攻防對(duì)抗的過(guò)程,實(shí)際就是一場(chǎng)信息掌握情況的博弈。誰(shuí)知曉了更多的信息,誰(shuí)就能制定更全面、有效的對(duì)抗戰(zhàn)略,在攻防對(duì)抗中獲得先機(jī)。
沒(méi)有溯源,敵暗我明太被動(dòng)
孫子兵法有云,知己知彼,百戰(zhàn)不殆。在當(dāng)前的網(wǎng)絡(luò)攻防戰(zhàn)爭(zhēng)中,能完成知己的產(chǎn)品已經(jīng)很多,資產(chǎn)清點(diǎn)、基線核準(zhǔn)、系統(tǒng)配置檢查等等。再加上防守方對(duì)自身了解的天然優(yōu)勢(shì),“知己”這一步并沒(méi)有太大的難度。
然而,能真正實(shí)現(xiàn)“知彼”的產(chǎn)品卻鳳毛麟角,寥寥無(wú)幾。更多的時(shí)候,經(jīng)常處于兩眼一抹黑的狀況。誰(shuí)來(lái)了不知道,從哪進(jìn)來(lái)的不知道,干了什么也不知道。被黑了不可怕的,可怕的是被黑了還暈乎乎。能否準(zhǔn)確“知彼”,成為了獲得攻防戰(zhàn)爭(zhēng)主動(dòng)權(quán)的關(guān)鍵。
視野不丟,防御無(wú)憂
杰思安全打造的新一代主機(jī)安全響應(yīng)系統(tǒng),杰思獵鷹,一改以往守株待兔式的等待與響應(yīng),而是采用攻擊者角度,通過(guò)持續(xù)性檢測(cè)技術(shù),能更快、更早地發(fā)現(xiàn)威脅,鎖定威脅源頭并控制影響范圍。它不僅能為事后的系統(tǒng)加固和漏洞修復(fù)等提供充足的依據(jù),還能全面還原入侵過(guò)程,通過(guò)大數(shù)據(jù)分析制定更有針對(duì)性的主動(dòng)防護(hù)策略,避免二次事件的發(fā)生。
信息是溯源的核心,全面而詳實(shí)的主機(jī)側(cè)安全數(shù)據(jù)是提供精準(zhǔn)溯源的基石。杰思獵鷹通過(guò)對(duì)主機(jī)操作系統(tǒng)的關(guān)鍵入口進(jìn)行定點(diǎn)監(jiān)控,以及對(duì)主機(jī)系統(tǒng)內(nèi)部的動(dòng)態(tài)行為進(jìn)行持續(xù)跟蹤,記錄差異化增量,采集與主機(jī)進(jìn)程關(guān)聯(lián)的調(diào)用關(guān)系、網(wǎng)絡(luò)關(guān)系、注冊(cè)表、文件訪問(wèn)/創(chuàng)建、計(jì)劃任務(wù)、賬號(hào)、系統(tǒng)信息、系統(tǒng)命令等信息。通過(guò)4W1H問(wèn)答,全生命周期展示所有入侵環(huán)節(jié),為用戶提供更真實(shí)的主機(jī)安全視野。
Who——究竟是誰(shuí)?追溯第一臺(tái)失陷主機(jī);
Where——從哪進(jìn)來(lái)?明確攻擊入侵入口:是web漏洞,密碼失竊,還是網(wǎng)絡(luò)釣魚等;
When——何時(shí)攻入?顯示入侵動(dòng)作發(fā)生的時(shí)間;
What——做了什么?是竊取敏感數(shù)據(jù),持久化,還是橫向移動(dòng)等;
How far——多大影響?展示關(guān)聯(lián)主機(jī)信息,明確擴(kuò)散范圍。
杰思獵鷹將主機(jī)或網(wǎng)絡(luò)安全事件的碎片化信息進(jìn)行串聯(lián)梳理,并以圖形化方式展示威脅事件的多維信息關(guān)聯(lián),清晰地展示了主機(jī)側(cè)進(jìn)程、文件與文件名之間的因果依賴關(guān)系。還將上下文事件的調(diào)用關(guān)系展示得清清楚楚,真正做到了有跡可循,有據(jù)可查。
以某web漏洞入侵事件為例。收到杰思獵鷹告警后,通過(guò)深度溯源,可知率先被攻下的主機(jī)與時(shí)間。同時(shí)看到,攻擊者是通過(guò)Web漏洞進(jìn)入系統(tǒng)并且獲得webshell后,再向主機(jī)植入后門程序,下發(fā)控制指令對(duì)主機(jī)進(jìn)行信息收集。記錄進(jìn)程啟停時(shí)間、進(jìn)程路徑、進(jìn)程ID、攻擊源等關(guān)鍵指標(biāo),便于后續(xù)的應(yīng)急處置。
聯(lián)動(dòng)響應(yīng),安排得明明白白
光有主機(jī)側(cè)的安全數(shù)據(jù)還不夠,不進(jìn)行充分地利用,它就只是一個(gè)信息孤島。杰思獵鷹在主機(jī)側(cè)收集大量的第一手?jǐn)?shù)據(jù)后,將深度溯源與威脅情報(bào)、安全告警、微隔離、智能響應(yīng)進(jìn)行聯(lián)動(dòng),實(shí)現(xiàn)了從被動(dòng)到主動(dòng)的防御轉(zhuǎn)變。
在杰思安全實(shí)驗(yàn)室的研究成果基礎(chǔ)上,匯集IoC、IP信譽(yù)、文件信譽(yù)等威脅情報(bào),結(jié)合大數(shù)據(jù)分析引擎,對(duì)數(shù)據(jù)進(jìn)行處理、聚合、加工最終形成可視化的攻擊入侵路徑圖。還可配合微隔離安全防護(hù)策略,或者智能威脅響應(yīng)策略,對(duì)安全事件做到快捷閉環(huán)操作,有始有終。
以某次釣魚攻擊為例。通過(guò)深度溯源查看,知曉第一臺(tái)失陷主機(jī)的位置與失陷時(shí)間。發(fā)現(xiàn)失陷主機(jī)使用者打開附件中的惡意word文檔,直接觸發(fā)反彈shell,并dump密碼hash值。通過(guò)微隔離策略配置,可防止以該主機(jī)為跳板進(jìn)一步橫向滲透。通過(guò)“一鍵隔離”操作,可快速邏輯隔離該主機(jī),阻斷一切網(wǎng)絡(luò)流量。
