iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 15
1

昨天提到我們要以任務導向,而非工具導向來運用網路安全監控NSM,今天藉由一個範例資安事件,思考網路安全監控的應用。

以下面範例公司網路示意圖為例:假設第一道防線的防火牆被突破,在D區有一台電腦PC1被入侵,接著從D區的電腦PC1往外聯絡C2 伺服器下載進一步攻擊指示,然後依據指示利用PowerShell橫向移動,入侵到含有重要資料的E區伺服器S1,竊取E區伺服器S1裡儲存的個資後,藉由網路管道外洩回傳給入侵者。

https://ithelp.ithome.com.tw/upload/images/20181028/20084806Fbk3c6Jqoj.jpg
*範例公司網路示意圖

面對這樣的資安事件,一般大部分的反應會是:1.我們要構建更厲害的強防火牆,捉到惡意流量把它擋在牆外;2.買更厲害的防毒軟體,在D區電腦PC1端就把入侵行為消滅掉。

但是面對來自Fileless attac/non-malware attack的威脅,功能強大的防火牆也不一定能阻止;傳統防毒軟體很難在D區電腦PC1端偵測到Fileless Attack ,可參見文末的《Carbon Black: What Is a Non-Malware (or Fileless) Attack?》 一文。我們不妨換一個思維看看其他的方法:

1.入侵往往是一系列行為的總和,入侵者事前會進行偵查、試探,我們想研究所有incoming網路流量,藉此提升偵測率與準確度,從中找出入侵的蛛絲馬跡,提早發現D區電腦PC1被入侵。

方法:將NSM佈署在防火牆前面,進行偵測分析。

2.當D區的電腦PC1往外聯絡C2伺服器尋求下一步攻擊指示,如果我們提早發現,便可藉此判斷電腦PC1有被入侵的可能,阻止進一步危害。

方法:在內網例如B點進行網路安全監控,將監控流量和其他收集的資料比對分析, 配合其他資料例如已知的IOC(Indicator of Compromise)或接收的Threat Intelligence 資安威脅情資,判斷對外聯絡的流量是否為聯絡C2伺服器。

3.當D區電腦PC1橫向移動入侵到含有重要資料的伺服器S1,若能偵查到這個橫向移動的惡意行為,就可以阻止進一步存取資料。

方法:在E區伺服器S1裝設HIDS可以增加偵測的可能性,但是與其在E區每台伺服器安裝HIDS,以NSM監控這橫向移動的流量,尋找異常的PowerShell 或WMI執行,一旦發現便能回朔指令源頭,判斷PC1有被入侵的可能性。

4.當個資藉由網路管道外洩回傳給入侵者,希望能偵測到這個行為。

方法:以NSM監控流量,監看傳輸的檔案是否為事先判定的機密檔案;或者檢視檔案本身是否有個資。加以警示。(這部分要先克服加密流量的問題)

以上簡單提出幾個運用網路安全監控幫助偵測、分析的方法,明天繼續談NSM的操作。

Carbon Black: What Is a Non-Malware (or Fileless) Attack?
https://www.carbonblack.com/2017/02/10/non-malware-fileless-attack/


上一篇
NSM 14:工具導向 v.s. 任務導向
下一篇
NSM16: 休息時間聊聊資安證照兩三事
系列文
學習網路安全監控的30天30

尚未有邦友留言

立即登入留言