428
增加網絡中5個黑暗區域的”可見度”
0x00 用戶對用戶活動
1. 描述:
雖然full-packet檢測是安全架構很重要的一個部分,但是full-packet檢測不是被設計成監控網絡內部的所有主機間通信的流量。網絡中捕獲每個包的流量所產生的體積會嚴重消弱網絡的效率和網絡流量。這種情況迫使安全架構師限製網絡內部“可見度”的深度。一些用戶產生的流量,例如往外的互聯網流量,會經過檢查點。然而用戶-用戶的流量通常是有限的。
插圖1
2. 解決方案:
NetFlow可以增加通過訪問層的用戶-用戶的可見度,而且不影響網絡性能。因為NetFlow的數據拚成一個flow的一小部分,這裏有其路由到收集點進行分析而少得很多的性能開銷。
增加用戶對用戶的可見度,對於了解惡意軟件怎麼通過網絡傳播尤為重要。基於行為的分析對於檢測惡意軟件相關聯的流量patterns非常有用。
0x01 特殊的網絡設備
1. 描述
Endpoint終端安全客戶端可以運行在一些流行的桌麵和服務器操作係統上。專業設備:例如多功能打印機、POS終端、ATM取款機以及物聯網設備等,很少部署Endpoint終端安全客戶端。這些係統上可能存在操作係統的所有類型的漏洞。同時嵌入式設備也可能包含一些有漏洞的軟件例如web服務器等,這些都可能是你網絡中薄弱的環節。沒有了Endpoint終端安全客戶端,這些網絡設備將會變成另外一個網絡中的黑暗地帶。結果是黑客可以很容易的利用這些威脅入侵到你的組織。
插圖2
2. 解決方案:
基於NetFlow的分析可以有效的使特殊網絡設備增加”可見度”,而無需中斷主要設備。使用異常流量檢測方式可以解決這個問題。
0x02 加密流量
1. 描述
加密通信是另外一個在網絡中的黑暗區域。越來越多的C&C服務器和被入侵的設備的指揮和控製進行加密,以避免被發現。麵臨的挑戰是:你怎麼發現不知道內容是什麼的情況下發現加密流量中的威脅。
插圖3
2. 解決方案
類似生活中電話的例子,它”不一定”知道你說寫了什麼,進而確定惡意活動正在進行。它是利用一些Meta信息來獲取一些關聯的數據來進行分析。具體元數據的可怕性可以參考Defcon 23上的議題《Applied Intelligence Using Information That's Not There》。在網絡的世界中的Meta信息就是源地址、目的地址、時間戳、傳輸的數據量、源端口、目的端口以及其他NetFlow中的信息點,進而可以標識出通信中的威脅而不需要知道內容。
真實的應用行為分析案例是,在一個典型的網絡中,數據泄露可以使用基於異常行為的檢測行動。通常,一個內部主機被作為基線通常隻與內部服務器通信,但是突然開始與外部服務器傳輸大量的數據。這個時候就要引起注意了。
0x03 遠程網絡
1. 簡介
因為跨網絡辦公地點的增加,安全相關的成本也迅速增加。你必須檢測廣域網的流量或者你必須在邊界實現本地檢測設備。即使在遠程辦公地點部署了邊界檢測,你可能依然麵對有限的用戶到用戶的活動”可見度“。
2. 解決方案
通過使用WAN和中心收集節點的backhaule(回程鏈路),可以解決這個黑暗區域。一旦攻擊者滲透到網絡是,他們可能去橫向滲透本地網絡分段中的其他主機。如果沒有NetFlow的可視化,管理員可能錯過這個活動。
0x04 內部數據中心
1. 描述
為了解決大數據量的流量從東向西快速經過最深層的數據包檢測設備,安全架構師通常把深度包檢測部署在數據中心的邊界上。數據中心可見度的問題就是獲得一台主機上兩台虛擬機之間的數據具有挑戰。
2.解決方案
虛擬機可視化問題既然可以通過NetFlow來解決。大多數的現代的Hypervisors支持NetFlow流量監測。
0x05 參考
1. Advanced Threat Detection: Gain Network Visibility and Stop Malware
https://www.lancope.com/sites/default/files/5-Dark-Places.pdf
2. Cisco Cyber Threat Defense 2.0 Design Guide
https://www.cisco.com/c/dam/en/us/td/docs/security/network_security/ctd/ctd2-0/design_guides/ctd_2-0_cvd_guide_jul15.pdf
3. Defcon 23 Applied Intelligence_ Using Information That's Not There
https://media.defcon.org/DEF%20CON%2023/DEF%20CON%2023%20presentations/Michael%20Schrenk%20-%20UPDATED/DEFCON-23-Michael-Schrenk-Applied-Intelligence-UPDATED.pdf
4. WAN回程鏈路
https://baike.sogou.com/v10974425.htm
最後更新:2017-04-01 13:37:10