隨著IT技術(shù)和通信技術(shù)的發(fā)展,網(wǎng)絡(luò)環(huán)境日趨復(fù)雜���,云計(jì)算和虛擬化等技術(shù)應(yīng)用使得主機(jī)邊界��、網(wǎng)絡(luò)邊界變得更加動(dòng)態(tài)和模糊�,網(wǎng)絡(luò)攻擊日漸頻繁����,隱蔽性、持續(xù)性等高級(jí)網(wǎng)絡(luò)威脅明顯增多��,傳統(tǒng)的單體防御已難以滿足安全防護(hù)需求���,通過攻擊之前態(tài)勢(shì)感知的應(yīng)用日志分析及安全設(shè)備的聯(lián)動(dòng)防御加強(qiáng)網(wǎng)絡(luò)防護(hù)能力的呼聲越來越高�����。
電力能源行業(yè)網(wǎng)絡(luò)環(huán)境都存在一定的復(fù)雜性,不同的業(yè)務(wù)部署了各類的Web應(yīng)用����;在數(shù)據(jù)層、網(wǎng)絡(luò)層以及應(yīng)用層等網(wǎng)絡(luò)信息系統(tǒng)中的各個(gè)環(huán)節(jié)配置了具有專門功能的防護(hù)安全設(shè)備����。這些安全防護(hù)設(shè)備不僅涵蓋基本的防火墻�����、防病毒�����、數(shù)據(jù)庫審計(jì)等��,也包含較新攻擊特征的防御系統(tǒng)���,如抗拒絕服務(wù)系統(tǒng)、高級(jí)持續(xù)性威脅防御系統(tǒng)等���。但是現(xiàn)有的防護(hù)手段依舊無法滿足用戶更及時(shí)準(zhǔn)確的把握攻擊者動(dòng)向的迫切需求�。
盛邦安全通過多年來對(duì)電力能源行業(yè)安全事件的分析及處置經(jīng)驗(yàn)得出��,95%以上的攻擊者會(huì)通過掃描工具�,針對(duì)系統(tǒng)的數(shù)據(jù)庫、后臺(tái)管理地址����、網(wǎng)頁漏洞等進(jìn)行滲透��,收集目標(biāo)系統(tǒng)的信息����。與此同時(shí)�����,被掃描的系統(tǒng)日志上會(huì)留下掃描記錄以及異常流量信息��。由此可見����,攻擊者在嗅探階段的惡意掃描行為是可以通過日志、流量提前預(yù)知的����。
入侵防御系統(tǒng)的核心可以理解成漸進(jìn)明晰的過程。通過日志告警���、異常流量警報(bào)等安全設(shè)備獲取的數(shù)據(jù),通過數(shù)據(jù)分析進(jìn)行事件分析�����,進(jìn)一步實(shí)現(xiàn)對(duì)未知威脅的預(yù)測(cè)?��;趩蝹€(gè)系統(tǒng)的事件預(yù)警是通過攻擊者對(duì)目標(biāo)系統(tǒng)的嗅探攻擊���,實(shí)時(shí)采集分析應(yīng)用層日志以及告警事件,實(shí)時(shí)監(jiān)控系統(tǒng)的安全性���。當(dāng)系統(tǒng)開始遭遇惡意掃描�、暴力破解等行為時(shí)���,入侵防御系統(tǒng)將立即啟動(dòng)告警機(jī)制��,并及時(shí)通過短信����、郵件等多種途徑發(fā)送告警信息�。
入侵防御系統(tǒng)基于應(yīng)用層日志、流量告警事件可劃分為3個(gè)階段:未知威脅發(fā)現(xiàn)�、威脅事件判定、威脅事件告警��。
攻擊者入侵系統(tǒng)前,首先要通過嗅探攻擊進(jìn)行信息收集��,95%的攻擊者是會(huì)利用掃描工具對(duì)目標(biāo)系統(tǒng)的后臺(tái)管理地址���、數(shù)據(jù)庫���、網(wǎng)頁漏洞等進(jìn)行掃描,通過試探性攻擊分析確定系統(tǒng)的薄弱點(diǎn)����,為后續(xù)的入侵攻擊尋找目標(biāo)。攻擊者在信息收集時(shí)通常使用掃描器或構(gòu)造特殊的HTTP請(qǐng)求等��,使得服務(wù)器端的應(yīng)用程序返回一些錯(cuò)誤信息或系統(tǒng)運(yùn)行環(huán)境的信息����,從而獲取Web服務(wù)器和應(yīng)用程序指紋信息、后臺(tái)應(yīng)用程序信息等����。但同時(shí)攻擊者執(zhí)行的一系列操作都會(huì)在系統(tǒng)日志上形成一條條的日志記錄以及異常流量告警信息。
日志信息��、流量信息是相互關(guān)聯(lián)但又相互孤立的數(shù)據(jù)��。單純的通過對(duì)流量的分析不能準(zhǔn)確定位每條預(yù)警的有效性,而結(jié)合日志信息進(jìn)行關(guān)聯(lián)分析�����,可以在攻擊者剛剛有所行動(dòng)時(shí)就將攻擊行為扼殺在搖籃之中�����。通過構(gòu)建大量的基于惡意掃描����、滲透爆破等行為模型��,針對(duì)不同的惡意攻擊依據(jù)模型�����,更精準(zhǔn)地判定事件��,將攻擊形式�、對(duì)系統(tǒng)的數(shù)據(jù)庫、中間件或者是管理后臺(tái)地址等各種層面的攻擊及時(shí)�����、準(zhǔn)確地進(jìn)行預(yù)警,為威脅處置�����、及時(shí)響應(yīng)提供具有針對(duì)性的依據(jù)��。
入侵防御系統(tǒng)通過對(duì)可疑行為的分析�、判定得出結(jié)論之后,及時(shí)告知管理員發(fā)現(xiàn)可疑入侵行為��,并提供簡(jiǎn)單的處置建議�。入侵防御系統(tǒng)能夠在及時(shí)定位到發(fā)生威脅的單個(gè)系統(tǒng),在攻擊者還未對(duì)目標(biāo)系統(tǒng)發(fā)起攻擊前就采取相應(yīng)的防御手段���,將大大減少系統(tǒng)被入侵的風(fēng)險(xiǎn)��。
無論網(wǎng)絡(luò)安全技術(shù)多強(qiáng)�、多新都無法保障網(wǎng)絡(luò)運(yùn)行的絕對(duì)安全����;不論系統(tǒng)的漏洞修復(fù)程度及加固工作做到何種程度,總有更高超的攻擊者從意想不到的地方實(shí)施入侵�����;所以,不能單純的以加固的方式去考慮防御�����,可以換個(gè)思路�,從攻擊者的入侵行為去分析和入手�����。不論是利用0day漏洞還是常規(guī)漏洞�,攻擊者都會(huì)對(duì)目標(biāo)系統(tǒng)進(jìn)行嗅探攻擊,而這些行為都是可以通過日志信息�、流量信息提前知曉的。知己知彼���,百戰(zhàn)不殆���。立足攻擊者的角度,將威脅事件通過數(shù)據(jù)分析的方式得到攻擊前的“蛛絲馬跡”��,就有機(jī)會(huì)實(shí)現(xiàn)將不可控的未知威脅變成可預(yù)知的威脅預(yù)警�,未雨綢繆,防患于未然����。
