1. 主動傳感器
1.1. 需要主動監控以檢測可疑活動和潛在威脅,並基於監控結果採取行動
1.2. 如果沒有一個好的檢測系統,安全態勢就沒有徹底完成增強,這意味着要在整個網絡中部署正確的傳感器以監控活動
1.3. 藍隊應該利用現代檢測技術,創建用户和計算機配置文件,以便更好地瞭解正常操作中的異常和偏差
2. 檢測能力
2.1. 由於當前的威脅形勢動態性強,變化快,因此需要能夠快速調整以適應新攻擊的檢測系統
2.2. 傳統的檢測系統依賴於手動微調初始規則、固定閾值和固定基線,很可能會觸發過多的誤報,這對當今的許多組織來説是不可忍受的
2.3. 技術
-
2.3.1. 來自多個數據源的數據關聯
-
2.3.2. 畫像
-
2.3.3. 行為分析
-
2.3.4. 異常檢測
-
2.3.5. 活動評估
-
2.3.6. 機器學習
-
2.3.7. 人工智能
2.4. 一些傳統的安全控制(如協議分析和基於簽名的反惡意軟件)仍在防禦體系中佔有一席之地,但主要用於對抗遺留威脅
-
2.4.1. 不應該僅僅因為你的反惡意軟件沒有任何機器學習功能就將其卸載,它仍然是對主機的一級保護
-
2.4.2. 所有防禦的總和形成了一個整體安全態勢,它可以通過額外的防禦層來增強
2.5. 只關注重點用户的傳統防禦思維已經無效了,不能再使用這種方法並期望保持有效的安全態勢
- 2.5.1. 當前威脅檢測必須跨所有用户賬户運行,對它們進行分析,並瞭解它們的正常行為
2.6. 當將數據與上下文聯繫起來時,自然會減少誤報的數量,併為事件響應團隊提供更有意義的結果,以便採取反應行動
2.7. 攻陷指示器
-
2.7.1. Indicators of Compromise,IoC
-
2.7.2. 當發現新的威脅時,它們通常會呈現特定的行為模式並在目標系統中留下足跡
-
2.7.3. IoC可以在文件的散列值、威脅行為者使用的特定IP地址、與攻擊類型相關的域名以及網絡和主機工件中找到
3. 入侵檢測系統
3.1. Intrusion Detection System,IDS
3.2. 問題
-
3.2.1. 應該由誰來監控IDS?
-
3.2.2. 誰應該擁有IDS的管理權限?
-
3.2.3. 如何根據IDS生成的告警處理事件?
-
3.2.4. IDS的更新策略是什麼?
-
3.2.5. 應在哪裏安裝IDS?
3.3. 負責檢測潛在的入侵併觸發告警,告警的處理方式取決於IDS策略
3.4. 基於特徵碼的IDS將查詢以前攻擊特徵碼(足跡)和已知系統漏洞的數據庫,以驗證發現的是一個威脅以及是否必須觸發告警
- 3.4.1. 由於這是一個簽名數據庫,因此需要不斷更新才能擁有最新版本
3.5. 基於行為的IDS工作原理是根據它從系統中瞭解到的信息創建模式基線
- 3.5.1. 一旦它學會了正常的行為,識別與正常活動的偏差就變得更容易了
3.6. IDS告警可以是任何類型的用户通知,用於提醒用户注意潛在入侵活動
-
3.6.1. 可以是基於主機的入侵檢測系統(Host-based Intrusion Detection System,HIDS),其中IDS機制將僅檢測針對特定主機的入侵嘗試
-
3.6.2. 可以是基於網絡的入侵檢測系統(Network-based Intrusion Detection System,NIDS),檢測安裝了針對NIDS的網段的入侵
3.7. 網段
-
3.7.1. DMZ/邊界
-
3.7.2. 核心企業網絡
-
3.7.3. 無線網絡
-
3.7.4. 虛擬化網絡
-
3.7.5. 其他關鍵網段
3.8. 傳感器將只監聽流量,這意味着它不會過多消耗網絡帶寬
3.9. 藍隊必須瞭解公司的限制並幫助確定安裝這些設備的最佳位置
4. 入侵防禦系統
4.1. Intrusion Prevention System,IPS
4.2. 概念與IDS類似,但顧名思義,它通過採取糾正措施來阻止入侵
4.3. 與IDS可用於主機(HIDS)和網絡(NIDS)的方式相同,IPS也可用於HIPS和NIPS
- 4.3.1. NIPS在網絡中的位置非常重要
4.4. 基於規則的檢測
-
4.4.1. IPS會將流量與一組規則進行比較,並嘗試驗證流量是否與規則匹配
-
4.4.2. 當需要部署新規則來阻止試圖利用漏洞進行攻擊時,這非常有用
-
4.4.3. NIPS系統(如Snort)能夠通過利用基於規則的檢測來阻止威脅
-
4.4.4. 使用開源NIPS(如Snort)的優勢在於,當遇到新威脅時,社區通常會使用新規則快速響應以檢測該威脅
4.5. 基於異常的檢測
-
4.5.1. 異常檢測基於IPS分類為異常的內容,這種分類通常基於啓發式或一組規則
-
4.5.2. 它的一種變體稱為統計異常檢測,它對網絡流量進行隨機採樣並將其與基線進行比較
-
4.5.3. 如果此樣本超出基線,則會引發告警並自動採取操作
5. 內部行為分析
5.1. 仍有許多企業以混合模式運營,其中很多資源仍在內部部署
5.2. 企業將關鍵數據留在企業內部,而將低風險的工作負載遷移到雲端
5.3. 攻擊者往往以靜默方式滲透到內部網絡中,進行橫向遷移並提升權限,保持與命令和控制的連接,直到能夠執行任務
5.4. 在內部部署進行行為分析是對於快速打破攻擊殺傷鏈至關重要
5.5. 組織可以利用用户和實體行為分析(User and Entity Behavior Analytic,UEBA)來發現安全漏洞
-
5.5.1. 使用UEBA檢測攻擊有很多優點,但其中最重要的一點是,能夠在早期階段檢測到攻擊並採取糾正措施來遏制攻擊
-
5.5.2. 當內部部署有UEBA系統時,系統知道用户通常訪問哪些服務器,哪些共享,通常使用什麼操作系統來訪問這些資源,以及用户的地理位置
5.6. 實體行為分析內容
-
5.6.1. 在安全研究的基礎上對攻擊媒介和用例場景進行優先級排序,該研究使用MITRE ATT&CK框架的戰術、技術和子技術
-
5.6.2. 數據源:優先考慮Azure數據源,但也允許從第三方數據源攝取
-
5.6.3. 分析:利用機器學習(ML)算法等功能來識別非常規活動
5.7. 所有這些關於為什麼用户的行為被標記為可疑的信息,對確定用户的活動是否可能對系統構成更大的威脅有很大幫助
5.8. 設備放置
- 5.8.1. 安裝UEBA的位置將根據公司的需要和供應商的要求而有所不同
5.9. 如今,越來越多的公司正在從純粹的內部運營轉向在混合環境中工作,這需要進行更多考量
6. 混合雲中的行為分析
6.1. 當藍隊需要創建對策來保護混合環境時,需要擴展他們對當前威脅形勢的看法並進行評估,以驗證與雲的持續連接並檢查對整體安全態勢的影響
6.2. 長期使用IaaS的用户表示該技術最終會對安全產生積極影響
6.3. 藍隊應該集中精力以提高綜合檢測能力的地方,其目的是利用混合雲功能改善整體安全態勢
6.4. 第一步是與雲提供商建立良好的合作伙伴關係,瞭解他們擁有哪些安全功能,以及如何在混合環境中使用這些安全功能
6.5. Microsoft Defender for Cloud
-
6.5.1. 使用的日誌分析代理可以安裝在內部計算機(Windows或Linux系統)以及Azure中運行的VM、AWS或GCP中
-
6.5.2. 利用安全情報和高級分析來更快地檢測威脅並減少誤報
-
6.5.3. 在理想情況下,藍隊可以使用此平台,可視化位於不同雲提供商的所有工作負載中的告警和可疑活動
-
6.5.4. 威脅情報
-
6.5.5. 行為分析
-
6.5.6. 異常檢測
6.6. 安全管理員從一個單一的控制面板上管理位於多個雲供應商的資源和本地資源
6.7. 告警是按優先級組織的,有一欄專門用於將告警與MITRE ATT&CK戰術進行映射
- 6.7.1. 它可以讓你意識到威脅行為者實際上已經深入組織中
6.8. PaaS工作負載分析
-
6.8.1. 混合雲中,不僅有IaaS工作負載,在某些場景中,實際上使用平台即服務(Platform as a Service,PaaS)工作負載啓動遷移的組織也非常常見
-
6.8.2. PaaS的安全傳感器和分析高度依賴雲提供商
- 6.8.2.1. 要使用的PaaS應該具備內置告警系統的威脅檢測功能
-
6.8.3. 在Azure中有很多PaaS,如果依據安全關鍵性等級對服務進行分類,毫無疑問,任何存儲數據的服務都被認為是關鍵的
-
6.8.4. 方案
-
6.8.4.1. Defender for SQL:啓用Azure中的SQL威脅檢測
-
6.8.4.2. Defender for Storage:為Azure存儲賬户啓用威脅檢測
-
6.8.4.3. Defender for Containers:為Azure容器註冊表和Kubernetes啓用威脅檢測
-
6.8.4.4. Defender for App Services:為Azure Web應用程序啓用威脅檢測
-
6.8.4.5. Defender for Key Vault:為Azure密鑰庫啓用威脅檢測
-
6.8.4.6. Defender for DNS:為Azure DNS啓用威脅檢測
-
6.8.4.7. Defender for Resource Manager:為Azure資源管理器啓用威脅檢測
-
-
6.8.5. 每個Defender for Cloud計劃都將根據特定服務的威脅情況提供一組不同的告警
