首頁 > 關于我們 > 新聞動態 > 產品動態

“攻擊者有沒有來,來了走沒走,走了又帶走了什么?”網絡安全哲學問題讓它幫你解決!

發布時間 2018-05-31

三大終極哲學問題“我是誰?我從哪里來?我要到哪里去?”這個問題誰也沒有辦法給出標準答案,但關于網絡信息安全的幾大問題,有個產品可以給出非常精準的答案。
 
●攻擊者有沒有來?
●攻擊者是誰?
●來了走沒走?
●走了又帶走了什么?
●誰(Who)在什么時間(When)、什么地方(Where)、執行了什么操作(What)?
 
安全圈里關心的這些問題,誰可以給你答案?
 
NTA(網絡流量分析)產品可以!
 
NTA類產品如何發現攻擊?
 
流量有南北向流量,東西向流量,同樣攻擊也分為外網到內網的攻擊,內網橫向滲透攻擊,而攻擊的直接載體就是失陷主機。

 
●攻擊過程:對于攻擊者來說,需要做的是肉雞制造->保持控制->下發命令。(對肉雞制造,保持控制,下發命令的詳細解釋請參見后文專有名詞解析)


●失陷主機發現:發現失陷主機是發現攻擊,減少損失的關鍵!

●攻擊者有沒有來(入站監測)?——網絡嗅探或者口令暴力破解,在流量上會有端口分散度,IP分散度異常的流量行為特征。

●攻擊者是誰?——對于流量分析設備來說,提取流量中必要的元數據和情報進行碰撞匹配,同時通過流量記錄來串接出攻擊鏈路,找到攻擊源,是發現攻擊者的一個有效手段。

●攻擊者走沒走?——端口上的回連操作,需要對內網資產(不僅僅是重要的業務系統)的端口使用分布情況,端口服務類型進行持續的監測,形成端口使用基線,只要出現有回連操作行為方式的流量就觸發相應的告警。

●攻擊者帶走了什么(出站監測)?——一般來說,DNS的53端口是防火墻不會封堵的端口,那么利用DNSTuning隧道來拖拽竊取到的數據確實是一個不錯的選擇。對DNS服務器的流量與連接進行持續的監測和可疑字段檢測,并記錄DNS的所有可疑數據包是目前流量分析設備可以提供的一個有效取證手段。
 
NTA類產品常用場景有哪些?
 
NTA產品一方面用于流量趨勢分析,威脅分析,惡意行為監測,另一方面NTA通過流量梳理與分析,為網絡管理者進行網絡規劃與優化、網絡監控等工作提供數據倉庫。無論是流量趨勢分析還是惡意流量檢測,很重要的一點是網絡取證能力。




下圖為流量分析產品常見的應用場景,同時標注了此場景體現出的流量分析設備的價值點。


 
上述場景在不同的行業,不同用戶處有不同的名稱。
 
 
金融行業,對失陷主機的分析也會稱為主機信譽分析(被金融行業用戶稱為“信譽庫”的特征庫是一種特殊的威脅情報庫)。
 
有些場景是特定行業特別關注的,比如流量超常,SYNFLOOD,UDPFLOOD等常規DDOS攻擊,對攻擊源或僵尸機的溯源是運營商用戶關注的焦點。
 
NTA是什么?
啟明星辰NTA從哪里來?
到哪里去?
 
NTA,即網絡流量分析(Networktrafficanalysis),通過監控網絡流量、連接和對象來識別惡意的行為跡象。打個比方,它就是流量攝影師——痕跡記錄者,記錄流量的每一刻行為,每一步軌跡。而NTA正是通過監測這些“網絡流量,連接,對象”來識別繞過了傳統邊界防護設備的高級攻擊。(對網絡流量,連接,對象的詳細描述請見后文專有名詞解析)
 
啟明星辰的NTA產品TSOC-NBA能夠監測完整的網絡數據包以及常用的xFlow協議的FLOW數據,利用多種智能模型,從空間維,時間維,特征維來分析流量、連接和對象,來可視化流量現狀,梳理訪問關系,展示流量隨時間變化趨勢。利用自適應的基線學習模型來發現異常流量,通過邏輯關聯,統計關聯技術將內存中的流量數據,存儲中的流量記錄形成流量的實時審計和歷史關聯。通過自動化,半自動化的分析機制來梳理網絡秩序,同時快速發現,準確定位惡意的行為。




前些日子,我們對啟明星辰的NTA(網絡流量分析)產品的進行了全面的說明,看,NTA(網絡流量分析)產品如何演化、創新、固安全。文章提及了國際權威機構Gartner對NTA類產品的解讀,闡述了啟明星辰第三代NTA產品TSOC-NBA進階成一款集流量可視化和追溯取證功能于一身的流量分析產品的歷程。
 
怎么樣,你get到了嗎?

 

專用名詞解析
 
失陷主機:攻擊者也叫它肉雞,在攻擊者的眼中,有的肉雞是攻擊工具,比如發動所有肉雞向特定服務系統發起HTTP請求,DNS請求,UDP請求,SYN請求,實施DDoS攻擊;有的肉雞是他們的“跳板”,是他們的“內部數據倉庫”,持續地提供服務器機密數據;有的肉雞就是他們的提款機,加密肉雞內部文件后,等肉雞主人乖乖支付比特幣。
 
肉雞制造:網絡嗅探是肉雞制造的第一步,而端口是關鍵,網絡攻擊就是在特定主機的特定端口上傳輸的惡意流量,有些端口是切入被攻擊網絡的入口,比如完全明文傳輸的TELNET服務的23端口,比如有很多漏洞的FTP服務的21端口。有些端口適合數據拖拽,從被攻擊網絡中傳出機密數據,比如DNS服務。有的端口適合內網橫向滲透,比如NSA網絡軍火庫中的永恒之藍利用的445端口探測活躍主機,比如161端口上的snmp服務,可以提供網絡中各種設備的狀態信息,139端口也是黑客掃描的重點端口。
 
保持控制:回連操作也叫與控制主機的心跳連接,這個連接端口的建立就比較隨機了,一些黑客會使用比較容易記憶的端口,比如連續的數字5678,重復的數字7777。一些黑客會使用隨機算法生成隨機端口,這些非常見的端口出現有規律的流量時,就需要重點關注了。
 
下發命令:也稱為C&C指令,C&C服務器的指令通常變化多端,而我們可以分析的是C&C服務器,C&C分為幾種:硬編碼的IP地址,域名,隨機DGA域名,多層高級混合C&C網絡,一個比一個復雜,一個比一個難以偵測。
 
網絡流量:物理上指的是傳輸鏈路上流淌的0,1比特流,在邏輯上被協議棧區分為TCP/IP協議棧的鏈路層,網絡層,傳輸層,應用層的流量,而對網絡流量的監測維度可包括整體的流量指標,比如平均包長,平均流量,帶寬大小等等。也可指向特定的主機,包括單IP的發送流量,接收流量,端口流量分布等等。
 
連接:可理解為防火墻里的會話,比如TCP連接,UDP連接,比如一個包括控制通道和數據通道的FTP下載文件的連接,一個DNS查詢與應答的連接,網絡流量分析更多關注的是連接關系;
 
對象:被連接關系所直接關聯的就是“對象”,對象可以是特定的業務系統,也可以是某個業務區域,抑或是路由器,交換機。

下一篇