哆啦A梦,把你的攻防演练道具交出来! – 作者:斗象科技官方

如果企业有一只哆啦A梦,掏一掏四次元口袋,就能拿到无数神奇道具,不管遇到什么困难,它都能为你解决。那在攻防演练乃至日常安全运营中,企业该省心多少呢?

图片[1]-哆啦A梦,把你的攻防演练道具交出来! – 作者:斗象科技官方-安全小百科

2017年

Gartner的NTA技术理念诞生:监测网络流量,以机器学习等高级分析方法识别恶意或可疑的行为,对试图绕过边界安全的高级攻击方式进行检测分析和溯源取证。

2019年

Gartner认为:随着安全运营中心的发展,海量告警的问题亟待解决。安全运营中心从数据的采集转向对数据的检测分析,以提升告警的精准率和安全运营的效率。

2021年

实战攻防对抗的形势下,大量0day利用及其它更高效、隐秘的攻击手段愈发常见,企业逐渐认识到以全流量为基石以数据分析为核心的技术和产品将改变防守方只能被动防御的状态。产品将持续监测网络连接对象、分析异常流量、追溯可疑行为,从而提升企业的主动防御能力,助力企业的日常安全运营。

回顾近几年的实战攻防演练,攻击路径基本可以分为以下三条:

  • 0 day漏洞利用攻击:红方利用安全设备、OA系统、中间件的0day漏洞快速绕过检测机制,进入DMZ或内网区域,对域控、特权设备、靶标进行嗅探扫描、弱口令爆破、内网漫游等异常操作。图片[2]-哆啦A梦,把你的攻防演练道具交出来! – 作者:斗象科技官方-安全小百科

  • 旁路攻击:攻防演练中,在总部的防御力较高难以进入的情况下,红方一般会选择另辟蹊径迂回进攻。自分支或下属机构进入总部,经过打点渗透,构建隐蔽隧道建立持久连接。图片[3]-哆啦A梦,把你的攻防演练道具交出来! – 作者:斗象科技官方-安全小百科

钓鱼邮件攻击:当攻击成本较高时,红方会利用大型企业普通员工安全意识薄弱的特点,以钓鱼邮件的攻击方式进入内网,开启靶标攻击。

红方需先获取目标员工的邮箱权限,由此邮箱发送钓鱼邮件。大多数员工出于对内部员工的信任,更易点击夹带在钓鱼邮件中的恶意附件。

随着员工个人电脑的沦陷,红方可利用该员工PC作为跳板实施横向内网渗透,继而攻击目标系统或其他系统、甚至是域控制器,直至任意漫游。

图片[4]-哆啦A梦,把你的攻防演练道具交出来! – 作者:斗象科技官方-安全小百科

1. 构建“战时基线”

图片[5]-哆啦A梦,把你的攻防演练道具交出来! – 作者:斗象科技官方-安全小百科

哆啦A梦 · 找线索放大镜

发现一切异常行为,

从蛛丝马迹开启行为画像,

有效发现未知攻击行为

在网络攻防实战中,大量 0day 漏洞和攻击脚本、工具的快速传播,常常让防守方焦头烂额,吃尽苦头。

为了应对攻防演练期间出现的大量未知行为和流量,PRS-NTA全流量智能安全分析平台针对核心资产,如特权系统,域控服务器、靶标等,于演练前期即抽取长周期的离线数据,从时间、关系、账号、端口号等多个维度进行画像,构建战时基线。

当红方利用0day漏洞或是绕过安全设备的检测规则等攻击手段进入内网,试图获取核心资产或者靶标的权限时,已构建完成的战时基线将帮助防守人员有效的发现此类未知的攻击行为。

图片[6]-哆啦A梦,把你的攻防演练道具交出来! – 作者:斗象科技官方-安全小百科

2. 专线/专网行为学习&分析

图片[7]-哆啦A梦,把你的攻防演练道具交出来! – 作者:斗象科技官方-安全小百科

哆啦A梦 · 推理帽

层层筛查层层分析

找出“幕后黑手”自有一套

旁路攻击已然成为让大型企业和金融机构最为头疼的问题。为解决该类型的攻击,斗象PRS-NTA在演练前期即建立针对访问链路的专线/专网分析模型。

  • 对外部访问的URL字段进行黑名单检查,当出现文件遍历,访问admin目录,console接口、bak配置文件等情况下,均会进行告警。

  • 合法访问的IP和端口加入到白名单。对URL的长度,参数顺序、访问频次等多个维度,建立正常连接的URL基线和画像

  • 利用机器学习的降维和聚类等算法,以可视化的方式分析找出异常访问者,实现对供应链攻击的快速有效检测。

    图片[8]-哆啦A梦,把你的攻防演练道具交出来! – 作者:斗象科技官方-安全小百科

    钓鱼邮件安全数据分析

图片[9]-哆啦A梦,把你的攻防演练道具交出来! – 作者:斗象科技官方-安全小百科

哆啦A梦 · 雷达手杖

从钓鱼邮件的受害者出发

溯源红队攻击路径

还能进行影响面分析和判断

PRS为破解钓鱼邮件攻击开发了安全分析模型。相比传统邮件网关,PRS邮件安全分析模型更加关注攻击结果和影响面的分析和判断。

假设防守方有500人受到了钓鱼邮件攻击,其中50人点击了该邮件中的恶意文件。PRS-NTA会认定该攻击的影响面为这50人,对这50人进行溯源。

由于邮件网关和WAF已经被绕过,PRS-NTA可利用邮件检索SMTP和POP3协议提取元数据,如附件中是否有相应的DNS域名,域名是C2远控地址,且通过https反连,可通过TLS协议中的字段servername这个唯一的共同特征进行检索。

PRS-NTA 赋能常态化实战安全运营

随着攻防演练逐渐向常态化、实战化和体系化演进,大部分企业经过前期的资产梳理、基线核查、渗透测试、漏扫扫描等各种服务和工具进行安全方面的加固,会产生自身防御牢不可破的错觉,但演练结果往往与之大相径庭。

面对0day、免杀木马、进攻流量隧道加密、利用旁路接入侵等“棘手”的攻击,防火墙、IDS、IPS、APT等安全设备构筑的铜墙铁壁也难以抵御。

PRS-NTA经过对全流量的持续监控以及攻击痕迹的深入分析,将分析结果赋能给安全运营平台,提升了运营平台对隐蔽攻击的深度检测能力和溯源取证能力,使流量数据更具价值,亦使安全运营平台在时间和空间纬度方面更上层楼。图片[10]-哆啦A梦,把你的攻防演练道具交出来! – 作者:斗象科技官方-安全小百科

来源:freebuf.com 2021-06-21 14:14:05 by: 斗象科技官方

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论