iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 25
0
Elastic Stack on Cloud

ES 新手,破門而入!!!系列 第 25

【ES新手,破門而入!】Day25 - Security 點線面,從安全的 Endpoint 出發!

你可以學到?

接下來兩天,我們要來了解各種威脅的種類,並學會怎麼使用 Elastic Endpoint Security,可以讓我們對於保護我們的環境與 enpoints 有扎實的認識。

本篇的主題包含有:

  1. Endpoint Security 架構
  2. 威脅行為
  3. 敵對行為

那我們就開始吧!

Endpoint Security 架構

簡介 Elastic Endpoint Security

在討論端點安全性(endpoint security)時,我們指的是系統環境中,工作站、筆電、伺服器等的安全性。

為了更好地保護這些資產並具有防禦威脅所需的 visibility,我們可以在每個端點上部署感測器(sensor),這樣這些端點感測器能夠根據我們的配置來檢測或阻止威脅。

如上圖所示,Elastic Endpoint Platform 藉由 NGINX server 來讀取各個進來的連結,例如端點感測器、網頁使用者介面...等等。接著這些流量會被導到對應內部的微服務中,並且這個 platform 使用 ES、Postgres 和 Redis 來儲存資料,或是至連結 Elastic Cloud 做更彈性的操作。

而當端點越來越多的時候,你就可以使用 Elastic Stack 將不同的 platform 連接在一起,在這種情況下,各個 platform 會把 alert 和 event 送至共同的 ES,再透過 Kibana 做視覺化的呈現,方便監控與管理。

當一個端點設置好的時候,它會和 platform 間建立起一個安全的連線,並透過 API key 來取得授權。SSL 連接會在 enpoint 和 platform 間互相授與權限,防止中間出現有意者的攻擊。

端點事件收集架構(Endpoint Event Collection Architecture)

端點事件收集架構會使用不同的機制收集在不同端點的事件,收集後再送入 Event Log Store 儲存。

制定保護策略

在確保端點安全之前,我們要先制定保護策略,即是定義偵測和預防的設置。而這些設置分為下列兩種行為:

  • 威脅:可藉由感測器,使用行為分析和機器學習偵測到的項目。所有威脅都具有可以被偵測和防禦的辦法,檔案隔離是針對惡意和黑名單檔案的辦法之一。
  • 敵對:可藉由感測器,使用本地事件的收集資料所偵測到的項目。這些獨特的事件或事件檢測序列被映射到 Mitre ATT&CK™ 矩陣。

我們可以制定多個保護策略,以便更精細地控制,達到在重要的資產中使用更好的保護。

建構感測器

當保護策略制定並設置好後,接著就可以建構一個感測器,建構感測器的設置需要告訴它:

  • 什麼 IP 或 domain name 可以連接
  • 使用什麼 Proxy
  • 採用什麼保護策略
  • 本地事件儲存的大小
  • 從預設值修改的感測器,在硬碟中應該要看起來像什麼

設置感測器

設置 Elastic Endpoint Security sensor 的方式可以分為兩種:

  • In-band
  • Out-of-band

In-band 設置只能在 Windows 端點,透過 Windows Remote Management(WinRM)的輔助。

Out-of-band 則是透過手動或是第三方軟體例如 SCCM、BigFix、 PDQDeploy...等等其他設置工具。

而一般的手動步驟會是:

  1. 下載想要設置的感測器描述設定
  2. 執行特定指令包含安裝感測器 binary 和設置檔案

Out-of-band 會在明天的實作練習,讓大家可以一起體驗是什麼感覺!

威脅行為

基於威脅的偵測可用來偵測或預防對於系統的威脅,通常是使用在一個端點上的行為分析。

過度使用

Elastic Endpoint Security Sensor 使用 dynamic binary instrumentation(DBI)來偵測和預防即時的過度使用,感測器會嘗試偵測或預防下列幾種的過度使用:

  • Critical API Filtering:偵測到嘗試執行過多次的關鍵 API
  • Header Protection:偵測到嘗試讀取過多次受保護的 PE header
  • Macro Protection:偵測到在 Windows Office 應用程式中嘗試執行過多次可疑的 VBA macros
  • Return Heap:偵測到嘗試從一個受保護的函式過度回傳 heap memory
  • Return Oriented Programming(ROP)Chain:偵測到嘗試過度執行一個受保護的函式
  • Shellcode Threats:使用起始 address 創建一個新 thread,該起始 address 並不位於已加載的模組中。
  • Stack Memory:當攻擊者嘗試使用 Virtual Protect 改變 stack pages 權限成 +X
  • Stack Pivot:偵測到過度嘗試劫持 thread stack
  • UNC Path:呼叫一個受保護的函式時使用 Universal Name Convention(UNC) 路徑

黑名單

在有些情況下惡意軟體的偵測並沒有辦法判斷一個檔案是不是可疑的,但對於公司組織有時候會想要避免某些檔案的開啟,例如:

  • 未經授權的軟體
  • 阻擋不經常在 Endgame Platform 被預防的檔案類型

更多可以偵測的威脅

Elastic Endpoint Security 還可以偵測許多種類的威脅,因為許多細節我也沒碰過比較不暸解,這邊就列著給看官們參考摟:

  • 可疑巨集 Malicious Macros (Office Documents)
  • 惡意軟體 Malware
  • 機密存取 Credential Access
  • 權限提升 Privilege Escalation
  • 程序注入 Process Injection
  • 勒索軟體 Ransomware

敵對行為

Mitre ATT&CK™ tactics 網站上,可以看到有下列 12 種敵對行為:

ID 名稱 描述
TA0001 Initial Access 嘗試進入你的網路
TA0002 Execution 嘗試執行可疑的程式碼
TA0003 Persistence 嘗試維持它們的立足點
TA0004 Privilege Escalation 嘗試取得更高層級的權限
TA0005 Defense Evasion 嘗試躲避被偵測
TA0006 Credential Access 嘗試竊取帳號與密碼
TA0007 Discovery 嘗試摸清楚你的環境
TA0008 Lateral Movement 嘗試通過你的環境
TA0009 Collection 嘗試收集對他們目標有興趣的資料
TA0010 Exfiltration 嘗試竊取資料
TA0011 Command and Control 嘗試和已妥協的系統聯絡以控制他們
TA0040 Impact 嘗試操控、打斷或摧毀你的系統和資料

今日心得與短結

哇!今天一口氣好多資訊啊,很多小的都沒碰過,資訊安全真的是一門深厚又重要的學問,剛好今天看到這幾天微軟 ES server 資料 “裸露” 的新聞:https://www.theregister.com/2020/09/23/microsoft_leaks_over_65tb_bing/ ,雖然有人可能覺得只是搜尋的紀錄,但是對於有玩過搜索的人,其實使用者搜尋的 query,可以說是寶藏也不為過,初階的可以從查詢分析現在什麼東西是消費者在意的議題,從中挑整自己公司宣傳和產品的方向,進階的可以拿這些查找來做更為深入的 NLP 模型訓練,舉凡 query correction、suggestion 等等的!所以不要小看搜尋引擎資料的含金量啊~

今天我們了解 Elastic Endpoint Security 架構和各種威脅的種類,明天我們就透過實作來加深認識吧!


上一篇
【ES新手,破門而入!】Day24 - 國土安全 Elastic SIEM 保衛隊!新兵登出!
下一篇
【ES新手,破門而入!】Day26 - 預防勝於治療!網路異常偵測觀念篇!
系列文
ES 新手,破門而入!!!30

尚未有邦友留言

立即登入留言