泛终端的精细化智能防御体系建设 – 作者:good1205

*本文作者:good1205,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

终端安全按照“本体防护、责任落实、统一准入、安全可视、在运合规”的管控原则,采取终端防病毒、泛终端准入控制、桌面终端管理、DNS安全监测分析、终端威胁分析以及基于威胁的多维分析和集中管理等技术手段,通过采集终端侧的防病毒数据、桌管数据、EDR数据和网络层面的全流量威胁分析数据和范终端准入数据,以及DNS 解析数据,结合终端的威胁情报数据,实现从终端层面、网络分析层面到全局监测层面的多维数据打通和综合分析,做到针对终端的全局化的全流量的可视化综合分析与预警。实现针对网络终端设备的身份明确化、风险度量化、分析智能化和管理可视化的目标。

(1) 身份明确化

精确的设备可见性是安全实践的基石。对所有在线设备进行扫描和深入识别,获取终端的网络地址、系统网络指纹、系统开发端口和服务指纹,并根据积累和运营的指纹库裁定每个终端的类型、操作系统、厂商信息。并根据所获取的设备指纹信息,采用智能识别和唯一性算法为每个终端建议指纹身份信息。作为终端生命周期管理的唯一性依据。

(2) 风险度量化

对终端硬件资产、软件与操作系统、网络配置变动的监控,还提供终端体检与系统修复、升级与补丁分发、流量管理、系统优化与加速、企业级软件商店等几十项安全管理功能。可以根据企业单位内部要求、行业管理规定、终端风险等级下发统一安全策略,针对不同状态的终端执行特殊安全策略,实施手术刀似的精准管理。通过细粒度的统计与详尽的日志报表可以纵观全网终端的安全态势,包括病毒查杀趋势、高危漏洞修复态势、文件风险等级划分等,对全网终端风险做到量化观测,高效管理,全面监控。采用大数据分析技术,持续收集持续收集用户和设备的环境数据、用户的业务访问行为数据,并进行风险建模和关联分析,度量潜在的安全风险。

(3) 分析智能化

将分散的终端行为数据、 终端防病毒数据、业务访问行为数据、准入审计数据、设备资产数据、网络流量解析数据和DNS域名检测数据进行统一收集,形成以终端-业务-行为为中心的行为画像,以大数据分析技术和多维分析技术,进行以威胁视角的关联分析,及时得到受害目标、 攻击者、攻击手法、漏洞情况、恶意样本、传播方式等威胁详情,针对分析的威胁结果,通过威胁的验证,判断威胁真实性和影响面。

(4) 管理可视化

资产管理可视化通过DNS安全域名监测系统、终端防病毒系统、终端桌面管理系统、网络准入控制系统等多个系统的告警信息提取,实现资产导入、资产标签化、资产组合等,并根据其告警所涵盖的风险,实现资产与风险的关联,并形成完整资产库。

风险可视化以威胁全生命周期的维度,通过多种威胁检测手段对威胁进行可视化展示。根据设定的动作进行自动化通知下发告警,提升日常运营工作的效率。在部署终端防病毒和桌面管理的办公计算机,对其进行威胁情报告警的通报以推动相关EDR处置模块的运行。

建设任务

构建终端多维综合威胁分析系统,需要从终端接入控制、终端授权控制、终端行为分析、终端防病毒控制以及网络流量分析等多个维度的数据分析,同时,从内部运营的管理视角和外部威胁的视角等视角进行威胁告警和响应。通过安全接入网关系统,不仅有效的检测所有的泛终端资产,还将PC终端的安全防护措施平滑迁移至泛终端,使泛终端具备安全核查、安全评估、准入控制、接入防护等技防能力。通过与终端杀毒软件和桌管系统进行协同,可以实现安全防护系统的一体化管理和资源整合,实现安全防护策略的统一管理,建立全面、集中、统一的终端安全管理体系。通过终端安全响应系统(EDR)、DNS安全监测系统和网络高级威胁全流量分析等协同综合分析,可以实现针对终端安全事件的精确定位和详细攻击手段溯源。通过终端本体的安全监测和行为分析,结合网络全流量分析和DNS安全监测分析,实现从事前安全控制,事中的全面审计和监测,到事后的追踪溯源的安全事件全过程的可管可控,精细防护,智能防御。

(1) 全面的终端接入控制能力

针对泛终端进行接入控制,针进行终端发现、用户注册、认证授权、安全检查、隔离修复、访问控制、入网追溯等“一站式”的入网控制管理,实现终端统一安全准入及防护,完善终端体系下的安全保障体系建设。

终端接入与资产发现

针对终端PC办公和移动办公设备,通过联动接入网络设备的事件管理和数据查询,实时的发现网络中有接入的行为和流量感知,实时感知终端设备的内部通信和网间通信的行为,实现接入即感知和访问即感知。对所有在线设备进行网络扫描和深入识别,获取终端的网络地址、系统网络指纹、系统开发端口和服务指纹,并根据积累和运营的指纹库裁定每个终端的类型、操作系统、厂商信息。

身份认证完成后,对准入客户端将自动对终端进行环境安全检查,检查项包括系统弱密码、漏洞、共享安全、U盘自启动、必装软件、终端防火墙等10余项评估项。只有各项检查均通过的终端,才允许进入网络,防止不合规终端入网,给网络带来安全风险。对于环境安全检查未通过的终端,准入客户端将引导其进行修复,修复完成并重新检查通过后,方可进入网络。

终端认证与授权控制

网络终端设备种类多,情况复杂,部分设备有完整的操作系统,可以采用多种认证方式,部分设备的系统的特殊性,在认证上手段具有局限性。所以在终端设备的认证支持多种认证方式包含:用户名密码、数字证书、Ukey、短信码、设备唯一识别码、终端指纹、二维码、一次性令牌。短息支持短息猫和短信平台等多种方式。

不同的终端设备和使用环境,需要基于时间、终端、接入点、接入方式等场景条件的认证约束策略。根据用户的属性信息(角色、分组、标识、类型)、终端(类型、操作系统、安全状态)、接入点和接入类型(有线或者无线、ip地址、端口)、访问目的、认证类型定义场景并自动选择匹配的认证源,并进行场景的授权。

终端合规检测与监控

终端设备分布广泛,具有多种使用场景和环境,并且数量大,容易造成安全隐患。终端设备的安全程度,对于整体网络安全至关重要,需要保障不同类型和不同场景的终端设备进入安全合规,并且对终端进行实时的监控,及时发现沦陷设备和高危行为,快响应和处置,提升终端的安全能力。

终端合规检测项目应该覆盖:操作系统、系统配置、网络配置服务、应用程序部署配置与运行等内容。其中有客户端或者可以部署AGENT的终端合规检测包含:杀毒软件、关键文件、补丁检查、操作系统情况、账号密码复杂度、账号活跃情况、基础配置情况、注册表、服务检查、网络配置和防护情况、违规外联情况、软件检查;其他终端,如摄像头、打印机、考勤机、食堂刷卡机、专业行业终端、工业控制终端等,不具备部署agent的能力,合规检测内容包含:终端网络端口与服务风险检查、统风险与弱口令、网络连接方式异常、异常流量与行为异常检测和进程检查等。

用户进行认证时驱动安检模块进行检查,并将安检结果上报给认证服务器,认证服务器根据策略确定是否需要强制终端安检通过。如果安检不通过,提示用户访问失败的原因,并提示用户后续的操作。每次安全检查后与上一次安检结果进行比较,如果发生变化将通知认证模块重新进行认证。

一体化智能防御

通过结合桌管系统和终端杀毒软件进行协同,可以实现安全防护系统的一体化管理和资源整合,实现安全防护策略的统一管理,建立全面、集中、统一的终端安全管理体系。实现防病毒管理、补丁分发管理、移动介质管理、非法外联管理、终端准入管理、主机监控审计管理、终端信息管理、安全策略管理、日志报表管理等功能。

(2) 全面的行为和流量检测能力

攻击通常都会在内网的各个角落留下蛛丝马迹,在网络的流量、终端的操作、DNS 解析中都可以发现安全事件的真相。从威胁攻击的视角看安全事件,通过各个阶段进行有效的检测,根据上文的分析,从各个维度的数据中找到有价值的信息,发现攻击行为或攻击特征相关的新生威胁。从安全运营的视角,在高级威胁不断的今天,对所有网络流量行为进行检测,提升网络透明度及可视性,对终端的整体安全状态有全局的把控,实现谁在什么时间什么地点以什么样的方式做了什么。聚焦在及时发现和处理异常,可以快速对终端威胁进行准确定位和溯源,牢牢掌握终端安全工作的主导位置。

网络流量实时分析和监测

通过对网络流量进行解码还原出真实流量提取网络层、传输层和应用层的头部信息,甚至是重要负载信息,这些信息将通过加密通道传送到分析平台进行统一处理。通过对终端网络行为流量的深入分析,感知并检查终端是否为NAT方式接入,并尝试分析NAT前的终端数量和操作系统信息。对无人值守终端的默认行为进行学习建模,包括入站管理行为和出站访问行为。学习建模后对其出入站网络流量进行检查,判断其行为是否发生异常。业务网络流量进行基于时间和流向的规律学习建模,对异常偏差流量进行振幅异常的检测,以判断其流量模式的异常。无代理能力终端无法感知其内在系统和应用的变化,系统会监控其网络连接状态的变化、管理与行为变化、终端身份变化,在出现异常事件时立刻出发合规检测。无变化状态的合规检测也会严格控制器时效周期,强制终端的定期合规确认。

针对对文件类型的威胁检测,通过沙箱使用静态检测、动态检测、沙箱检测等一系列无签名检测方式发现网络中的威胁行为,并将威胁相关情况以报告行为提供给安全管理人员。相关告警也可发送至分析平台实现告警的统一管理和后续的进一步分析。

终端行为分析和监测

终端按照终端能否部署防病毒软件、桌面管理系统和EDR等软件可以进行终端行为数据采集的可以分为两类,部署了防病毒软件、桌面管理系统和EDR等软件可以进行全网终端的安全数据进行采集和监测,实时收集IM文件传输信息、驱动信息、操作系统信息、进程信息、DNS访问审计、IP访问记录、U盘使用记录、软件安装信息、邮件日志信息、证书相关信息等。将采集到的终端安全数据会汇总到数据采集平台上进行统一的数据分析。

对可以部署采集软件的终端可以实现一下目标:

持续监测:持续记录终端上的所有行为,将静态和动态的终端数据实时推送到大数据分析平台进行统一的存储和管理。

主动检测:实时接收大数据威胁情报、鉴定中心等告警线索信息,在大数据分析平台中主动检索、定位符合条件的威胁终端。

全面评估:针对于威胁终端进行全面的安全评估,结合终端背景数据,对于终端的安全漏洞、威胁的攻击步骤进行分析评估,发现整个攻击链与终端沦陷的根本原因。

自动响应:针对不同类型的终端威胁提供相应的自动响应手段,结合终端、业务、系统等因素提供补救手段,提升安全基线,防止同类型攻击再次发生。

对于不能部署终端数据采集软件的终端,如摄像头、打印机、专业行业终端、工业控制终端等,通过准入控制的审计检测,获取终端身份仿冒接入、终端网络端口与服务风险检查、操作系统风险与弱口令、网络连接方式、异常流量与行为异常检测、外联情况等信息,实时的提供给分析平台。

DNS安全检测和分析

DNS是互联网和物联网(IOT)的“神经系统”,是连接网络的第一步动作,DNS系统是一个基于C/S结构的巨型分布式数据库系统,实现域名到IP地址的转换,对用户访问各种互联网应用至关重要。思科2016年度安全报告指出,近91.3%的“已知不良”恶意软件被发现使用DNS作为主要手段,通过研究DNS流量或数据,可以发现网络的安全攻击以及异常行为。

统针对DNS层面的网络安全威胁,镜像的DNS流量,根据DNS请求流量数据,将域名解析记录在不同周期尺度上(每天、每周、每月)建立解析基线,计算当前周期与已有基线的偏离程度,以判定当前周期的域名请求内容、请求次数是否异常。利用某些恶意软件的多个C&C会形成DNS查询序列的特点,通过模型计算可以发现恶意软件的各种网络行为。利用威胁情报库,或攻击特征(特征可包括域名结构、域名活动周期、域名解析结果等)将具有关联的攻击进行聚类,并对攻击链路进行关联分析深度挖掘,还原攻击全貌,洞悉高级威胁。通过机器学习,DNS异常检测发现DNS隐秘隧道,有效发现攻击线索,与其它数据关联分析,可以发现高级或隐藏威胁。根据僵尸网络域名的特性和相关的IP属性、端点属性,将C&C域名分组,有助于准确分析僵尸终端感染情况,可视化展现僵尸终端的感染范围,挖掘僵尸网络端点,及时发现僵尸终端,提升网络边界和终端安全防护水平。将DNS 安全检测数据实时发送给分析平台进行分析,作为终端安全分析的重要数据支撑。

(3) 多维数据的智能分析能力

多维度数据的智能分析,同时采集本地数据,结合第三方数据与情报,实现云端和本地相结合的各类安全事件监测、资源监测,获得多种数据来源和精确实时的分析结果。主要提供针对海量数据的实时处理能力,数据可视化能力,与终端业务紧密贴合的工作模型。实现安全可看见,可监管,可响应。

资产维度分析

以资产的维度,实时的以资产为核心,跟踪硬件资产变更,帮助管理员及时获取硬件资产的变更记录,硬件新增、丢失情况,对硬件变更准确监控,及时预警,轻松构建专业的企业硬件资产监控与审计平台。展示全省的终端的安全现状,如:终端数量、体检得分、漏洞数、病毒木马、终端防病毒安装数量、安装率,终端定位信息等,上报给二级中心,二级中心经过汇总后,上报到总中心,总中心进行地市或者县为单位展示。

风险维度分析

信息安全问题技术复杂、牵涉极多,往往显得非常神秘,既不被上级领导理解,也不被自己掌控,安全管理往往像是在黑暗中的摸索。结合线索可视化分析技术,实现安全问题的可视化、安全分析的可视化,直观呈现全局安全趋势、变化、对比。通过与防病毒软件进行联动,通过EDR模块细粒度地采集终端的进程socket事件、进程dns事件、带附件邮件发送接收事件、出入文件事件和接收上传附件事件等日志信息集中上传到分析平台,通过全流量威胁分析的威胁情报、大数据分析能力和深度检测技术发现本地未知威胁的恶意行为。针对该威胁的处理建议和相关威胁情报信息发送给分析平台,由安全专员参考该建议通过客户端、准入网关和防火墙对有危害的终端威胁进行处理。构建对以终端的威胁、终端异常行为、高危行为和入侵攻击等风险从精确检测到深度防御的纵深防范闭环体系。

多场景的可视化分析

随着攻击日益缜密和不断演进,静态技术无法与时俱进。阻止网络攻击和应对未知威胁需要足够的情报和精准度。以业务发展为基础,以事件核查为线索,以能力提升为关键,以持续优化为根本,跟进业务发展并提供细化分工的安全服务并持续提升。结合终端在网络中使用环境不同的特点,以不同的场景进行终端安全建模,实现基于场景特点的安全可视化,满足不同业务、不同环境的安全需求。

(4) 终端可视化安全运营能力

安全运营是对安全运维的继承式发展,是以业务发展为基础,以事件核查为线索,以能力提升为关键,以持续优化为根本,跟进业务发展并提供细化分工的安全服务并持续提升。需要与时俱进的安全对抗经验的更新和丰富的安全业务经验积累。通过安全情报的建设可以很好的解决安全对抗经验的更新问题,而安全业务的经验的积累,则需要在终端安全大数据检测与响应平台融入专业的安全业务流程设计。

*本文作者:good1205,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

来源:freebuf.com 2019-02-20 12:30:56 by: good1205

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论