攻防對抗的過程,實際就是一場信息掌握情況的博弈。誰知曉了更多的信息,誰就能制定更全面、有效的對抗戰(zhàn)略,在攻防對抗中獲得先機(jī)。
沒有溯源,敵暗我明太被動
孫子兵法有云,知己知彼,百戰(zhàn)不殆。在當(dāng)前的網(wǎng)絡(luò)攻防戰(zhàn)爭中,能完成知己的產(chǎn)品已經(jīng)很多,資產(chǎn)清點、基線核準(zhǔn)、系統(tǒng)配置檢查等等。再加上防守方對自身了解的天然優(yōu)勢,“知己”這一步并沒有太大的難度。
然而,能真正實現(xiàn)“知彼”的產(chǎn)品卻鳳毛麟角,寥寥無幾。更多的時候,經(jīng)常處于兩眼一抹黑的狀況。誰來了不知道,從哪進(jìn)來的不知道,干了什么也不知道。被黑了不可怕的,可怕的是被黑了還暈乎乎。能否準(zhǔn)確“知彼”,成為了獲得攻防戰(zhàn)爭主動權(quán)的關(guān)鍵。
視野不丟,防御無憂
杰思安全打造的新一代主機(jī)安全響應(yīng)系統(tǒng),杰思獵鷹,一改以往守株待兔式的等待與響應(yīng),而是采用攻擊者角度,通過持續(xù)性檢測技術(shù),能更快、更早地發(fā)現(xiàn)威脅,鎖定威脅源頭并控制影響范圍。它不僅能為事后的系統(tǒng)加固和漏洞修復(fù)等提供充足的依據(jù),還能全面還原入侵過程,通過大數(shù)據(jù)分析制定更有針對性的主動防護(hù)策略,避免二次事件的發(fā)生。
信息是溯源的核心,全面而詳實的主機(jī)側(cè)安全數(shù)據(jù)是提供精準(zhǔn)溯源的基石。杰思獵鷹通過對主機(jī)操作系統(tǒng)的關(guān)鍵入口進(jìn)行定點監(jiān)控,以及對主機(jī)系統(tǒng)內(nèi)部的動態(tài)行為進(jìn)行持續(xù)跟蹤,記錄差異化增量,采集與主機(jī)進(jìn)程關(guān)聯(lián)的調(diào)用關(guān)系、網(wǎng)絡(luò)關(guān)系、注冊表、文件訪問/創(chuàng)建、計劃任務(wù)、賬號、系統(tǒng)信息、系統(tǒng)命令等信息。通過4W1H問答,全生命周期展示所有入侵環(huán)節(jié),為用戶提供更真實的主機(jī)安全視野。
Who——究竟是誰?追溯第一臺失陷主機(jī);
Where——從哪進(jìn)來?明確攻擊入侵入口:是web漏洞,密碼失竊,還是網(wǎng)絡(luò)釣魚等;
When——何時攻入?顯示入侵動作發(fā)生的時間;
What——做了什么?是竊取敏感數(shù)據(jù),持久化,還是橫向移動等;
How far——多大影響?展示關(guān)聯(lián)主機(jī)信息,明確擴(kuò)散范圍。
杰思獵鷹將主機(jī)或網(wǎng)絡(luò)安全事件的碎片化信息進(jìn)行串聯(lián)梳理,并以圖形化方式展示威脅事件的多維信息關(guān)聯(lián),清晰地展示了主機(jī)側(cè)進(jìn)程、文件與文件名之間的因果依賴關(guān)系。還將上下文事件的調(diào)用關(guān)系展示得清清楚楚,真正做到了有跡可循,有據(jù)可查。
以某web漏洞入侵事件為例。收到杰思獵鷹告警后,通過深度溯源,可知率先被攻下的主機(jī)與時間。同時看到,攻擊者是通過Web漏洞進(jìn)入系統(tǒng)并且獲得webshell后,再向主機(jī)植入后門程序,下發(fā)控制指令對主機(jī)進(jìn)行信息收集。記錄進(jìn)程啟停時間、進(jìn)程路徑、進(jìn)程ID、攻擊源等關(guān)鍵指標(biāo),便于后續(xù)的應(yīng)急處置。
聯(lián)動響應(yīng),安排得明明白白
光有主機(jī)側(cè)的安全數(shù)據(jù)還不夠,不進(jìn)行充分地利用,它就只是一個信息孤島。杰思獵鷹在主機(jī)側(cè)收集大量的第一手?jǐn)?shù)據(jù)后,將深度溯源與威脅情報、安全告警、微隔離、智能響應(yīng)進(jìn)行聯(lián)動,實現(xiàn)了從被動到主動的防御轉(zhuǎn)變。
在杰思安全實驗室的研究成果基礎(chǔ)上,匯集IoC、IP信譽、文件信譽等威脅情報,結(jié)合大數(shù)據(jù)分析引擎,對數(shù)據(jù)進(jìn)行處理、聚合、加工最終形成可視化的攻擊入侵路徑圖。還可配合微隔離安全防護(hù)策略,或者智能威脅響應(yīng)策略,對安全事件做到快捷閉環(huán)操作,有始有終。
以某次釣魚攻擊為例。通過深度溯源查看,知曉第一臺失陷主機(jī)的位置與失陷時間。發(fā)現(xiàn)失陷主機(jī)使用者打開附件中的惡意word文檔,直接觸發(fā)反彈shell,并dump密碼hash值。通過微隔離策略配置,可防止以該主機(jī)為跳板進(jìn)一步橫向滲透。通過“一鍵隔離”操作,可快速邏輯隔離該主機(jī),阻斷一切網(wǎng)絡(luò)流量。
