今年是又安国建国100周年,哼将军被召回负责庆典安全防护工作,庆典当晚皇宫内将会举行隆重的仪式。哼将军这边却不能有一丝的放松,仍要提高警惕,毕竟周边邦国首领当晚都会到场庆贺,庆典现场出不得半点差错。
皇宫各个城门都有重兵把守,1年前就已经按照哼将军的提议对每个出入人员进行记录,并加强了对人员信息的排查。各个城门之间又设有多个关卡,全天都有人把守,各关卡间都有一队士兵巡逻,每三天换岗,上岗前需获取临时金牌。金牌分为两部分,一部分由关卡守卫持有,另一部分由巡逻士兵持有,士兵巡逻至关卡需核对令牌无误,方能继续前进。
即使皇宫戒备已如此森严,仍不能完全免去危机。总有宫外的平民想要混进皇宫见一见那宏大的庆典,敌国间谍也都虎视眈眈,再加上那不知哪来的“猫狗洞”给人提供了可趁之机,于是回到皇宫伊始哼将军就增加了新的防卫部门。新的部门主要负责收集各个守卫、巡逻士兵登记的信息,整理汇总之后,再对这些信息进行二次审查和关联调查。起初反对的声音不断,大家认为更应该增加关卡和巡逻人员,直到通过二次审查发现了混进宫内的间谍,大家才真的对哼将军的策略心服口服。
由上面的故事可知,没有毫无纰漏的安全防卫方式,再严格的入城检查都无法完全保证不会有间谍混进庆典并做出一些危险行为。同样,在网络空间安全防护手段已经十分成熟的今天,攻击者仍然可以通过某些漏洞将我们的系统拿下。此时就需要多层检测手段,进行纵深防御。
图:传统防护
攻击者发起的攻击一般都会触发我们的安全设备并产生告警,在IDS、探针、WAF等设备上总是可以发现一些痕迹。但是攻击者一旦发现了防护设备的漏洞,我们的系统便暴露在了攻击者面前。攻击者一旦绕过安全设备的检测,便可能会打入到系统内部。如果攻击者获取shell页面,再来个[find / -name "*.log" -exec rm -rvf {} \;],后续我们发现系统出现问题想要取证时,也只能发出:“哦,我的天,发生了什么!!!”。攻击者通过命令删除了攻击痕迹,我们无法找到留存shell文件或其他东西,也就无法溯源取证。
失去了溯源取证的关键证据怎么办?
莫慌!安全运营平台来帮你。
安全运营平台支持收集安全设备日志、web日志以及系统日志,支持每一层防护的单独分析和多层防护的关联分析,即使黑客攻入系统,删除了应用系统的所有log文件,平台依旧可以发现危险并溯源取证。
如同哼将军指示下属将出入记录收集整理一样,企业需将安全设备以及WEB应用系统的日志全部传输到安全运营平台,保证安全防护的每一环节都有在平台的监视下。即使发生上述日志丢失事故,我们仍可以在安全运营平台找到对应记录。
因为需要保证系统上业务的正常运行,很多安全策略无法做到完全限制,也就造成一部分攻击检测的必然遗漏。安全设备上传的日志当中有访问日志以及告警日志,在告警日志中每一个告警都有处置动作,如Forward(请求转发)、Accept(接受)、deny(拦截请求/响应)、drop(关闭当前连接)等动作。此处我们只需对未拦截处置动作的告警数据进行针对性的分析。
图:配置日志分析策略
图:WAF告警日志
从上图可知:WAF设备上的规则明确检测到了SQL注入攻击,但未进行阻断处置。通过态势平台配置策略,可以做到发现并告警。
在企业安全架构部署完整的情况下,攻击者通常很难直接攻击应用系统。此时,若在平台接收的WEB服务器日志中发现部分攻击指令,一般在此时WAF或其他安全防护设备已经出现了遗漏,企业的WEB应用系统已经暴露在攻击者面前。这种情况下,对WEB日志的分析至关重要!
图:WEB日志分析策略
图:WEB日志
从上图可知:通过平台策略发现WEB日志中存在SQL注入攻击并产生告警。
通过上述两点,我们已经对每一层防护都进行了检测。若此时我们将WEB日志、WAF日志或其他具有阻断能力的安全设备的告警进行关联分析,就可以明确知道哪些攻击是针对性攻击。
图:日志关联分析策略
除了以上三点,其他任何一种攻击都有可能对我们产生致命性的结果,此时亟需尽早发现并将其扼杀在摇篮里。又安国的哼将军手中当然也有绝杀利器——SOAR(安全编排自动化与响应技术)。
安全运营平台同样拥有此神功,可以和防火墙等安全设备协调联动,实现自动处置,将攻击者射杀在危害最小的阶段。
图:配置SQL注入事件流转
网络技术不断发展,攻击者的目标也越来越明确,早期炫技式的攻击已经淹没在时代的洪流当中,越来越多的攻击朝着盈利方向发展,而企业就成为了他们虎视眈眈的对象。当今攻击者和防护者都可以接触很多在野流传的攻击手段,虽然我们的防御手段在不断提升,可依然会出现一些我们无法完全防御的攻击,这里面包含了系统本身的原因和一些人的因素。因此,不断加强和完善防护手段、防护技术以及网络安全管理制度,真正将网络安全放在首位,才能更好的保护自己的系统,保障业务的正常运转,终得“一方水土”的宁静。
本文作者:观安信息
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/144913.html