读红蓝攻防:技术与策略26主动传感器
https://img2024.cnblogs.com/blog/3076680/202506/3076680-20250610115236680-770920059.png1. 主动传感器
1.1. 需要主动监控以检测可疑活动和潜在威胁,并基于监控结果采取行动
1.2. 如果没有一个好的检测系统,安全态势就没有彻底完成增强,这意味着要在整个网络中部署正确的传感器以监控活动
1.3. 蓝队应该利用现代检测技术,创建用户和计算机配置文件,以便更好地了解正常操作中的异常和偏差
2. 检测能力
2.1. 由于当前的威胁形势动态性强,变化快,因此需要能够快速调整以适应新攻击的检测系统
2.2. 传统的检测系统依赖于手动微调初始规则、固定阈值和固定基线,很可能会触发过多的误报,这对当今的许多组织来说是不可忍受的
2.3. 技术
[*]2.3.1. 来自多个数据源的数据关联
[*]2.3.2. 画像
[*]2.3.3. 行为分析
[*]2.3.4. 异常检测
[*]2.3.5. 活动评估
[*]2.3.6. 机器学习
[*]2.3.7. 人工智能
2.4. 一些传统的安全控制(如协议分析和基于签名的反恶意软件)仍在防御体系中占有一席之地,但主要用于对抗遗留威胁
[*]2.4.1. 不应该仅仅因为你的反恶意软件没有任何机器学习功能就将其卸载,它仍然是对主机的一级保护
[*]2.4.2. 所有防御的总和形成了一个整体安全态势,它可以通过额外的防御层来增强
2.5. 只关注重点用户的传统防御思维已经无效了,不能再使用这种方法并期望保持有效的安全态势
[*]2.5.1. 当前威胁检测必须跨所有用户账户运行,对它们进行分析,并了解它们的正常行为
2.6. 当将数据与上下文联系起来时,自然会减少误报的数量,并为事件响应团队提供更有意义的结果,以便采取反应行动
2.7. 攻陷指示器
[*]2.7.1. Indicators of Compromise,IoC
[*]2.7.2. 当发现新的威胁时,它们通常会呈现特定的行为模式并在目标系统中留下足迹
[*]2.7.3. IoC可以在文件的散列值、威胁行为者使用的特定IP地址、与攻击类型相关的域名以及网络和主机工件中找到
3. 入侵检测系统
3.1. Intrusion Detection System,IDS
3.2. 问题
[*]3.2.1. 应该由谁来监控IDS?
[*]3.2.2. 谁应该拥有IDS的管理权限?
[*]3.2.3. 如何根据IDS生成的告警处理事件?
[*]3.2.4. IDS的更新策略是什么?
[*]3.2.5. 应在哪里安装IDS?
3.3. 负责检测潜在的入侵并触发告警,告警的处理方式取决于IDS策略
3.4. 基于特征码的IDS将查询以前攻击特征码(足迹)和已知系统漏洞的数据库,以验证发现的是一个威胁以及是否必须触发告警
[*]3.4.1. 由于这是一个签名数据库,因此需要不断更新才能拥有最新版本
3.5. 基于行为的IDS工作原理是根据它从系统中了解到的信息创建模式基线
[*]3.5.1. 一旦它学会了正常的行为,识别与正常活动的偏差就变得更容易了
3.6. IDS告警可以是任何类型的用户通知,用于提醒用户注意潜在入侵活动
[*]3.6.1. 可以是基于主机的入侵检测系统(Host-based Intrusion Detection System,HIDS),其中IDS机制将仅检测针对特定主机的入侵尝试
[*]3.6.2. 可以是基于网络的入侵检测系统(Network-based Intrusion Detection System,NIDS),检测安装了针对NIDS的网段的入侵
3.7. 网段
[*]3.7.1. DMZ/边界
[*]3.7.2. 核心企业网络
[*]3.7.3. 无线网络
[*]3.7.4. 虚拟化网络
[*]3.7.5. 其他关键网段
3.8. 传感器将只监听流量,这意味着它不会过多消耗网络带宽
3.9. 蓝队必须了解公司的限制并帮助确定安装这些设备的最佳位置
4. 入侵防御系统
4.1. Intrusion Prevention System,IPS
4.2. 概念与IDS类似,但顾名思义,它通过采取纠正措施来阻止入侵
4.3. 与IDS可用于主机(HIDS)和网络(NIDS)的方式相同,IPS也可用于HIPS和NIPS
[*]4.3.1. NIPS在网络中的位置非常重要
4.4. 基于规则的检测
[*]4.4.1. IPS会将流量与一组规则进行比较,并尝试验证流量是否与规则匹配
[*]4.4.2. 当需要部署新规则来阻止试图利用漏洞进行攻击时,这非常有用
[*]4.4.3. NIPS系统(如Snort)能够通过利用基于规则的检测来阻止威胁
[*]4.4.4. 使用开源NIPS(如Snort)的优势在于,当遇到新威胁时,社区通常会使用新规则快速响应以检测该威胁
4.5. 基于异常的检测
[*]4.5.1. 异常检测基于IPS分类为异常的内容,这种分类通常基于启发式或一组规则
[*]4.5.2. 它的一种变体称为统计异常检测,它对网络流量进行随机采样并将其与基线进行比较
[*]4.5.3. 如果此样本超出基线,则会引发告警并自动采取操作
5. 内部行为分析
5.1. 仍有许多企业以混合模式运营,其中很多资源仍在内部部署
5.2. 企业将关键数据留在企业内部,而将低风险的工作负载迁移到云端
5.3. 攻击者往往以静默方式渗透到内部网络中,进行横向迁移并提升权限,保持与命令和控制的连接,直到能够执行任务
5.4. 在内部部署进行行为分析是对于快速打破攻击杀伤链至关重要
5.5. 组织可以利用用户和实体行为分析(User and Entity Behavior Analytic,UEBA)来发现安全漏洞
[*]5.5.1. 使用UEBA检测攻击有很多优点,但其中最重要的一点是,能够在早期阶段检测到攻击并采取纠正措施来遏制攻击
[*]5.5.2. 当内部部署有UEBA系统时,系统知道用户通常访问哪些服务器,哪些共享,通常使用什么操作系统来访问这些资源,以及用户的地理位置
5.6. 实体行为分析内容
[*]5.6.1. 在安全研究的基础上对攻击媒介和用例场景进行优先级排序,该研究使用MITRE ATT&CK框架的战术、技术和子技术
[*]5.6.2. 数据源:优先考虑Azure数据源,但也允许从第三方数据源摄取
[*]5.6.3. 分析:利用机器学习(ML)算法等功能来识别非常规活动
5.7. 所有这些关于为什么用户的行为被标记为可疑的信息,对确定用户的活动是否可能对系统构成更大的威胁有很大帮助
5.8. 设备放置
[*]5.8.1. 安装UEBA的位置将根据公司的需要和供应商的要求而有所不同
5.9. 如今,越来越多的公司正在从纯粹的内部运营转向在混合环境中工作,这需要进行更多考量
6. 混合云中的行为分析
6.1. 当蓝队需要创建对策来保护混合环境时,需要扩展他们对当前威胁形势的看法并进行评估,以验证与云的持续连接并检查对整体安全态势的影响
6.2. 长期使用IaaS的用户表示该技术最终会对安全产生积极影响
6.3. 蓝队应该集中精力以提高综合检测能力的地方,其目的是利用混合云功能改善整体安全态势
6.4. 第一步是与云提供商建立良好的合作伙伴关系,了解他们拥有哪些安全功能,以及如何在混合环境中使用这些安全功能
6.5. Microsoft Defender for Cloud
[*]6.5.1. 使用的日志分析代理可以安装在内部计算机(Windows或Linux系统)以及Azure中运行的VM、AWS或GCP中
[*]6.5.2. 利用安全情报和高级分析来更快地检测威胁并减少误报
[*]6.5.3. 在理想情况下,蓝队可以使用此平台,可视化位于不同云提供商的所有工作负载中的告警和可疑活动
[*]6.5.4. 威胁情报
[*]6.5.5. 行为分析
[*]6.5.6. 异常检测
6.6. 安全管理员从一个单一的控制面板上管理位于多个云供应商的资源和本地资源
6.7. 告警是按优先级组织的,有一栏专门用于将告警与MITRE ATT&CK战术进行映射
[*]6.7.1. 它可以让你意识到威胁行为者实际上已经深入组织中
6.8. PaaS工作负载分析
[*]6.8.1. 混合云中,不仅有IaaS工作负载,在某些场景中,实际上使用平台即服务(Platform as a Service,PaaS)工作负载启动迁移的组织也非常常见
[*]6.8.2. PaaS的安全传感器和分析高度依赖云提供商
[*]6.8.2.1. 要使用的PaaS应该具备内置告警系统的威胁检测功能
[*]6.8.3. 在Azure中有很多PaaS,如果依据安全关键性等级对服务进行分类,毫无疑问,任何存储数据的服务都被认为是关键的
[*]6.8.4. 方案
[*]6.8.4.1. Defender for SQL:启用Azure中的SQL威胁检测
[*]6.8.4.2. Defender for Storage:为Azure存储账户启用威胁检测
[*]6.8.4.3. Defender for Containers:为Azure容器注册表和Kubernetes启用威胁检测
[*]6.8.4.4. Defender for App Services:为Azure Web应用程序启用威胁检测
[*]6.8.4.5. Defender for Key Vault:为Azure密钥库启用威胁检测
[*]6.8.4.6. Defender for DNS:为Azure DNS启用威胁检测
[*]6.8.4.7. Defender for Resource Manager:为Azure资源管理器启用威胁检测
[*]6.8.5. 每个Defender for Cloud计划都将根据特定服务的威胁情况提供一组不同的告警
来源:程序园用户自行投稿发布,如果侵权,请联系站长删除
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
页:
[1]