綜合威脅管理簡易操作手冊

精品文檔word可編輯

最

新

網(wǎng)

絡

安

全

仔與

綜合威脅管理簡易操作手冊

anEcl010/2017-12-ll09:23:00/瀏覽數(shù)3260技術文章技術文堂15(0)踩⑻

IntegratedThreatManagementForDummies(琮合威脅管理)

byPeterGregor/

1當前的威脅場景

威脅發(fā)展

年齡大一點的安全專家會記得那個防火墻和反病者軟件就可以阻擋大多數(shù)攻擊的時代，現(xiàn)在出現(xiàn)了越來越多的威脅和攻擊.每年有成年上萬的新的惡意軟件變種.現(xiàn)在可能每

變異的惡意軟件

一般來說,以基于爰名的反病由軟件作為主要防御方式的時代已經過去了。而依賴役名來是識別和阻止病由、蛇蟲、木馬的反病由軟件對于今天的經過變異的惡意軟件來說是

內部威脅

當安全專家討論內部威脅時,他們討論的實際上是整個潛在的有害活動.許多人會以為這只包括一些惡意的職員,但是內部威脅遠不止這些，如今內部威脅的籟念包括：

無意的錯誤，職員無意間點擊了他們不應該點擊的東西(垃圾郵件)，發(fā)送郵件給不應該收到的接受者。

判斷失誤。職員重用函碼、存儲能私信息到個人云,在瀏覽器上安奘工具插件等。

狹乏培訓。職員收到了存信敏感信息的新辦法.但是他們可能不理解如何去具體的應用。書時這會讓隱私數(shù)據(jù)和系統(tǒng)處于危險中。

惡意職員。一些職員可能覺得資金要被解雇了.他們就會下教所有的客戶數(shù)據(jù)和獲獎或目源代碼,開發(fā)人員還可能會植入時間炸彈來在將來的某個時間破壞重要數(shù)據(jù)。

惡意戚脅很戲阻止,主要是因為信息系統(tǒng)只做告訴做的事情，而不會考慮公司的政策和用于的意圖.所有好的計劃都可以被誤用或者潴用來達到某些惡意意圖,

逐漸消失的網(wǎng)絡邊界

管有一段時間,用戶可以通過防火堵來保護內部網(wǎng)絡.隨石互聯(lián)網(wǎng)的發(fā)展，用戶和商業(yè)伙伴可以訪問內部和外部系統(tǒng),職員的筆記本電腦從世界各地連接到公司網(wǎng)絡.企業(yè)也

云遷徙

許多企業(yè)已經不在購美硬件來在自己的數(shù)據(jù)中心安裝商業(yè)應用了。企業(yè)正在逐漸遷徙到云端,他們從IBMSoftlayerAmazonWebServices.Microsoft

Azure這樣的laas租了基于云的應用和收件系統(tǒng).遷徙到云上給企業(yè)帶來7■巨大的經濟效應但是很少有企業(yè)考慮這種遷徙帶來的威脅和風數(shù).企業(yè)組織假定云提曬為他們

在工作中使用自己的設備

APP拒這樣的公司滿足了我們對更好的終端設備的需求.比如MacBook

Ak箔記本、iPads和iPhones等。人們會帶著這樣的設備去公司并迂接到企業(yè)內部網(wǎng)絡，大多數(shù)的n"是不能阻止他們的.尤其是當高管說我們要杷我的iPad連接到內部網(wǎng)絡時

新的技術發(fā)展讓非IT的職員在不告知IT部門的情況下.做任何想做的事情;這可能在一些方面對企業(yè)是有好處的.而帶來的潛在風險也是很多，許多的曲務人士在工作中選擇

APT

AdvancedPersistentThreats

(APTS)已經是一種高級持續(xù)性攻擊,特定的組織和個人可以用來攻擊其他單元達到竊取用戶數(shù)據(jù)、破壞數(shù)據(jù)或者信息系統(tǒng)的目的.APT包含許多的攻擊工具和技術,攻擊者用

數(shù)據(jù)泄露

U.S.醫(yī)療保險提供商

2015年初.一人大的US醫(yī)療保險商報告說8千萬市民的個人信息可能被竊了。竊取這些數(shù)據(jù)的方法并沒有公開.但是應該是通過杓魚攻擊或水坑攻擊發(fā)起的一個簡單的惡意軟

U.S.零售商

該公司的數(shù)據(jù)池露導致超過1億客戶的信用卡數(shù)據(jù)被竊，這些客戶都在2013年底在商店用信用卡進行過支付，竊取明文信用卡號的惡意軟件被植入到收款終端中.仝業(yè)有檢測

U.S.醫(yī)療提供商

Kentucky的一家醫(yī)院發(fā)布過一份聲明說,醫(yī)院的服務器感染了勒索軟件。在系統(tǒng)恢復上線前，醫(yī)療電子記錄無法讓問。

計算機和網(wǎng)絡安全提供商

雖然是一家安全提供商,但這家公司在2011年被黑。目標是這家公司的雙因素認證產品,所以入侵者能夠嘗試用產品自帶的遠程訪問認證來入侵公司的網(wǎng)絡,攻擊是從發(fā)送給

2防御復雜攻擊

攻擊預防

攻擊預防是手動的.但是預防并不是可選的,愿意在信息系統(tǒng)上進行投資來支持商業(yè)過程的企業(yè).必須同時在培訓員工和獲取工具上進行投資，來幫助保護他們的系統(tǒng).

攻擊預防的原則

囚為存在不同的攻擊方法,所以會書不同的方法來預防這些攻擊的發(fā)生，在了解攻擊和預防技術技術之前.我們首先要理解攻擊預防的原則。

如果深入思考這些原則,你可能會得到和大多數(shù)安全專家同樣的結論網(wǎng)絡斗爭是不公平的.表中的原則幾乎不可能實現(xiàn),很明顯.在這場斗爭中.攻擊者是由優(yōu)挎的.當防

攻擊防御實踐

當你覺得自己處于劣后的時候,你可以做一些努力：

漏洞管理：必要的商業(yè)實踐含有許多識冽漏洞、使用漏洞數(shù)據(jù)反饋、對系統(tǒng)打補丁的活動。這對戒少漏洞利用有一定的幫助.也能讓攻擊者訪問目標系統(tǒng)變難。

補丁管理.這包括熟取可用補丁信息和通過簡歷的變化管理U在來優(yōu)化和應用潮洞補丁。

系統(tǒng)硬化這是緊縮系統(tǒng)和組件配苴的實踐，移除非必要的模塊和工具,移除韭必要的用戶賬戶。這些技術記錄在系統(tǒng)和組件硬化標準中.應該包含在應用到企業(yè)的新筆

權限減小版少管理和普通用戶的權限到工作圾。這可以限制攻擊者接管瞇戶后的能力范圍，

供給面減少：通過從環(huán)境中移除對功能沒有重要影響的組件和系統(tǒng)來預防攻擊.這可以成少潛在攻擊目標的數(shù)1B,也減少了攻擊者入侵企業(yè)的入口點。

安全意識培訓這是對提施用戶進行抵抗社會工程學攻擊的實踐,比如強密碼、遵循安全策略和步驟、限制對敏感和感要信息的使用和傳播這樣的安全實踐.

網(wǎng)絡入侵防徹

網(wǎng)絡入侵防御是使用工具和技術來幫助檢測和攔截基于網(wǎng)絡的攻擊的安全實踐。因為網(wǎng)絡是攻擊者進行偵查、發(fā)起攻擊、竊取敏感數(shù)據(jù)的方式，所以使用一些檢測和攔截基于

預防網(wǎng)絡入侵的基本攻擊是IPS也叫做NIPS,IPS和NIPS書所不同，IPS是基于主機的入侵防御系統(tǒng)（HIPS）,而NIPS是基于網(wǎng)絡的入侵防御系統(tǒng)，文中的IPS既可以指代NIP

?3連接內外網(wǎng).檢查進入和外出的網(wǎng)絡流?.并與預設的規(guī)則進行比較.來決定接受、還是攔截數(shù)據(jù)包。圖2-1是企業(yè)中IPS的描述，當包被攔截后.I”就創(chuàng)建一條日志記錄

終端惡意軟件保護

黑客在攻擊中會使用一些技術來避免被檢測到，使用這些避免被檢測到的技術.黑客不僅可以入侵企業(yè)還可以在幾個月內不被檢測到，在網(wǎng)絡中建立落腳點是很瑣碎的.經常

為了應對該威脅許多廠商已經從基于種態(tài)簽名的檢測機制轉移到下一代基于行為的的檢測機制.更多的關注攻擊者活動的模式,而不是和攻擊者相關的某個事件、文件和IP

3檢測基礎設施中的威脅

理解威脅檢測的原則

如果有人嘗試去入侵你的環(huán)境,需要注意一個或更多的系統(tǒng)或網(wǎng)絡組件。他們注意的東西可能剛開始不是威脅，但這可能是入侵的信號。下面是的威脅檢測的更要和時效性原

盡可能收集所有的安全數(shù)據(jù)。應該記錄發(fā)土在力儲、處理、傳敏感數(shù)據(jù)的每個系統(tǒng)和設備上的軍安信息：離較攻擊可以關閉日志、坑輯日志、世王刪除日志,因此收集

存儲安全事件數(shù)據(jù)到統(tǒng)一的數(shù)據(jù)庫。有所有設笛的登錄日志當然很好,可是當這些數(shù)據(jù)敞布在整個企業(yè)的不同服務器上,當你想要查看時，就會比較麻煩.甚至日志數(shù)據(jù)

保護日志數(shù)據(jù)..收集日志數(shù)次的目的是囚為攻擊系統(tǒng)的人會想要擦倬他入侵的記錄,因此這會讓中央登錄系統(tǒng)變成第二個攻擊目標，日志存儲的設備和系統(tǒng)必須要正確的

生成有意義事件的告警消息。最小的系統(tǒng)每天也能生成M單位的日志數(shù)據(jù).大一點的系統(tǒng)抵天可以生成上G的日志。這么大?的日志數(shù)據(jù),人們很難從中尋找到跋助，集中

遵循*應〃騏。對于每種可能生成的告警.工作人員都需要知道他們應該采取什么樣的行動,響應流程應該是書面性的.而且應該進行檢查和實踐”

記錄對于戚脅告警的響應.當告警產生以后，對于該告警消息產生的響應應該進行記錄.這包括采取的措施、時間、以及執(zhí)行的人.

松去重要事件.重要事件需要進行復2E,討論事件的原因，和應對這種事件的所應該采取的變化,以及喻應的有效性。

威脅檢測并不只是技術向震，同時需要有正確的商業(yè)過程和步驟.對員工進行教育讓他們知道如何使用工具和做響應的決定，

威脅情報定義

企業(yè)威脅情報的定義是:

上下文相關、基于證據(jù)的知識、融入到平臺和工具中,能很快和正確的解決個人、企業(yè)所面臨的威脅的生態(tài)系統(tǒng)或標準化的資產.

如果企業(yè)想要接近實時地對安全事件進行回應.那么企業(yè)就特要威脅情報。但是想要威脅情報作為一種有價值的商業(yè)過程并不簡單：安全產業(yè)并沒有在威脅情報的最優(yōu)管理上

威脅情報的源分為以下三類：

目標情報.這包括威脅單元和他們所用的技術以及c&c基N設施的信息.也可能包含目標行業(yè)和傷害若的信息“

黑意軟件情報。包括已知惡意軟件和技術、目標漏洞、被逆向的愿意軟件的信息.

名聲情報.已知的惡意戶地址、域名和URL的信息.

威脅可見性

威脅數(shù)據(jù)的內部來源

你發(fā)現(xiàn)安全事件的主要來源可能是日志數(shù)據(jù)收集。企業(yè)的集中化的日志收集和事件檢測應該包含以下的日志源

■防火墻

路由器和交換機

■IPS

網(wǎng)絡流系統(tǒng)

Web過濾器

Datalossprevention數(shù)據(jù)丟失預防系統(tǒng)

郵件服務器和垃圾郵件過濾器

服務器、數(shù)據(jù)庫管理系統(tǒng)和應用

■終端

物理安全系統(tǒng)

環(huán)境控制系統(tǒng)

■代理

無線AP

■漏洞掃描工具

網(wǎng)絡上存儲、處理、傳遞敏感數(shù)據(jù)的設備都應該記錄曰志到集中的曰志管理系統(tǒng)中.

威脅數(shù)據(jù)的外部來源

企業(yè)要在邊界外尋找威脅情報數(shù)據(jù)采使他們能對潸在剛協(xié)進行哂應.這包括威脅數(shù)據(jù)的技術源和策略源.首先看一下技術源:

廠商安全建議“成熟的哽件和軟件廠商會公布公司產品的安全建議來向客戶發(fā)出威脅和解決方案的告警消息.

開源安全建議。一些安全研究團隊和公司會公布一些威脅信息。這些建議的發(fā)布時間會比廠海的運議更早一些，

法律實施和新向媒體。美國國土安全部這樣的法律實施組織會向公眾和可信方發(fā)布建議.

商業(yè)解決方案。IBMXforce也會威脅情報提供源.

處理威脅數(shù)據(jù)

之前說過要把分散在不同位置的日志數(shù)據(jù)集中在一起，但這不只是存儲GB/PB級的日志數(shù)據(jù)。還需要對這些數(shù)據(jù)進行實時分析，及時識別威脅,讓工作人員可以及時哨應和阻

圖3QRadar主界面

異常檢測

一個檢測威脅的有效方法是能夠在系統(tǒng)和網(wǎng)絡中檢測異常，這是通過長期觀察系統(tǒng)行為和網(wǎng)絡流量進行的.這也是一個基線。當系統(tǒng)或網(wǎng)絡中出現(xiàn)沒有出現(xiàn)過的任何事(異常

異常檢測有三個主要的組件：

用戶一點用和的抿剖析

■閥值

■季節(jié)性

異常可以通過自動化的規(guī)則和特定的查找規(guī)則發(fā)現(xiàn)。姑本點是通過用戶行為的明顯變化、應用的違接數(shù)、數(shù)據(jù)量等來識別。

4威脅響應

響應安全事件

響應步驟

1、檢測

在這一階段意設到安全事件的存在,這可能耒源于SIEM(securityInformationandeventmanagement)平臺或者外部廠商發(fā)布的警告或通知.

2、分析

通過研究事件的線索來證明它的合理性，還要看是否和一些!§兆信息相關。分析師可能需要做進一步測送、收集額外的信息來建立一個更加完整的事件畫面。

3、優(yōu)先級

在事件分析的過程中,專業(yè)技術人員會迅速理解事件對組織繼續(xù)處理能力的影洎,也就是對重要信息的機密性和完整性的影響。龍事件評定優(yōu)先級可以希助管理人員理解隨后

4、通知

事件咕應需要通過在組織中通知合理的人員。組織需要通知外部的第三方，比如客戶、商業(yè)伙伴、管理者、法律執(zhí)行者和公眾等.決定通知的范圍掌樨在高管手中.

5、遏制和取證

事件洎應者和可能參與的其他工作人員開始采取措旅來停止該事件,包括短期的改變來停止該事件。同時,鬲要迸行取證工作的證據(jù)采集.

6、恢復

事件靖應者移筌惡意軟件、重建系統(tǒng)、各份恢復、系墳補丁分發(fā)、采取響應的措施防止同樣的事件再次發(fā)生。

7、事件回看

事后回在的目的是松查事件檢測開始的步驟和事件響應.這幫助找出事件檢測和響應的不同方面,改弱系統(tǒng)、工具、過程和員工培訓的機會.目的是為了防止再次發(fā)生和改菩

培訓

這種事件并不會經常在大多數(shù)組織中發(fā)生.所以事件哨應者可能不熟悉這些過程.為了讓事件響應者更熟悉哂應的過程,需要進行下面的過程

培訓：有經聆的應急響應專家（老師）進行過程的培訓。

實踐：模擬真文的事件,讓培訓的經驗更加真實、記得也更加深刻。

建議的培訓周期是每年一次。

自動修復

IBMBigFix這樣的工具可以可以對高級威脅和漏洞在分鐘級上進行響應.與IBMResilient工具配合使用,可以幫助減小數(shù)據(jù)泄露和攻擊帶來的傷吉，

尋求外援

盡管是最好的規(guī)劃、最好的安全響應步驟、工具和培訓,企業(yè)需要外部對于安全事件提供幫助.比如稅惠信息和知識產權的竊?。篒BM

Xforce應急響應和情報服務中心就是這樣的外部幫助.可以為公司提供安全應急響應.幫助其管理安全事件、執(zhí)行取證、修復溫澗、改善安全策珞、步驟和操作，

持續(xù)改善

與IT、安全和質急響應相關的所有東西.企業(yè)都應該采取持續(xù)改善的方法，對安全應急響應來說.就是：

至少每年檢查一次過程文檔，尋找可以改善的地方。

檢查現(xiàn)有的工具和工具所只備的能力.來尋找加快應急檢測、響應和修復的機會.

檢查事件來尋找改善響應過程的機會.通過改變系統(tǒng)和過程又幫助減少事件發(fā)生的可能性和帶來的響應。

必須在實踐中對步驟進行實踐,來庭保有效住，

改芒有許多的形式,包括技術先進性,步驟文件中額外的細節(jié)、工業(yè)標準的更新、更好的應急響應和取證工具.更多更好的員工培訓。

網(wǎng)絡取證

除非入侵者走入辦公室或數(shù)據(jù)中心去飾電腦或電子媒體.一般來說,攻擊者會使用企業(yè)的網(wǎng)絡來進行監(jiān)控、攻擊目標系統(tǒng)和窗取數(shù)據(jù),因為入侵者會使用企業(yè)的網(wǎng)絡來竊取企

監(jiān)控

每個企業(yè)都會有需要逸守的法律、規(guī)章和標準，一些是企業(yè)必須監(jiān)控的.包括

遵循情況。法律和工業(yè)標準強制執(zhí)行對數(shù)據(jù)保存、傳輸?shù)冗^程的安全需求。

反惡意軟件狀態(tài)和惡意軟件感染,記錄所有惡意軟件嘗試感染系統(tǒng)、改變行為的行為.還有終端和服務器上反惡意軟件軟件的健康狀態(tài)，

防火墻規(guī)則的例外,通過配置防火墻來記錄外部和內部違法安全策略發(fā)送流量的嘗試，一些事件表明即將到來和正在進行的安全事件需要及時的響應。

IPS告警.1巧的告警消息大多是網(wǎng)絡偵查的暗示，這是燮試入侵組織或入侵已經發(fā)生的標志”

無效嘗試特權賬戶的登錄.內部或外部的人會嘗試登錄網(wǎng)絡設備、服務器、終潴和應用上的特權帳號來竊取信息或破壞操作.

對系統(tǒng)和設備非授權的改變.內部和外部的人員可能會對系統(tǒng)和設備進行非授權的改變.對內部人員來說,對內部人員來說,有時候是由于粗心,有時候就是烝意的.

應用和應用配置的非授權修改。攻擊者可能會嘗試對應用和配置進行非授權的修改,有時候是因為管理不善的原因.但是有時是將組織的錢和也感數(shù)據(jù)進行分割的方案的

嘗試繞過認證機制。入侵者有很多不同的技巧來欺騎系統(tǒng)和設備讓他們在不提供登錄憑證的情況下盤錄。

要試改變或限制活動日志，如果入侵者能夠通過改變活動能夠日志的方式艱除他的記錄,那就會讓事件檢測和取證變得更難，

凳試訪問數(shù)據(jù)中心等敏感區(qū)域.迸入敏感區(qū)域竊取組件、備管集體、筆記本、服務器.

哲理不若等會造成很多的安全除患,所以大多數(shù)的組織需要執(zhí)行監(jiān)控來檜測這些活動.

5安全操作和響應

安全供應商生態(tài)

很多企業(yè)從不同的生產商處購買安全工具卻沒有考電這些安全工具如何協(xié)同的問題.即使企業(yè)在每種工具里選擇了最好的,結果也可能是這些工具在解決有些問題上有田疊

Security就提供了這樣的安全生態(tài)環(huán)境“

完整的威脅管理

IBMSecurityOperationsandResponse架構能夠幫助企業(yè)應該大多數(shù)高級和潛在威脅；IBMX-Force

Exchange是一個基于云的威脅情報分享平臺,該平臺的威脅情報型分鐘更新一次。

戰(zhàn)勝持續(xù)的復雜威脅需要三步策略.分別是

預防。利用攻擊來幫助預防攻擊。這些工具包括基于網(wǎng)絡的和基于終端的保護工具。

檢測。因為不可能預防所有攻擊,或許已經網(wǎng)絡中已經有了惡意軟件，所以槍窩是很關鍵的一步。檢測到攻擊之后.需要很快地進行響應。

項應。企業(yè)需要工具,也要知道如何迅速有效地迸行響應。

SIEM安全信息和事件管理系統(tǒng)

預防、檢測、曲響應都需要對綜合數(shù)據(jù)的訪問，安全信怠和事件管理(SIEM)系統(tǒng)是威脅管理環(huán)境的核心。SIEM需要從不同的系統(tǒng)和設備收集登錄數(shù)據(jù).然后執(zhí)行實時分析

通信協(xié)議

對于系統(tǒng)間的電子傳遞的威脅信息，已經有了很多標毒。這些標準讓企業(yè)更加容易地將隔闕的點產1s融合到威脅管理系統(tǒng)中去。

6綜合威脅管理的十大技術

下面是十大有效響應威脅的技術：

ExposureAnalysis漏洞分析

理解每個漏洞和威脅的含義和對企業(yè)帶來的影響是非常有必要的，所以分析師需要琬定每個漏洞和威脅的風險.芥斷出每個漏河的事件場景，還需要理解可能的應急場毋的種

PrioritizeRisk風險評級

每個威脅都有發(fā)生的可能性,會對企業(yè)帶來一定的影響，每個漏澗都有被利用的可能性.也有漏洞被利用的影響，每個事件也會