/log/cron
/var/log/wtmp
/var/log/message
#定时任务
/var/spool/root
/etc/cron.d/*
/etc/cron.daily/*
/etc/cron.hourly/*
/etc/cron.monthly/*
/root/.bash_history
/root/.ssh/*
/etc/hosts
等
将登陆日志、应用日志、服务日志、进程端口网络、恶意命令等收集,海量大量日志可以通过ELK系统做快速匹配分析。
0x03 自动关联分析
- 多种云产品日志(waf、云镜、云防火墙、堡垒机等)
- 裸奔机(云镜)
- 安全组
- 开放端口快速应用匹配定位
- 主机应用对应日志扫描匹配
- 最新以及历史严重高危漏洞匹配
- 多维数据加工、聚合、可视化,形成攻击者入侵的链路图
0x04 过程还原
- 完整攻击链分类
- WEB入侵
- 勒索病毒
- 挖矿木马
- 后门权限维持
- 主动连接恶意下载源行为
- 黑客视角还原攻击细节
- 攻击时间轴还原攻击过程
- 攻击链路聚合可视化
0x05 黑客画像
- 关联威胁情报
- 识别黑客工具、手段、特征等
- 分析黑客背景、身份、目的等
- 网络侧溯源
- C2
- Whois、DNS解析记录、域名注册信息、特点组织机构
- 网络连接数据
难点和问题:
- 跨国追溯
- 隐私保护、暗网
2.样本侧溯源
- 样本采集
- 代码细节、同源分析
- 时区分析、语言分析
难点和问题:
- 攻击者主动规避可以追溯的点
- 无法验证证据的可信程度
0x06 自动化溯源报告
思考:
威胁分析成熟模型:
level 0:主要依靠自动警报,很少或没有常规数据收集。
level 1:结合威胁情报指标搜索,中等或高水平的常规数据收集。
level 2:遵循他人创建的数据分析程序,高或非常高水平的常规数据收集。
level 3:创建新的数据分析流程,高或非常高水平的常规数据收集。
level 4:自动化大多数可成功分析的业务流程,高或非常高水平的常规数据收集。
要达到level 4,当然这需要一些前提条件:
- 拥有完整的网络基础数据,包括netflow、LB/VPC fow log、pcap等精准的基础网络连接数据
- 拥有完整的端点基础数据,包括进程、网络、软件安装、账号数据等。
- 拥有完整的安全数据,包括主机报警、SOC、防火墙/IDS告警数据,威胁情报告警数据、端点威胁数据等。
对于公有云环境来说,存在以下几个困难:
- 突发事件、资产不稳定
- 海量日志和大流量,投入产出比不高
- 大量的裸奔机
任重而道远
上一篇: Java QRCodeWriter 类使用示例 - 例 1:getQR
下一篇: NVME—PMR
推荐阅读
-
如何实现攻击溯源自动化
-
智能家居:如何实现家庭自动化和智能互动
-
小红书广告投放机制详解,如何利用算法实现全站自动化投放
-
对话NGC蔡岩:从机制创新到价值沉淀,解析DeFi产品开发逻辑 |链捕手 - 真正的DeFi产品首先要有足够的安全性和稳定性,如果能在此基础上有一些功能创新,那就非常好了。像 Uniswap 这样逐渐成为 DeFi 基础架构的产品,可遇而不可求。 链式捕手:固定利率协议之前关注度比较高,但观察下来发现,大部分协议还是类似于传统金融CDO(抵押债务凭证)的玩法,风险系数很高,您如何理解这块业务的价值和风险? 蔡岩:确实有些定息协议类似CDO玩法,背后绑定一个债券,但并不是所有的定息协议都是这样的玩法,像这种CDO玩法的主要代表项目是88mph,背后绑定的是Aave、Compoud这样的借贷协议,在此基础上做定息和浮息债券;像APWine,背后同样是Aave,它会发行期货收益代币来锁定你的收益;Notional本身是做借贷市场的,在此基础上做定息协议。 非 CDO 的玩法,比如 Horizon,更像是一个利率撮合器,背后需要用户通过拍卖产生更合适的目标收益率;像 Saffron、BarnBridge 等是通过风险分级来定义不同的收益率。总的来说,创新还是挺多的。 价值层面是创新和想象力,因为在传统金融领域,比如银行做固定收益证券,或者评级机构给风险分级,这些业务都非常大,利润也很丰厚。而 DeFi 的对口业务给了类似业务很大的想象空间。尤其是固定利率协议的成熟产品不多,尝试各种微创新是很有意义的。 风险程度还是要具体到不同的玩法,比如,在 Aave、Compoud 等借贷协议的固定利率协议背后,如果这些借贷协议受到攻击,与之绑定的固定利率协议也会受损。 同样,如果自己做借贷市场,可能更需要更强的开发能力。再有,如果该程序的机制或参数设计不当,同样会导致协议运行不稳定,并可能造成大量用户清盘。 总的来说,风险在于固定利率协议的设计,这是一个非常复杂的过程,需要不断地尝试和出错。 链式捕捉器:刚刚提到背后是Aave/Compound的固定费率协议风险较大,您认为Aave最大的不确定性和创新点分在哪里? 蔡岩:其实爱钱进一直被认为是走在行业前列的项目,他们的迭代速度非常快,比如率先尝试闪贷、推出新的经济激励模式、推出目前业内首个安全模块、尝试L2解决方案等等。 而在主要的借贷业务上,他们又十分谨慎,比如在抵押率、清算系数等风险参数的设计上相对于其他借贷协议较为保守,并不会存在为了吸引更多借贷资金而降低风险的要求。 与许多 DeFi 项目一样,即使 Aave 进行了多次审计,也无法保证不存在漏洞。前段时间,Aave 刚进入 V2 阶段时,白帽黑客就指出了某个漏洞。 之前的创新点可能是闪电借贷,这是当时业内独一无二的新产品功能,也为 Aave 带来了不少收益。当然,也有人批评闪电贷只能方便黑客实现资金效益的最大化,但工具本身并没有错,未来闪电贷肯定会有更多的应用场景。 其次是安全模块的设计,这有点像项目本身的储备金库,保障项目的安全性,这也是爱维开创的先河。说实话,目前大多数项目都没有做到代币模式的良性或正向运营,也做不到像Aave一样的安全模块,这是一个不小的门槛。 Chaincatcher从某种程度上来说,挖矿模式是DeFi财富效应的根本支撑,但Aave的CEO却说挖矿机制带来的动力是不可持续的,您怎么看这个观点? 蔡岩:"挖矿机制 "不可能失效,因为它是一种激励机制,或者说是项目冷启动的一种方式。但流动性开采亚博体育手机客户端不会一直高涨。比如去年11月的流行性挖矿高APY持续了一两个月就崩盘了,导致DeFi市场大幅回调。 Aave、Uniswap、Synthetix等项目真正爆发进入市值前15名也是在今年2月,我更倾向于这是头部DeFi长期价值的体现。虽然大家都喜欢抢高APY的矿机,但我个人很少参与挖矿,所以我并不觉得流动性挖矿是DeFi的基本面支撑。
-
产品新闻】看全方位消费者运营 Quick Audience 如何实现营销自动化?
-
金融科技的高效省力秘籍:打造全面连接、全景覆盖、智能化的数字化运营体系" - 当下金融科技运营:挑战与机遇共存的时代解读 在快速发展的数字技术和企业数字化转型的大背景下,中国金融科技产业步入了提质增效的新阶段。面对市场的起伏变革与不确定性,金融机构需积极拥抱创新,灵活运用新技术,确保在竞争激烈的市场环境中稳固立足。 - 面临的双重考验: 1. 技术迭代压力:持续跟进行业内的科技革新,掌握新兴工具和平台,时刻应对瞬息万变的市场需求是金融科技运营的一大挑战。 2. 安全与隐私挑战:伴随着网络安全风险加剧和数据泄漏频发,如何强化信息安全体系、防范攻击、维护客户资金及隐私安全显得尤为重要。同时,伴随金融科技公司崛起,个人隐私权保障愈发关键。 - 喜人的发展空间: 1. 提升运营效益与降低成本:借助数字化技术,实现流程自动化、信息整合以及数据分析等,有效提升工作效能并缩减运营成本。 2. 扩大市场份额与增收途径:利用数字化手段拓宽销售渠道,优化用户体验,吸引更多用户并带动收入增长。 3. 加强客户联系与提升满意度:通过数字化科技运营,企业能更好地与客户互动沟通,增强客户信任感与忠诚度。 - 构建金融科技降本增效的核心驱动力:实施“全感知、全链接、全场景、智能”的科技运营体系升级路径
-
如何在OA办公自动化系统中实现数据整合与应用探索
-
如何轻松实现全面防止XSS攻击的流程
-
移动云加强全方位云网保护,守护数字中国发展 - 新增云安全中心涵盖终端安全,整合EDR的查杀、预警、应对及溯源功能,实现终端安全管理一体化。它能迅速定位并处理各类网络威胁,如病毒、入侵和新漏洞,减少人工应对负担。EDR在HVV行动中是关键防护,能在终端建立坚固防线,阻止威胁扩散,并协同其他产品追踪攻击链路。 态势感知全面覆盖监控、审计、运维、评估和预警等多个方面,针对混合云环境,提供统一业务安全管理、全面安全信息收集、智能安全事件关联分析以及系统性能与可用性的全面检测,满足等保标准、安全运营、数据保护和重要时期的保障需求。 云堡垒机推出全新混合云版本,支持混合云、私有云及客户自建平台部署,专为运维资源管理和审计提供安全保障。安全资源池行业版则针对于私有云和行业云,提供定制化的场景化安全合规整体解决方案,并可根据需要提供改造、统一管理、远程更新等一系列配套服务。 共同构建安全、便捷且高效的远程办公环境。
-
如何在保障安全合规的前提下,实现左移测试的高效自动化操作呢?