大型互聯(lián)網(wǎng)企業(yè)入侵檢測實戰(zhàn)總結_h

1、 寫文章 登錄大型互聯(lián)網(wǎng)企業(yè)入侵檢測實戰(zhàn)總結 職業(yè)欠錢職業(yè)欠錢2 hours ago前言入侵檢測是每一個大型互聯(lián)網(wǎng)企業(yè)都要面對的一個難題。 比如，你怎么知道，當前自己公司是不是已經(jīng)被黑了？是真的沒人來黑，還是別人黑了自己沒有能力感知 到？ 價值越大的公司，面臨入侵的威脅越大，像Yahoo！這樣的互聯(lián)網(wǎng)鼻祖，在落幕時仍遭遇全量數(shù)據(jù)失竊的事 情，一旦發(fā)生在輕資產(chǎn)的數(shù)據(jù)化公司身上，后果不堪想象。 基于保密的考慮，本文不會提及任何具體的策略。希望直接照搬入侵策略的同學可能會失望，但一些思路分 享出來，希望得到大家的指點，如能對大家產(chǎn)生些許幫助，也是一個非常令人開心的事。 限于個人認知，如有謬誤，歡迎同

2、行指點。 摘要入侵的定義：惡意攻擊者不經(jīng)授權控制我方資源 我們要發(fā)現(xiàn)什么樣的入侵： GetShell以及GetShell之后的行為上 入侵和內鬼：內鬼不在入侵檢測討論范圍，移步內部風險控制和審計 入侵檢測的本質：區(qū)分未授權的動作，可以模式匹配、異常檢測，通過加固讓合法行為帶標簽可簡化檢測模型 入侵檢測與攻擊向量：不存在“通用入侵檢測模型”，必須結合“攻擊向量”具體分析常見入侵手法與應對：杜絕高危端口，優(yōu)先聚焦Web GetShell入侵檢測基本原則：減少“誤報”是關鍵 主流的入侵檢測產(chǎn)品形態(tài)：HIDS（服務和終端類似）、NIDS、沙箱、RASP、SIEM/SOC 入侵檢測效果評價指標：主動檢出

3、率、可運營的場景覆蓋率 影響入侵檢測的關鍵要素：系統(tǒng)健康度（保證每一臺主機、每一時刻、每一個策略都健康運行） 如何發(fā)現(xiàn)APT：等待實施APT的人犯錯，高級的0day、木馬并不是APT的代言詞 AI在入侵檢測領域的正確姿勢：別讓AI專家領銜，讓業(yè)務專家提需求，把AI當工具而不是解決方案 什么是入侵電影里典型的入侵場景： 在很遠的地方，通過網(wǎng)絡控制你的筆記本、手機、機房的服務、網(wǎng)絡設備，進而隨意的讀 你（筆記本、手機、服務、網(wǎng)絡設備里）的隱私數(shù)據(jù)（竊取數(shù)據(jù)）、用你的設備上的功能，實 現(xiàn)的意圖，比如使用手機的麥克風竊聽你在說什么，使用筆記本的攝像頭 使用服務的計算能力挖礦，使用網(wǎng)絡能力發(fā)動DDOS攻

4、擊等等你在看什么， 所以，入侵，就是惡意攻擊者（俗稱），不經(jīng)授權的控制、使用我方資源（讀寫文件、執(zhí)行命令、控制 網(wǎng)絡資源等）。廣義上，使用SQL注入竊取數(shù)據(jù)，或者拿到了你在域名ISP里的帳號，可以篡改DNS指向一 個黑頁，又或者找到了你的社交帳號，在微博/QQ/郵箱上，對虛擬資產(chǎn)進行控制，都叫入侵。 我們要發(fā)現(xiàn)什么樣的入侵 企業(yè)里的入侵檢測，多數(shù)時候，需要發(fā)現(xiàn)的是狹義上的入侵 一般指對PC、服務、工作網(wǎng)絡（包 括辦公網(wǎng)、生產(chǎn)網(wǎng)）的控制行為。 而對PC、服務等資產(chǎn)的控制，最主流的方法是通過SHELL去下發(fā)指令，獲得SHELL的這個動作叫做 GetShell。常見的方式有通過Web服務的上傳漏洞，

5、拿到WebShell，或者利用RCE漏洞直接執(zhí)行命令（存在 漏洞的頁面，變相的提供了一個SHELL環(huán)境）。另外，也有通過某種方式先植入木馬后門，后續(xù)直接利用木 馬集成的SHELL功能對目標進行控制。 因此，入侵檢測重點關注的，是GetShell這個動作，以及GetShell成功之后的惡意行為（為了擴大戰(zhàn)果，多半會利用Shell進行探測、翻找竊取、橫向移動攻擊其它內部目標）。至于有一些同行（包括業(yè)界產(chǎn)品）， 喜歡關注GetShell之前的一些“外部掃描、攻擊嘗試”行為，在筆者看來基本上是沒有意義的。因為一個成功 的產(chǎn)品、優(yōu)秀的公司，外部的掃描和嘗試攻擊無時無刻不在持續(xù)發(fā)生的，我們得習慣這是常態(tài)，

6、并在這樣的 常態(tài)下去，有什么加固的策略，可以一開始就做，持續(xù)的運營，如果有什么策略是無法持續(xù)運營的，多 半也就不是一個有效的策略了。 而類似于SQL注入、XSS等一些不直接GetSHell的Web攻擊，暫時不在狹義的“入侵檢測”考慮范圍，而是可以劃入“漏洞”、“威脅感知”等領域，另行探討。當然，利用SQL注入、XSS等入口，進行了GetShell操作 的，我們仍抓GetShell這個關鍵點，而不討論漏洞入口本身。 “入侵”和“內鬼”與入侵接近的一種場景是內鬼。入侵本身是手段，GetShell只是開始，目的是為了之后對資源的控制和數(shù)據(jù) 的竊取。而內鬼本身擁有合法的權限，可以合法接觸感資產(chǎn)，但是基

7、于工作以外的目的對這些資源進行非 法處置，包括拷貝副本、轉移外泄、篡改數(shù)據(jù)牟利等。 內鬼的行為不在“入侵檢測”的范疇，一般從內部風險控制的視角進行管理和審計，比如職責分離、雙人審計等。也有數(shù)據(jù)防泄密產(chǎn)品，DLP對其進行防御，這里不展開。 有時候，知道員工A有權限接觸目標資產(chǎn)，于是定向攻擊員工A，利用員工A的權限把數(shù)據(jù)竊取走，也定 性為“入侵”。畢竟A不是主觀惡意的內鬼。如果不能在攻擊A的那一刻捕獲（軍方級對手可能會擁有0day 無法防御，免殺木馬無法檢測），或者無法區(qū)分控制的A竊取數(shù)據(jù)，和正常員工A的訪問數(shù)據(jù)，那這個入 侵檢測就是失敗的。 入侵檢測的本質 前面已經(jīng)說過入侵就是可以不經(jīng)過你的同意

8、，操作你的資產(chǎn)，手段并沒有任何限制。那么如何找出入侵 行為和合法正常行為的區(qū)別，將其跟合法行為分類開，就是“入侵發(fā)現(xiàn)”。在模型上，它其本質是一個標記問 題（入侵、非入侵）。 可惜的是，入侵這種動作的“黑”樣本特別稀少，想通過大量的數(shù)據(jù)去訓練入侵檢測模型，找出入侵的規(guī)律， 比較難。因此，入侵檢測策略人員，往往需要投入大量的時間，去提煉更精準的表達模型，或者花更多的精 力去構造“類似入侵”的模擬數(shù)據(jù)。一個經(jīng)典的例子是，為了 webshell，行業(yè)人員往往去GitHub上搜索一些公開的webshell樣本，數(shù)量大約是不到1000個。而對于機學習動輒百萬級的訓練需求，這是遠遠不夠 的。 此時，針對已知

9、樣本做技術分類，提煉更精準的模型，被稱為傳統(tǒng)的特征工程，被視為效率低下的重復勞 動，但效果往往比較可以預期。而構造大量的惡意樣本，雖然有機學習、AI等光環(huán)，但在實際環(huán)境中 往往難以獲得成功 自動生成的樣本很難描述webshell本來的含義，多半描述的是自動生成的算法特征。 另一個方面，入侵的區(qū)別是看行為本身是否“授權”，而授權與否本身是沒有任何顯著的區(qū)分特征的。因此， 做入侵的時候，如果能夠通過某種加固，將合法的訪問收斂到有限的通道，并且給該通道做出強有力的 區(qū)分，也就能大大的降低入侵檢測的成本 例如，對訪問來源進行嚴格的認證，無論是自然人，還是程序API，都要求持有合法票據(jù)，而派發(fā)票據(jù)時，針

10、對不同情況做多緯度的認證，再用權限控制臺針對這些票據(jù)記 錄和監(jiān)控它們可以訪問的范圍。 這也是Google的BeyondCorp無邊界網(wǎng)絡得以實施的前提和基礎。因此，入侵檢測的主要思路也就有2種： 1. 根據(jù)特征進行模式匹配；（黑特征法，例如WebShell關鍵字匹配）2. 根據(jù)業(yè)務歷史行為（生成基線模型），對入侵行為做異常對比；（非白既黑），如果業(yè)務的歷史行為不夠 收斂，就用加固的手段對其進行收斂，再挑出不合規(guī)的小眾異常行為。 入侵檢測與攻擊向量 根據(jù)目標不同，可能暴露給的攻擊面，和可以采用的入侵手法，也完全不同。比如，入侵你手頭的PC/筆記本，和入侵部署在機房/云上的服務，攻擊和防御的方法完

11、全不同。 針對一個明確的“目標”，它被訪問的渠道可能是有限集，被攻擊的必經(jīng)路徑也有限。一個可以成功入侵的 攻擊方法 + 目標 合并起來，就稱為一個“攻擊向量”。 因此，談入侵檢測模型效果時，需要先明確攻擊向量，針對不同的攻擊路徑，采集對應的數(shù)據(jù)，才可能做對 應的檢測模型。比如，基于SSH登錄后的SHELL命令采集，是不會讓你發(fā)現(xiàn)Webshell的攻擊的。而基于網(wǎng)絡 流量的采集數(shù)據(jù)，也不會讓你獲悉是否在SSH后的SHELL環(huán)境里執(zhí)行了什么文件切割打包的動作。 基于此，如果有人說自己的模型可以無視場景發(fā)現(xiàn)APT，那就是在扯犢子。首先你得先把APT對應的攻擊向 量羅列出來，每一個細分場景是否擁有數(shù)據(jù)

12、，是否具備發(fā)現(xiàn)能力，都要單獨去建設的。 常見的入侵手法與應對 ， 在全局的范圍內如何排序，解決它耗費的成本和帶來的收益如何，都需要有專業(yè)經(jīng)驗做支撐來決策。 下面說說經(jīng)典教程里，的入侵流程（完整過程可以參考鏈模型）： 要入侵一個目標之前，對該目標是一無所知的，所以第一件事，是“踩點” 也就是搜集信息。比如， 我要黑的目標，有哪些資產(chǎn)（域名、IP、網(wǎng)站服務），它們各自的狀態(tài)如何，是否存在已知的漏洞（工 具），管理他們的人有誰，存在哪些已知的泄漏信息（比如社工庫里的等）一旦踩點完成，核心的思路就是根據(jù)目標找出對應的漏洞、攻擊策略進行滲透，比如： 1. 高危服務入侵所有的公共服務都叫做高危端口，因為該

13、協(xié)議、實現(xiàn)該協(xié)議的開源組件，可能存在已知的攻擊路徑（甚至未 知的0day），只要你的價值足夠高，有足夠的資源去挖掘攻擊手法，那么當你把高危端口開啟的那一 刻，就相當于為打開了大門。 比如SSH、RDP端口開放，這些端口是給管理員維護系統(tǒng)用的，只要知道，就能通過該端口獲得服 務的權限，完成入侵?？赡芡ㄟ^暴力猜碼，獲得憑據(jù)，也可能通過其它方式拿到登錄憑據(jù)。 或許，你的設置得非常強壯，但是這并不是你可以把該端口繼續(xù)暴露在互聯(lián)網(wǎng)的理由，我們應該把這些 端口限制好，只允許自己的IP（或者內部的堡壘主機）訪問，徹底斷掉通過它入侵我們的可能。 與此類似的，MySQL、Redis、FTP、SMTP、MSSQL

14、、Rsync等等，凡是自己用來管理服務或者數(shù)據(jù) 庫、文件的服務，都不應該給互聯(lián)網(wǎng)打開。否則，蠕蟲化的攻擊工具會在短短幾分鐘內攻破你的服務，甚至直接加密你的數(shù)據(jù)，要求你支付比特幣進行勒索。 還有一些高危服務存在RCE漏洞（遠程命令執(zhí)行），只要端口開放，GetShell。 就能利用現(xiàn)成的exploit，直接防御建議： 在這里做入侵檢測的必要性不高，因為高危服務的具體所指非常的多，不一定存在通用的特征， 所以，通過加固方式，收斂攻擊入口才是更有效的策略。禁止所有高危端口對互聯(lián)網(wǎng)開放即可。 2. Web入侵隨著高危端口的加固，知識庫里的攻擊手法很多都會失效了。但是Web服務是現(xiàn)代互聯(lián)網(wǎng)公司的主要服務

15、形式，不可能也都關掉。于是，基于PHP、JAVA、ASP/http:/ASP.NET、NODE、C寫的cgi等等動態(tài)的Web服務本身的漏洞，就變成了入侵的最主要的入口了。 比如利用上能直接上傳一個WebShell、利用文件包含功能，直接引用執(zhí)行一個遠程的WebShell、利用代 碼執(zhí)行的功能，直接當作SHELL的入口執(zhí)行任意命令，利用解析一些圖片、視頻的功能，上傳一個惡意的樣 本，觸發(fā)解析庫的漏洞這里的細分手法是一個專門的領域（道哥專門寫了本白帽子講Web安全），當然，由于它們都是由Web 服務做為入口的，所以，入侵檢測的時候，也總有一些辦法，找到GetShell和正常業(yè)務行為的一些區(qū) 別。

16、這里，基于WAF日志、Access Log、Auditd記錄的系統(tǒng)調用或者SHELL指令，網(wǎng)絡層面上針對response包 體里的特征，都可能提煉出很多攻擊手法，建議主要的精力放在這里。 3. 0day入侵通過NSA泄漏的工具包來看，早些年他們是擁有直接攻擊Apache、Nginx這些服務的能力的。這意味著對手 很可能有一些我們不知道的漏洞，神不知鬼不覺就GetShell了。 但是對于入侵檢測而言，這并不重要 ： 因為我們從來不在乎你利用什么漏洞，我們只關注你所使用的shellcode和之后的行為。Apache存在0day漏洞被攻擊，還是一個php頁面存在低級的漏洞被攻擊，從入侵的 行為上來看

17、，說不定是完全一樣的，入侵檢測模型可以通用。 所以，多把精力聚焦在有哪些手法上，會比關注存在哪些漏洞更有價值 當然，具體漏洞還是要實際 投入跟進和測試，驗證模型的效果。 4. 通過辦公網(wǎng)入侵絕大多數(shù)APT報告里，是先對人下手，比如發(fā)個郵件，哄騙你打開后，控制了你的PC，再進行長期的觀察/翻閱，拿到你的合法憑據(jù)后，再到內網(wǎng)漫游。這一部分，由于之前的合作里，是另一個團隊負責的，所以就不展開了。其實這里才是APT的重頭戲，業(yè)界多數(shù)產(chǎn)品也是圍繞這里，而不是IDC的服務，很遺憾沒 有太多的實戰(zhàn)經(jīng)驗，希望以后有機會可以在這個領域做出一些事情。 入侵檢測基本原則 1. 不能把每一條告警都徹底跟進的模型，等同

18、于無效模型 有入侵了再說之前有告警，只是太多了沒跟過來/沒查徹底，這是馬后炮，等同于不具備發(fā)現(xiàn)能力； 3. 由于任何單模型都會存在漏報，所以我們必須在多個緯度上做多個模型，形成縱深 假設WebShell靜態(tài)文本分析被變形繞過了，在RASP（運行時環(huán)境）的惡意調用還可以監(jiān)控到，這樣可以選擇接受單個模 型的漏報，但在整體上仍然不漏； 4. 任何模型都有誤報漏報，我們做什么，不做什么，需要考慮的是“性價比” 比如某些變形的WebShell可以寫成跟業(yè)務代碼非常相似，人的肉眼幾乎無法識別，再追求一定要在文本分析上進行 很差的決策，通過RASP的檢測方案，其性價比更高一些； ，就是性價比5. 我們不可能

19、知道所有的攻擊手法，也不可能針對每一種手法都建設策略（不具備性價比），但是，針對重點業(yè)務，我們可以通過加固的方式，讓的有效性檢測）可能會讓100%的目標變得現(xiàn)實 能攻擊的路徑極度收斂，僅在關鍵環(huán)節(jié)進行（包括加固基于上述幾個原則，我們可以知道一個事實，或許，我們永遠不可能在單點上做到100分，但是，我們可以通 過一些組合方式，讓攻擊者很難繞過所有的點。 當老板或者藍軍挑戰(zhàn)，為何漏過某個單點的行為時，其實可以換個思維，看其是否能完全不觸碰全局防御體系”，在某個單點上進行無止境的投入，最終可能只是在試圖制造一個 的實現(xiàn)攻擊目標。如果為了“永動機，純粹浪費人力、資源，而不產(chǎn)生實際的收益。 入侵檢測產(chǎn)品

20、的主流形態(tài) 入侵檢測終究是要基于數(shù)據(jù)去建模，比如針對WebShell的檢測，首先要識別web目錄，再對里面的文件進行 文本分析，這需要做一個采集。 基于SHELL命令的入侵檢測模型，需要獲取所有SHELL命令，這可能要Hook系統(tǒng)調用或者劫持SHELL。 基于網(wǎng)絡IP信譽、流量payload進行檢測，或者基于郵件網(wǎng)關對內容的檢查，可能要植入網(wǎng)絡邊界里，對流量 進行旁路采集。 也有一些集大成者，基于多個sensor，將應用日志進行采集后，匯總在一個SOC或者SIEM，再交由大數(shù)據(jù)平臺進行分析運算模型，因此，業(yè)界的產(chǎn)品大致上就分成了以下的形態(tài)： 1. 主機Agent類：攻擊了主機后，在主機上進行的

21、動作，可能會產(chǎn)生日志、進程、命令、網(wǎng)絡等記錄，那么在主機上部署一個采集（也內含一部分檢測規(guī)則），就叫做基于主機的入侵檢測系統(tǒng)，簡稱HIDS； 典型的產(chǎn)品：OSSEC、云盾、360、安全狗，當然，一些APT廠商，往往也有在主機上的sensor/agent，比 如FireEye等 2. 網(wǎng)絡檢測類：由于多數(shù)攻擊向量是會通過網(wǎng)絡對目標進行一些payload的投放，或者控制目標，因此，這些payload和控制協(xié)議，就會有一定的特征，在網(wǎng)絡層面可以識別出來； 典型的產(chǎn)品：Snort，到商業(yè)的各種NIDS/NIPS，如今的威脅情報檢測系統(tǒng)TIP，也屬于這一類； 3. 日志集中存儲類：這一類產(chǎn)品允許主機、網(wǎng)

22、絡設備、應用都輸出各自的日志，集中到一個統(tǒng)一的，在這個，對各類日志進行綜合的分析，判斷是否可以關聯(lián)的把一個入侵行為的多個路徑刻畫出來，例如A主機 的的Web訪問日志里顯示遭到了掃描和攻擊嘗試，繼而主機層面多了一個陌生的進程和網(wǎng)絡連接，最后A主 機對內網(wǎng)其它主機進行了橫向滲透嘗試； 典型的產(chǎn)品：Splunk，各種SIEM解決方案 4. 網(wǎng)關沙箱執(zhí)行類：本質上這類產(chǎn)品是類型2（網(wǎng)絡檢測類）的一種子集，只不過它不重點監(jiān)控惡意特征（繞過的姿勢太多，而且有加密的手法使得payload完全無法被檢測），因此，此類產(chǎn)品往往部署在網(wǎng)關出入口， 或者郵件等服務前面，通過協(xié)議分析，識別流量里的文件，通過虛擬機/沙

23、箱的模擬執(zhí)行（很多魚叉攻擊的 附件），如果發(fā)現(xiàn)類似于doc文件被word打開后，派生CMD之類的異常行為（觸發(fā)網(wǎng)絡下載行為、調用了危 險的系統(tǒng)函數(shù)等都算），就可以把它攔截或者告警出來； 典型產(chǎn)品：FirEye、PaloAuto5. 主機安全防御產(chǎn)品：本質上它也是類型1的一種子集，但是大家可能更耳熟能詳 主流的殺毒軟件（此時可以成為終端安全管理方案），會嚴密的監(jiān)控主機上的一舉一動，比如下載了一個文件、啟動了一個程 文件，哪怕是控制了服務，試圖植入木馬長期潛伏，也可能因為此安全機制而失效。 典型產(chǎn)品：Bit9、SEP、賽門鐵克、卡巴斯基入侵檢測效果評價指標 首先，主動發(fā)現(xiàn)的入侵案例/所有入侵 =

24、有效發(fā)現(xiàn)率。這個指標一定是最直觀的。 比較麻煩的是分母，很多真實發(fā)生的入侵，如果外部不反饋，我們又沒檢測到，它就不會出現(xiàn)在分母里，所 以有效發(fā)現(xiàn)率總是虛高的，誰能保證當前所有的入侵都發(fā)現(xiàn)了呢？ 而且，真實的入侵其實是一個低頻行為 畢竟，我們的目標是不發(fā)生入侵，應該提前加固好，不給趁之機才對。很久沒出現(xiàn)真實入侵案例，這個指標長期不變化，是無法刻畫入侵檢測能力的提升的。 可 所以一般還會引入2個指標來觀測： 1. 藍軍主動發(fā)現(xiàn)率 2. 已知場景建成覆蓋率 藍軍主動和演習，彌補真實入侵低頻的缺陷，但是由于藍軍掌握的攻擊手法往往也是有限的，他們 多次演習后，手法和場景可能會被羅列完畢，這里的建設和補漏

25、不會那么及時。 所以，把已知攻擊手法的建成覆蓋率拿出來，也是一個側面評價指標。 入侵檢測團隊把精力聚焦在已知攻擊手法的優(yōu)先級評估和快速覆蓋上，對建設到什么程度是滿足需要的，要有自己的專業(yè)判斷。（參考入侵檢測原則里的“性價比”原則） 比如，我們目前制定的新策略上線前的驗收標準是： 1. 單場景日均工單X單，峰值Y單；所有場景日平均Z，峰值XX，超出該指標的策略不予接收，不視為具 備對應能力； 2. 同IP、相同業(yè)務模塊（類似屬性）多次觸碰相同規(guī)則，具備自動抑制能力，首次出現(xiàn)告警，多次出現(xiàn)自動 合并； 3. 具備誤報自學習能力 4. 具備可讀性（有清晰的風險闡述、關鍵信息、處理指引、輔助信息或者索

26、引，便于定性） 5. 策略上線前需要自測(輸出自測報告)、有清晰的說明文檔(運營人員按照這個文檔驗收)6. 策略驗收完成需輸出驗收報告 7. 不得私自調用微信、短信等接口發(fā)告警，必須走統(tǒng)一的告警框架(應急策略臨時可開通，2-3天緩沖期，但必須用正式策略替換應急策略，或者下掉應急策略)在滿足驗收標準的前提下，策略人員形成文檔，說明對當前場景哪些手法具備覆蓋能力，哪些前提下會無法 告警（考驗一個人對該場景和自己模型的理解能力）?？梢詫Σ呗缘某墒於刃纬勺栽u得分，0-100分滿分，自評滿足基礎的覆蓋能力后，可能還存在一些遺憾，它們的提高邊際成本變高，很可能不會追求到極致，而是 投入到下一個場景的覆蓋里

27、去。如果某個場景出現(xiàn)了真實，又沒有交叉的其它策略進行彌補，那自評滿 足要求的結論是要被的。 影響入侵檢測的關鍵要素 討論影響入侵檢測的要素時，我們可以簡單看看曾經(jīng)發(fā)生過哪些錯誤導致我們不能主動發(fā)現(xiàn)入侵（這里的每 一條，背后可能都是一個令人遺憾的真實漏報case）： 1. 依賴于主機agent采集數(shù)據(jù)的模型，在當事機上，沒部署安裝/agent掛了/數(shù)據(jù)上報過程丟失了/Bug了 2.數(shù)據(jù)分析模塊故障（丟棄數(shù)據(jù)） 3. 策略腳本Bug、沒啟動4. 還沒建設對應的策略 5. 策略的靈度不夠（比如掃描的閾值沒達到，WebShell用了變形的手法） 6. 模型依賴的部分基礎數(shù)據(jù)錯誤，做出了錯誤的判斷 7.

28、 成功告警了，但是工單應急同學錯誤的判斷/沒有跟進/輔助信息不足以定性 所以，實際上，要讓一個入侵獲，我們需要有專門的運營人員對以下目標負責： 1. 數(shù)據(jù)采集的完整性 2. 每一個策略時刻工作正常（撥測監(jiān)控） 3. 針對高危場景策略要覆蓋，靈度要滿足一般需要 4. 依賴的基礎數(shù)據(jù)要準確 5. 工單運營支撐平臺及追溯輔助工具完備 可能有些同學會想，影響入侵檢測的關鍵要素難道不是模型的有效性么？怎么全是這些亂七八糟的東西？ 實際上，稍微上規(guī)模的企業(yè)，上述的每一點要長期維持在高可用標準，都非常不容易。比如懂攻防的策略同學，對基礎數(shù)據(jù)質量不關心不負責，最終的效果就是明明能發(fā)現(xiàn)的入侵，總是有各種原因恰好

29、發(fā)現(xiàn)不了。之 前，筆者親歷過有大量的案例，明明對手很菜，手法很簡單，但就是因為這些因素給漏過了。 所以，我常感慨，以某些運營質量之差，根本輪不到跟拼策略（技術）。 當然，一旦有兄弟幫忙去跟進這些質量運營工作之后，我們的確就真的需要拼策略了。 這個時候，攻擊手法有那么多，憑什么先選擇這個場景建設？憑什么認為建設到這個程度就足夠滿足對已知 手法的感知了？憑什么選擇發(fā)現(xiàn)這些樣本而放棄那些樣本？ 這些極具主觀性的東西，往往考驗的是判斷力、執(zhí)行力等專業(yè)度，不能等到 我們原定明年建設的入侵了才解釋說，這個場景 如何發(fā)現(xiàn)APT所謂APT，就是高級的持續(xù)威脅。既然是高級的，按照一般的描述，他們的木馬是免殺的（

30、不能假定我們可以發(fā)現(xiàn)這個木馬）、他們的漏洞不公開的（不能假定我們可以加固抵抗）、他們的手法是高級的（不能假定 這個手法在已知的范疇里）。 所以，實際上APT的意思就幾乎等同于我們不能發(fā)現(xiàn)的入侵了。 但是，業(yè)界總還有APT檢測產(chǎn)品、解決方案的廠商在混飯吃，他們是怎么做的呢？ 說木馬免殺的，他們用沙箱+人工分析，哪怕效率低一些，還是試圖做出定性，并快速的把IOC（威脅情報） 同步給其它客戶，發(fā)現(xiàn)1例，全網(wǎng)都去排查。 說流量變形的，他們用異常檢測的模型，把一些不認識的可疑的IP關系、payload給識別出來 當 然，識別出來之后，也要運營人員跟進得仔細才能定性。 說攻擊手法高級的，他們還是會假定就用

31、魚叉、水坑之類的已知手法去執(zhí)行，然后在郵箱附件、PC終端等 環(huán)節(jié)采集日志，對用戶行為進行分析，UEBA試圖尋找出用戶異于平常的動作。 那么，我們呢？我沒有什么好的辦法，可以發(fā)現(xiàn)中的免殺的木馬，但是我們可以針對已知的攻擊框架（比如metasploit、cobalt strike）生成的木馬類型、行為進行一些特征的提取，比如DNS隧道的通訊，比如IP信譽 的模型，比如默認生成的不免殺木馬的共性特征等。 我們可以假設已經(jīng)有控制了某一臺機，但是它試圖進行橫向擴散的時候，我們有一些模型可以識別它 的探測、翻找、入侵嘗試等行為。 我們暫時還不知道如何100%發(fā)現(xiàn)APT，但是如果真的有APT在公司里，有本事

32、這個團隊別犯錯，永遠都不觸 碰我們所有的鈴鐺。否則，只要他犯錯，就輪到我們出場了。 前面所有的高標準，包括高覆蓋、低誤報，必須跟進到底，都是在等待這一刻。因此，我們堅持住，即使聽過無數(shù)次“狼來了”，下一次仍然必須用最高的敬畏心去對待新的告警。 AI在入侵檢測領域的正確姿勢 最近這2年，不談AI故事就不會完整。只不過，隨著AI概念的火爆，很多人已經(jīng)把數(shù)據(jù)挖掘、統(tǒng)計分析的一些說法，比如分類、預測、聚類、關聯(lián) 之類的算法，改名字叫AI了。 入侵檢測本質上是對數(shù)據(jù)做標記（labeling）解決方式上，可以分為分類（classify），或者聚類 （cluster），區(qū)別是已有的數(shù)據(jù)是否有標簽。入侵檢測領

33、域，多數(shù)沒有動輒上百萬的樣本的可供模型去訓練，也就是無法使用數(shù)據(jù)來刻畫特征。 此時，安全領域一個比較常見的現(xiàn)象是，將場景轉變成標記問題，要難過于通過數(shù)學模型把標記的解給求出 來。也就是要業(yè)務專家先行，算法專家再跟上，而不能直接讓算法專家閉門造車。 所以，針對一個具體的攻擊場景，怎么樣采集對應的入侵數(shù)據(jù)，思考這個入侵動作和正常人的區(qū)別，這個特 征的提取過程，往往決定了模型最終的效果。特征決定了效果的上限，而算法模型決定了多接近這個上限。 如果有一個純粹的AI團隊，上來不關注攻擊具體場景就用這些算法對已知樣本進行訓練和建模，是不可能有好的結果的。入侵檢測的同學，和AI的同學，必須形成一種相互合作而不是單方面覺得高人一等的關系，才可能做出有實用價值的結果。 此前，筆者曾見過一個案例，AI團隊產(chǎn)出了一個實驗室環(huán)境效果極佳，但是在實際環(huán)境里卻不如人意的Webshell模型。這個項目的誕生，是源自該團隊試圖做一個AI模型來跟傳統(tǒng)的Webshell模型做效果對比 都是在文本靜態(tài)分析方面去做檢測，即便AI在實驗室環(huán)境的效果再好，也仍舊有漏報，而且，原團隊所放棄 的抵抗，也由RASP彌補過了，于是該項目事實上并未產(chǎn)生應有的價值。 這個例子并非說該團隊不優(yōu)秀，而是壓根就不該讓AI的同學去獨自承擔整個壓力，甚至不推薦“使用AI做