背景分析

隨著網(wǎng)絡攻擊技術(shù)的不斷增強，僅僅利用布置在互聯(lián)網(wǎng)邊界的防護手段，已經(jīng)無法全面地掌握網(wǎng)絡系統(tǒng)內(nèi)部的情況。在網(wǎng)絡安全保障時，當攻擊者突破網(wǎng)絡邊界的防護，進入網(wǎng)絡系統(tǒng)內(nèi)部進行橫向滲透或者指令控制等操作時，安全管理員無法快速直觀地掌握內(nèi)部惡意流量的情況，這樣容易使得攻擊者成功進行內(nèi)網(wǎng)滲透，從而進入重要系統(tǒng)。在日常的安全防范當中，安全管理員既要能夠快速定位攻擊類型和入侵手段，又需要獲得足夠的檢測證據(jù)，以便于準確研判和溯源，因此在安全保障時不僅要求威脅可以防得住、看得見，還需要對攻擊鏈做到全面掌控，實現(xiàn)攻擊溯源。

在實際的安全運維工作中常見的情況會有如下幾點：

1、攻擊預警太多，導致情報泛濫，有用信息被淹沒；

2、存在攻擊告警，但是無法快速查看完整的事件線索，必須前往受害系統(tǒng)查看，十分繁瑣；

3、攻擊事件碎片化、告警分散，難以形成有效的溯源攻擊鏈。

方案概述

通常來講，安全防護類產(chǎn)品可以依賴自身的檢測識別能力來判斷并抵御入侵網(wǎng)絡內(nèi)部的攻擊，但是無法杜絕所有的網(wǎng)絡攻擊，尤其是有針對性的復雜、持續(xù)性攻擊威脅。想要全局化地掌控網(wǎng)絡態(tài)勢，提升整體的安全強度，就需要對全網(wǎng)的流量進行整體的風險監(jiān)測和數(shù)據(jù)分析，不遺漏任何攻擊流量可能出現(xiàn)的角落。

盛邦安全攻擊監(jiān)測專項方案，采用多源融合的分析技術(shù)對網(wǎng)絡流量全貌進行實時感知，結(jié)合威脅情報數(shù)據(jù)及異常行為發(fā)現(xiàn)能力，從分析、關聯(lián)、溯源、降噪、預警、欺騙六個方面來識別攻擊威脅、關聯(lián)入侵路徑、提升檢測準確性、預警未知威脅并誘導捕獲攻擊。一方面利用情報共享機制構(gòu)筑檢測生態(tài)，準確、快速地同步攻擊信息以實現(xiàn)全網(wǎng)快速封堵；另一方面利用攻擊欺騙技術(shù)誘導和捕獲攻擊行為，并獲取溯源取證數(shù)據(jù)，從而形成一套完整的網(wǎng)絡攻擊監(jiān)測體系。

分析：采用安全情報+攻擊特征庫+機器學習算法的方法，實時分析流量中是否存在異常行為或者惡意流量。

關聯(lián)：使用默認或自定義的攻擊鏈模型，對所檢測到的攻擊行為進行關聯(lián)分析，復原攻擊線路或入侵路徑。

溯源：利用入侵軌跡追溯和原始信息鉆取的方式，在監(jiān)測到攻擊行為時，通告可能的威脅來源。

降噪：通過事件上下文線索關聯(lián)的方式進行融合過濾，避免依靠單一特征確定攻擊或異常行為的做法，提升研判準確率。

預警：根據(jù)攻擊鏈模型實時監(jiān)控相應的攻擊節(jié)點，從攻擊者視角判斷當前所處的攻擊階段，并預警下一步可能遭受的威脅行為。

欺騙：利用偽裝欺騙的技術(shù)，在關鍵攻擊線路上部署虛假陷阱資產(chǎn)，誘使攻擊者攻擊偽裝目標，從而對其進行捕獲并做溯源取證。

概括而言，主要的監(jiān)測內(nèi)容包含如下幾類：

信息掃描監(jiān)測：網(wǎng)絡掃描監(jiān)測、弱口令告警監(jiān)測、漏洞掃描監(jiān)測；

網(wǎng)絡異常監(jiān)測：DDoS攻擊檢測、DGA域名檢測、C&C通訊檢測；

威脅情報監(jiān)測：惡意IP檢測、惡意域名檢測、惡意URL檢測、惡意文件檢測；

入侵攻擊監(jiān)測：協(xié)議分析還原、Web安全監(jiān)測、漏洞攻擊檢測；

惡意文件監(jiān)測：木馬監(jiān)測、病毒監(jiān)測、蠕蟲監(jiān)測、Webshell監(jiān)測；

異常鏈接監(jiān)測：惡意外聯(lián)監(jiān)測、遠程控制監(jiān)測、隱蔽通道監(jiān)測。

優(yōu)勢價值

1、提升內(nèi)網(wǎng)威脅監(jiān)控能力。利用后門檢測、外聯(lián)監(jiān)測和隱蔽通道發(fā)現(xiàn)等能力，及時發(fā)現(xiàn)內(nèi)部異常行為，降低內(nèi)部橫向滲透的可能性，降低系統(tǒng)受控風險；

2、提升攻擊預警的準確性。利用關聯(lián)分析和攻擊追溯，降低噪音干擾，掌握關鍵線索，提升攻擊發(fā)現(xiàn)的準確率和預警的有效性。

3、提升風險研判的成功率。利用攻擊鏈模型進行風險程度判定并進行后續(xù)威脅預測，合理的把控真實安全態(tài)勢。

4、提升主動防御的可靠性。結(jié)合蜜罐系統(tǒng)的欺騙防御技術(shù)，干擾攻擊者視線并進行主動誘導，提取溯源證據(jù)并進行有效處置。

安全建議

除了部署攻擊監(jiān)測方案以外，用戶需要建立一套清晰、明確、動態(tài)更新的網(wǎng)絡資產(chǎn)臺賬表，包括：業(yè)務類型、歸屬責任人、網(wǎng)絡環(huán)境和歷史安全記錄等等，這樣在攻擊事件發(fā)生時，才能夠快速定位系統(tǒng)上搭載的業(yè)務信息、找準責任人，及時進行應急處置等相關操作。