接下來兩天,我們要來了解各種威脅的種類,並學會怎麼使用 Elastic Endpoint Security,可以讓我們對於保護我們的環境與 enpoints 有扎實的認識。
本篇的主題包含有:
那我們就開始吧!
在討論端點安全性(endpoint security)時,我們指的是系統環境中,工作站、筆電、伺服器等的安全性。
為了更好地保護這些資產並具有防禦威脅所需的 visibility,我們可以在每個端點上部署感測器(sensor),這樣這些端點感測器能夠根據我們的配置來檢測或阻止威脅。
如上圖所示,Elastic Endpoint Platform 藉由 NGINX server 來讀取各個進來的連結,例如端點感測器、網頁使用者介面...等等。接著這些流量會被導到對應內部的微服務中,並且這個 platform 使用 ES、Postgres 和 Redis 來儲存資料,或是至連結 Elastic Cloud 做更彈性的操作。
而當端點越來越多的時候,你就可以使用 Elastic Stack 將不同的 platform 連接在一起,在這種情況下,各個 platform 會把 alert 和 event 送至共同的 ES,再透過 Kibana 做視覺化的呈現,方便監控與管理。
當一個端點設置好的時候,它會和 platform 間建立起一個安全的連線,並透過 API key 來取得授權。SSL 連接會在 enpoint 和 platform 間互相授與權限,防止中間出現有意者的攻擊。
端點事件收集架構會使用不同的機制收集在不同端點的事件,收集後再送入 Event Log Store 儲存。
在確保端點安全之前,我們要先制定保護策略,即是定義偵測和預防的設置。而這些設置分為下列兩種行為:
我們可以制定多個保護策略,以便更精細地控制,達到在重要的資產中使用更好的保護。
當保護策略制定並設置好後,接著就可以建構一個感測器,建構感測器的設置需要告訴它:
設置 Elastic Endpoint Security sensor 的方式可以分為兩種:
In-band 設置只能在 Windows 端點,透過 Windows Remote Management(WinRM)的輔助。
Out-of-band 則是透過手動或是第三方軟體例如 SCCM、BigFix、 PDQDeploy...等等其他設置工具。
而一般的手動步驟會是:
Out-of-band 會在明天的實作練習,讓大家可以一起體驗是什麼感覺!
基於威脅的偵測可用來偵測或預防對於系統的威脅,通常是使用在一個端點上的行為分析。
Elastic Endpoint Security Sensor 使用 dynamic binary instrumentation(DBI)來偵測和預防即時的過度使用,感測器會嘗試偵測或預防下列幾種的過度使用:
在有些情況下惡意軟體的偵測並沒有辦法判斷一個檔案是不是可疑的,但對於公司組織有時候會想要避免某些檔案的開啟,例如:
Elastic Endpoint Security 還可以偵測許多種類的威脅,因為許多細節我也沒碰過比較不暸解,這邊就列著給看官們參考摟:
在 Mitre ATT&CK™ tactics 網站上,可以看到有下列 12 種敵對行為:
ID | 名稱 | 描述 |
---|---|---|
TA0001 | Initial Access | 嘗試進入你的網路 |
TA0002 | Execution | 嘗試執行可疑的程式碼 |
TA0003 | Persistence | 嘗試維持它們的立足點 |
TA0004 | Privilege Escalation | 嘗試取得更高層級的權限 |
TA0005 | Defense Evasion | 嘗試躲避被偵測 |
TA0006 | Credential Access | 嘗試竊取帳號與密碼 |
TA0007 | Discovery | 嘗試摸清楚你的環境 |
TA0008 | Lateral Movement | 嘗試通過你的環境 |
TA0009 | Collection | 嘗試收集對他們目標有興趣的資料 |
TA0010 | Exfiltration | 嘗試竊取資料 |
TA0011 | Command and Control | 嘗試和已妥協的系統聯絡以控制他們 |
TA0040 | Impact | 嘗試操控、打斷或摧毀你的系統和資料 |
哇!今天一口氣好多資訊啊,很多小的都沒碰過,資訊安全真的是一門深厚又重要的學問,剛好今天看到這幾天微軟 ES server 資料 “裸露” 的新聞:https://www.theregister.com/2020/09/23/microsoft_leaks_over_65tb_bing/ ,雖然有人可能覺得只是搜尋的紀錄,但是對於有玩過搜索的人,其實使用者搜尋的 query,可以說是寶藏也不為過,初階的可以從查詢分析現在什麼東西是消費者在意的議題,從中挑整自己公司宣傳和產品的方向,進階的可以拿這些查找來做更為深入的 NLP 模型訓練,舉凡 query correction、suggestion 等等的!所以不要小看搜尋引擎資料的含金量啊~
今天我們了解 Elastic Endpoint Security 架構和各種威脅的種類,明天我們就透過實作來加深認識吧!