知己知彼,攻防实战中用深度溯源打开全视野

2021-03-24

攻防对抗的过程,实际就是一场信息掌握情况的博弈。谁知晓了更多的信息,谁就能制定更全面、有效的对抗战略,在攻防对抗中获得先机。

没有溯源,敌暗我明太被动

孙子兵法有云,知己知彼,百战不殆。在当前的网络攻防战争中,能完成知己的产品已经很多,资产清点、基线核准、系统配置检查等等。再加上防守方对自身了解的天然优势,“知己”这一步并没有太大的难度。

然而,能真正实现“知彼”的产品却凤毛麟角,寥寥无几。更多的时候,经常处于两眼一抹黑的状况。谁来了不知道,从哪进来的不知道,干了什么也不知道。被黑了不可怕的,可怕的是被黑了还晕乎乎。能否准确“知彼”,成为了获得攻防战争主动权的关键。

视野不丢,防御无忧

杰思安全打造的新一代主机安全响应系统,杰思猎鹰,一改以往守株待兔式的等待与响应,而是采用攻击者角度,通过持续性检测技术,能更快、更早地发现威胁,锁定威胁源头并控制影响范围。它不仅能为事后的系统加固和漏洞修复等提供充足的依据,还能全面还原入侵过程,通过大数据分析制定更有针对性的主动防护策略,避免二次事件的发生。

信息是溯源的核心,全面而详实的主机侧安全数据是提供精准溯源的基石。杰思猎鹰通过对主机操作系统的关键入口进行定点监控,以及对主机系统内部的动态行为进行持续跟踪,记录差异化增量,采集与主机进程关联的调用关系、网络关系、注册表、文件访问/创建、计划任务、账号、系统信息、系统命令等信息。通过4W1H问答,全生命周期展示所有入侵环节,为用户提供更真实的主机安全视野。

Who——究竟是谁?追溯第一台失陷主机;

Where——从哪进来?明确攻击入侵入口:是web漏洞,密码失窃,还是网络钓鱼等;

When——何时攻入?显示入侵动作发生的时间;

What——做了什么?是窃取敏感数据,持久化,还是横向移动等;

How far——多大影响?展示关联主机信息,明确扩散范围。

杰思猎鹰将主机或网络安全事件的碎片化信息进行串联梳理,并以图形化方式展示威胁事件的多维信息关联,清晰地展示了主机侧进程、文件与文件名之间的因果依赖关系。还将上下文事件的调用关系展示得清清楚楚,真正做到了有迹可循,有据可查。

以某web漏洞入侵事件为例。收到杰思猎鹰告警后,通过深度溯源,可知率先被攻下的主机与时间。同时看到,攻击者是通过Web漏洞进入系统并且获得webshell后,再向主机植入后门程序,下发控制指令对主机进行信息收集。记录进程启停时间、进程路径、进程ID、攻击源等关键指标,便于后续的应急处置。

联动响应,安排得明明白白

光有主机侧的安全数据还不够,不进行充分地利用,它就只是一个信息孤岛。杰思猎鹰在主机侧收集大量的第一手数据后,将深度溯源与威胁情报、安全告警、微隔离、智能响应进行联动,实现了从被动到主动的防御转变。

在杰思安全实验室的研究成果基础上,汇集IoC、IP信誉、文件信誉等威胁情报,结合大数据分析引擎,对数据进行处理、聚合、加工最终形成可视化的攻击入侵路径图。还可配合微隔离安全防护策略,或者智能威胁响应策略,对安全事件做到快捷闭环操作,有始有终。

以某次钓鱼攻击为例。通过深度溯源查看,知晓第一台失陷主机的位置与失陷时间。发现失陷主机使用者打开附件中的恶意word文档,直接触发反弹shell,并dump密码hash值。通过微隔离策略配置,可防止以该主机为跳板进一步横向渗透。通过“一键隔离”操作,可快速逻辑隔离该主机,阻断一切网络流量。