自己动手搭建信息安全可视化平台(一)现状及服务器资产统计模块 – 作者:fish1983

系列文章

自己动手搭建信息安全可视化平台

0.企业安全建设的阶段与黑客攻击的关系

阶段1

有安全意识和缺安全意识-没有准备的时候攻击你。小z的企业的信息安全建设像很多企业一样,都是从0开始的,如果没有几次安全事件的洗礼,高层有了一定的信息安全意识后,很难想象信息安全建设的现状是否会比几年前会有多少改观。

阶段2

安全防护建设是一个攻防对抗,动态的过程-准备的过程中攻击你。信息安全建设是一个防护体系逐步完善的过程,从最早的只要一套杀毒软件就被认为是安全的,逐步演化到现在,随着业务的升级,企业逐步装备应对各类新型攻击手段的防护设备,这个安全设备逐步升级的过程中,黑客也在升级攻击手法,不会说等你都准备好了就开始攻击你。

阶段3

安全防护设备比较完善后,还有运维和安全运营的问题-准备好后还是要攻击你。就算某一天企业上齐了各种安全防护措施,比方相同的一套安全设备,策略配置不同,是否及时升级,使用者技能不同等等,都可能对防护效果产生很大的影响;况且还有安全设备本身的漏洞问题,运维管理信息安全管理是否规范,社工内鬼加上0dayNday等等要素,内网与外界物理隔离照样被黑的情形。

最终的结论就是,攻防态势在不断的进化,但是企业的信息安全意识,安全建设及安全运营是否做到了积极跟进这种态势的变化而有所应对,这是个问号,没有人敢说安全做到了满分。

1.现状

小Z所在的公司基本处于安全建设初期,有很多安全设备,所以安全运营每天的工作之一就是需要登录所有设备去看各种图表,分析各种日志,然后事件处理,久而久之他发现这样做有一些问题:

1.需要每天登陆各台设备查看,有时候还要信息检索,存在效率问题,特别是碰到应急响应的情况,效率问题凸显;

2.一些安全设备日志可能存在自带的CF卡里,或者突发日志量超过了主机日志存储容量,关键日志被覆盖了,无法溯源;

3.部分的安全分析需要关注的日志来自运维部门的网络设备,比方核心交换机记录的攻击日志(arp missing等),还有服务器的性能指标,并没有囊括在安全设备中;

4.最关键是这些安全设备之间各自为政,它们之间的关联性怎么体现,特别是在应急响应的场景里,一次攻击处于攻杀链的什么阶段,能够快速定位问题点,在哪个时间点,这个时间点触碰了哪些安全设备的什么规则没法快速知道,看到了局部不是整体,就比方一个足球队里大明星云集,但是不知道怎么打配合,效果往往是1+1<2的。

现状一个字概括-散。所以小z想,如何利用现状最大化现有安全设备的价值,而不仅仅是安全设备数量和种类上的堆积。当然现在有很多安全信息和事件管理系统,成熟的开源项目,可以实现这一目标,这些系统很多都基本预置了各种模块,都是设计好的,小Z想那能不能自己尝试搭建一个可能更加个性化的安全可视平台来解决自己当前面临的问题呢?看了很多资料,小Z总结下,实现的基本步骤基本是:1.安全设备数据采集-2.数据集中存储-3.数据解析处理和标准化-4.数据分析-5.数据可视化呈现。

2.测试数据存储平台

小Z尝试把splunk作为日志收集的平台进行测试,进一步挖掘里面的功能。Splunk可以支持任何 IT 设备(服务器、网络设备、应用程序、数据库等)所产生的日志,其对日志进行处理的方式是进行高效索引(index)之后对日志中出现的各种情况进行搜索,并且通过的SPL语言统计及可视化的方式展现出来,另外其还提供了非常多的APP,集成到日志收集平台里。确定了数据存储的载体问题后,下面就从服务器资产统计为例开始尝试走一个简单的从1.安全设备数据采集-2.数据集中存储-3.数据解析处理和标准化-4.数据分析-5.数据可视化呈现的流程。

在服务器资产管理模块进行搭建前,还是要聊下信息服务器资产管理的重要性。

3.黑客视角的内网资产信息挖掘(由点及面)

攻杀链的第一环就是信息收集.信息收集除了对企业在外网上的暴露面进行侦察,还有进入内网拿到据点后的信息收集。黑客拿到内网一台服务器后,会通过各种信息收集手段去收集据点信息,挖掘主机的各种情报(可以利用系统自带的命令,powershell,凭证收集,是否能联网,环境变量参数,安装了什么杀软,补丁列表,历史操作记录,日志分析,磁盘上有价值的文件,尝试数据恢复删除信息等等还有很多,类似取证过程),主机关联分析(互联的主机ip,网段,例如如果主机安装了安装了zabbix代理,通过弱口令,远程执行或注入等等,尝试攻击zabbix服务器的进而控制zabbix服务器;weblogic应用服务器的话一般总是和oracle数据库配合,读取连接数据库的jdbc配置文件,AES解密后直连服务器的oracle数据库);挖掘网段(扫描C段,主机的网关,交换机等是否存在snmp默认public口令,进一步获取网络拓扑等等)等等,就这样由点及面的扩散。上面只是举了几个例子,当然整个挖掘信息过程都可以根据系统架构用自动化脚本或工具实现,现成工具也很多,比方下图:

1606542123_5fc1e32b965caf77fec17.png!small

4.安全运营方的信息资产信息(由面到立体)

回到安全运营方,企业的安全管理人员能马上说出公司此刻有多少台服务器吗?这个最基础的问题不一定都能马上答出来。小z认为作为负责安全运营的防护方更要做好信息收集,最基础的就是摸清自己的家底(信息资产),至少说尽最大限度要与黑客能获取到的信息对称。谁更理解内网架构,谁就占据对抗的上风,如果黑客能够获得比自己更多的情报,那基本可以说防护是存在缺陷的。所以,信息安全防护的第一步:首先要摸清资产家底,本文拿最基础的服务器资产来举例,尝试从几个维度出发。

1).明确服务器覆盖度(广度)

尽可能多的把服务器资产准确纳入到平台上。从小Z公司之前几次的安全事件来看,在应急响应现场临时抱佛脚确认资产的情况都有,不知道资产的责任人是,找到了责任人居然系统登录口令忘了;还有次是一台年数已久的web服务器,几经管理人员交接变化,已经处于角落地带甚至存在SQL注入漏洞,资产死角这种情况是非常普遍的,这种遗忘的角落往往是黑客攻击最好的切入点。

2).对服务器资产安全属性的理解

和财务上资产统计不同,更需要站在攻防的角度去理解服务器的一些资产属性,比方说服务器端口这个最基本属性,服务器开了1433端口那就可能存在被注入sa弱口令提权爆破的风险,7001端口java反序列化弱口令风险等;一台服务器突然某一天被扫描到多开了一个端口12345,那作为安全防护就要想到是不是服务器可能被执行了nc -l 12345,进一步是否已外联C&C服务器,从而进一步确认防护的缺陷,需要有敏感度,从攻击者视角去理解资产的属性。

3).服务器资产属性监控的粒度(深度)

拿一台服务器来说除了端口,其他属性,例如主机名,OS版本,ip,跑了哪些应用或数据库系统和它们的版本信息,属于哪个vlan,网络层访问控制策略ACL是什么,是否允许联网,是否是虚拟机,所在物理机ip多少 ,在互联网上是否有映射ip及port,有的话和这台服务器在内网的port怎

来源:freebuf.com 2020-11-26 10:19:40 by: fish1983

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论