聚力安全 護航發展丨綠盟高階威脅狩獵系統助力精準畫像,主動防禦

綠盟科技發表於2022-06-02

化被動為主動,實現高階威脅防禦
為了應對傳統網路安全防禦體系靜態不變的特點,國內外的科研和技術團隊相繼展開了技術研究和創新工作,其中包括MTD(移動目標防禦體系)、網路空間擬態防禦理論、動態賦能網路空間防禦體系等。

 

相較於傳統的安全防禦方法,主動防禦中的擬態防禦技術融合多種主動防禦要素,在保證業務功能等價的情況下,可控地選擇執行硬體和軟體異構執行體,同時隨機的變換被保護目標,使攻擊者無法捕捉到目標的硬體執行環境和軟體工作狀態,以達到增強系統安全性的目的。

 

精準畫像,主動防禦
綠盟高階威脅狩獵系統(NSFOCUS Advanced Threat Hunting System,簡稱ATH),是一款以欺騙防禦技術為核心,對網路中潛在威脅進行檢測和發現的安全攻防產品,遵循綠盟智慧安全3.0理念,以體系化建設為指引,通過設下誘餌來捕獲攻擊者,並結合威脅情報,對攻擊者進行精準攻擊刻畫及追蹤溯源,發現更多威脅,保護政企行業使用者資產安全。

圖1 主動防禦機制圖
該系統採用欺騙防禦的思想,從網路層、計算環境層、應用層出發動態變換真實主機的網路地址、埠等系統資訊,在網路中偽裝出大量虛構主機,主動散播虛構系統資訊,誘導並捕獲網路中入侵或潛伏的未知特徵病毒、木馬;將誘捕到的攻擊流量進行分類和採集,對捕獲的攻擊日誌、流量協議從攻擊裝置、位置資訊、資產資訊等不同維度進行分析,形成相應維度的威脅報表和告警資訊;隨後對防禦策略進行調整,適當時進行追蹤溯源。
動態變換,擾亂攻擊行為
通過將系統的配置進行調整,對IP地址、埠進行週期或者非週期性變換,達到擾亂攻擊者攻擊行為的目的。採用網路地址和服務埠跳變,實現網路拓撲的動態變化,通過地址變換,達到網路的隱真示假,讓攻擊者無法準確獲取網路的真實情況和有效資訊。

圖2 網路地址動態變換圖

 

攻擊誘捕,定向捕獲
行為捕獲主要分為對主機攻擊行為和應用攻擊行為進行攻擊誘捕,並記錄攻擊的全過程。集中收集所捕獲到的資料,將捕獲到的資料彙集並儲存到一箇中心資料庫中,通過大資料、機器學習等技術對資料進行綜合分析,捕獲到的資料用於研究攻擊者的工具、策略和動機。

 

主機攻擊行為捕獲
在內網中模擬大量的主機終端,擾亂攻擊者視角,增大攻擊難度。監控和記錄攻擊者在網路內的所有行為,通過蜜罐資料引流技術將攻擊者的攻擊引流到模擬的主機終端上,虛構的作業系統形成蜜罐陷阱,對攻擊者訪問虛構主機做響應並實施捕獲,捕獲的資料包括攻擊IP地址、地理位置、開放埠等與攻擊者相關的所有資料。集中收集所捕獲到的資料,用於後續的攻擊行為分析。

圖3 主機攻擊行為捕獲圖

 

應用攻擊行為捕獲
對內部網路進行佈陣模擬,採用網路地址轉換、ARP欺騙等技術,在內網部署大量高互動蜜罐系統、蜜罐模擬應用系統,擾亂攻擊者視角,增大攻擊難度。監控和記錄攻擊者在網路內的所有行為,當攻擊者攻擊真實應用系統時,利用蜜罐資料引流技術,將威脅引流到蜜罐模擬應用系統中,並實施行為捕獲和記錄。攻擊記錄包括入侵者五元組,入侵時間,入侵具體業務(如ssh 執行的命令,mysql 操作的資料庫等)以及上傳下載檔案記錄。

圖4 應用攻擊行為捕獲圖

 

捕獲資料行為分析
通過將捕獲到的異常資料進行行為分析。對捕獲到的攻擊方法、攻擊手段、攻擊日誌、流量協議等資料,從攻擊裝置、位置資訊、資產資訊等不同維度進行分析,並進行反向探測與漏洞掃描,得到其開放埠、服務與版本號、弱口令等資訊。

圖5 攻擊分析報告型別圖
資料分析,策略調整
對資料進行攻擊日誌、流量協議等進行分析,將詳細日誌傳送給系統中其他安全裝置,為網路安全整體決策提供有效依據。通過與防火牆裝置聯動對已被入侵的網路地址和埠進行流量切斷和關閉,使其無法訪問業務系統;通過與防病毒軟體進行聯動,提取病毒的特徵碼,實時更新病毒庫,對網路中的病毒進行查殺;通過與入侵檢測系統進行聯動,對與此次入侵行為相似的異常資料流量進行控制,調整相應安全策略。
行為分析,追蹤溯源
通過行為分析結果,可對指定攻擊者發起、木馬誘騙、漏洞攻擊等不同程度的攻擊追蹤溯源。

 

木馬誘騙:可使攻擊者下載某個檔案時,替換成木馬檔案,誘騙攻擊者下載安裝,對指定的某個攻擊源IP地址發起木馬誘騙。

 

漏洞攻擊:可對攻擊者發起漏洞攻擊,掃描攻擊源IP地址,探測攻擊者主機的開放埠資訊、弱口令、漏洞等。

 

產品優勢
1.化被動為主動,實現高階威脅防禦
依託系統的感知節點、誘餌、狩獵網路的高互動性,誘導攻擊者深度入侵系統,對整個攻擊事件進行復現,清晰掌握攻擊軌跡和行為細節,結合裝置指紋和攻擊者畫像等技術實現攻擊溯源,真正做到化被動防禦為主動防禦。

 

2.提高攻擊成本,拖延攻擊者時間
通過克隆業務的高模擬感知節點,混淆攻擊者的攻擊目標,讓攻擊者無法命中真實業務系統,提高攻擊者的攻擊成本,主動暴漏攻擊者的身份、攻擊手法、攻擊目的等,從而實現攻擊隔離。

 

3.精準威脅溯源與攻擊取證
通過對捕獲的攻擊日誌、流量協議從攻擊裝置、位置資訊、資產資訊等不同維度進行分析,形成相應維度的威脅報表和告警資訊,有效發現利用0day漏洞的APT攻擊行為,保護客戶網路免遭0day等攻擊造成的各種風險。

相關文章