攻防對抗的過程,實際就是一場信息掌握情況的博弈。誰知曉了更多的信息,誰就能制定更全面、有效的對抗戰略,在攻防對抗中獲得先機。
沒有溯源,敵暗我明太被動
孫子兵法有云,知己知彼,百戰不殆。在當前的網絡攻防戰爭中,能完成知己的產品已經很多,資產清點、基線核準、系統配置檢查等等。再加上防守方對自身了解的天然優勢,“知己”這一步并沒有太大的難度。
然而,能真正實現“知彼”的產品卻鳳毛麟角,寥寥無幾。更多的時候,經常處于兩眼一抹黑的狀況。誰來了不知道,從哪進來的不知道,干了什么也不知道。被黑了不可怕的,可怕的是被黑了還暈乎乎。能否準確“知彼”,成為了獲得攻防戰爭主動權的關鍵。
視野不丟,防御無憂
杰思安全打造的新一代主機安全響應系統,杰思獵鷹,一改以往守株待兔式的等待與響應,而是采用攻擊者角度,通過持續性檢測技術,能更快、更早地發現威脅,鎖定威脅源頭并控制影響范圍。它不僅能為事后的系統加固和漏洞修復等提供充足的依據,還能全面還原入侵過程,通過大數據分析制定更有針對性的主動防護策略,避免二次事件的發生。
信息是溯源的核心,全面而詳實的主機側安全數據是提供精準溯源的基石。杰思獵鷹通過對主機操作系統的關鍵入口進行定點監控,以及對主機系統內部的動態行為進行持續跟蹤,記錄差異化增量,采集與主機進程關聯的調用關系、網絡關系、注冊表、文件訪問/創建、計劃任務、賬號、系統信息、系統命令等信息。通過4W1H問答,全生命周期展示所有入侵環節,為用戶提供更真實的主機安全視野。
Who——究竟是誰?追溯第一臺失陷主機;
Where——從哪進來?明確攻擊入侵入口:是web漏洞,密碼失竊,還是網絡釣魚等;
When——何時攻入?顯示入侵動作發生的時間;
What——做了什么?是竊取敏感數據,持久化,還是橫向移動等;
How far——多大影響?展示關聯主機信息,明確擴散范圍。
杰思獵鷹將主機或網絡安全事件的碎片化信息進行串聯梳理,并以圖形化方式展示威脅事件的多維信息關聯,清晰地展示了主機側進程、文件與文件名之間的因果依賴關系。還將上下文事件的調用關系展示得清清楚楚,真正做到了有跡可循,有據可查。
以某web漏洞入侵事件為例。收到杰思獵鷹告警后,通過深度溯源,可知率先被攻下的主機與時間。同時看到,攻擊者是通過Web漏洞進入系統并且獲得webshell后,再向主機植入后門程序,下發控制指令對主機進行信息收集。記錄進程啟停時間、進程路徑、進程ID、攻擊源等關鍵指標,便于后續的應急處置。
聯動響應,安排得明明白白
光有主機側的安全數據還不夠,不進行充分地利用,它就只是一個信息孤島。杰思獵鷹在主機側收集大量的第一手數據后,將深度溯源與威脅情報、安全告警、微隔離、智能響應進行聯動,實現了從被動到主動的防御轉變。
在杰思安全實驗室的研究成果基礎上,匯集IoC、IP信譽、文件信譽等威脅情報,結合大數據分析引擎,對數據進行處理、聚合、加工最終形成可視化的攻擊入侵路徑圖。還可配合微隔離安全防護策略,或者智能威脅響應策略,對安全事件做到快捷閉環操作,有始有終。
以某次釣魚攻擊為例。通過深度溯源查看,知曉第一臺失陷主機的位置與失陷時間。發現失陷主機使用者打開附件中的惡意word文檔,直接觸發反彈shell,并dump密碼hash值。通過微隔離策略配置,可防止以該主機為跳板進一步橫向滲透。通過“一鍵隔離”操作,可快速邏輯隔離該主機,阻斷一切網絡流量。
