未知威胁永远存在,网络要么已经被攻陷,要么正在被攻陷的路上。所有安全从业人员都希望自己能开启上帝视角,能看清黑客攻击,能应对0Day漏洞,能阻止APT攻击…….但事与愿违,更多时候我们对黑客攻击一无所知。
更可怕的是,我们既不知道黑客是怎么进来的,也不知道黑客拿走了什么,更不知道黑客留下了什么。面对黑客攻击时,企业受到了多大损失,这是所有企业CEO最关注的问题。比如,数据库是否被窃取、敏感数据是否泄露、业务代码是否泄露等问题。
企业受到了多大损失?
99%企业都无法确定黑客到底“拿走”了什么,这比入侵本身更可怕。试想一下,如果小偷进家里了,但是你却不知道自己丢失了什么,这意味着“警察叔叔”也爱莫能助。作为一个CEO、CIO或CTO,他们也许不直接负责IT安全,甚至只有少部分人对此能有较为深刻的理解。但如果“天花板”坠地时,他们一定是首要责任人。例如之前索尼影视、韩国金融公司KB Financial、AOL美国在线等一大批不同行业机构高管都因为黑客攻击带来的巨大损失而不得不引咎辞职。
在面临不同等级的入侵事件时,企业的应对策略是完全不同的。因此,如何评估黑客入侵对企业造成的损失事关重大。通过准确的入侵损失评估,既能够有效降低应对攻击成本,也有利于企业品牌制定合理的公关应对策略。但这也并非易事,如果仅仅依靠IPS、IDS等传统检测手段,很容易被黑客绕过,会出现大量误报、漏报。
此外,因为流量加密等手段广泛应用,想要通过网络端的流量分析来确认黑客异常行为已经不可能,只能将目光聚焦到主机内部。虽然黑客攻击手段多种多样,但其攻击行为通常都会在服务器上产生对应的操作痕迹。因此,黑客的攻击行为通常都是有迹可循,只需记录这些异常操作行为,并通过大数据分析,就可确定其攻击行为和带来的危害。例如,黑客在窃取敏感数据时,将会执行特定的数据库操作,通过分析该行为就能判断黑客拿走了哪些数据。
黑客是怎么进来的?
企业负责人最关注的是黑客拿走了什么,而安全人员往往最关注的是黑客是怎么进来的。不知攻,焉知防?安全人员需要结合资产状况、入侵的攻击路径等信息来确定受攻击影响的资产状况。根据黑客残留痕迹的位置,并向上或向下回溯其它服务器,确定被黑客攻击的“缺口”。
例如,通过分析系统的登陆日志来查找异常登陆情况,以及检查网络访问日志查找失陷主机。基于多日志的综合分析,分析黑客入侵期间的所有操作,就可以还原完整攻击过程,确定入侵攻击的入口。
黑客还留下了什么?
黑客就像幽灵一样,在入侵服务器后,往往会留下多个后门,为下次入侵提供便利性。举个简单例子,黑客在攻入某台服务器后,将分阶段埋入多个入侵点,并在某次攻击时启用其中一个后门,典型“狡兔三窟”。例如,写入计划任务以重新启动后门。植入一些程序代码以备后续再次入侵站点。
因此,入侵事件之后,安全人员需要通过排查关键位置,来确定残留问题,比如是否存在残留计划任务,是否存在一些尚未启动的后门程序,是否在业务服务中植入一些特定代码等。
三大问题,一个对策
黑客是怎么进来的,又拿走了什么,以及留下了什么?如何解决这三大难题是摆在所有企业安全人员面前的一大难题。系统本身并不能详细记录进程启动、主机操作等日志,而基于Agent重新采集主机数据,将为安全事件分析提供丰富的数据支撑。
三大问题,一个对策。青藤星池·大数据分析平台,使用大数据技术存储主机日志,从安全角度引导客户对日志进行查询与分析,发现黑客入侵的蛛丝马迹,还原攻击现场。产品基于ES系统,可在5s内获得查询结果,同时对TB级数据进行统计分析,并保证数据至少保留180天,并可导入其他系统使用。
青藤能够提供独有的关键事件数据,包括操作审计日志、进程启动日志、网络连接日志、DNS解析日志等。每一个进程启动过程都会被记录下来,并且可以与网络连接日志、DNS解析日志进行关联。这将助力安全人员快速精准定位问题,彻底解决通过传统日志进行溯源时只能定位到哪台机器被黑,但是无法定位到具体进程的问题。
此外,青藤大数据分析平台,提供自研QSL语法,采用”字段名+连接符+查询关键字“的检索方式,具有极强的扩展性与灵活性,可跨日志查询数据,发现数据特点与安全线索。允许用户使用SQL式的语法查询,如下图所示:
select * from net_connect where dst_port=3306 or src_port=3306
实践过程:一个APT后门排查过程
在日常繁琐的运维工作中,对服务器进行安全检查是一个非常重要的环节。在黑客攻击之后,如何深入调查失陷成因与影响范围尤为重要。下文将基于青藤大数据分析平台,深入分析一个APT后门排查过程。
相关阅读:
热门专题
