今天主要谈一谈对当前国内市场入侵检测/防御产品的分析和思考,在写这篇文章之前,认真研究了国内某个知名安全厂商的入侵防御产品,我们从对该产品的分析作为切入点,谈一谈国内入侵防御产品存在的问题以及改进的方向,调研的入侵防御产品功能非常多,网络安全和终端安全都有涉及,从攻击者的攻击方式出发,多维度进行检测和阻断,从以下几个方面对流量检测产品进行分析:
1、外部攻击:外部攻击的发现主要通过检测南北向流量来实现的,目前市场上安全产品普遍都是南北向流量的检测,流量检测产品的检测不同之处在于双向流量的检测,也就是说既检测请求包也检测响应包,并将两者关联分析,主要是通过两者的关联分析确认攻击是否成功,多数的攻击都是在不断的试探下才攻击成功的,通过分析响应包可以进一步确认攻击的结果,降低误报。除此之外,流量检测产品将针对性攻击单独拉出来了,目前不清楚它的具体检测方式。
2、内网渗透:内网渗透主要通过检测东西向流量来实现的,会围绕协议特征,流量大小和方向特征,目标主机特征等信息构建内网拓扑网络图模型,并结合机器学习模型识别、特征签名、文件内容分析等多项检测技术,发现攻击者在内网进行的扫描、爆破、弱密码、漏洞利用、权限维持、代理转发等一系列内网渗透行为。
3、失陷检测:流量检测产品失陷资产的方式分为3种,第一是通过IoC匹配的方式识别失陷资产;第二是通过本地的DGA模型和DNS隧道模型进行检测;第三是对企业全网的对外访问地址特征进行基线建模,检测心跳连接、不常见域名连接等异常行为,发现未知威胁。
4、网端联动:流量检测产品的网端联动很简单,一是Sysmon监控系统进程,把日志发给流量检测产品做分析,另外就是流量检测产品可以下发阻断指令。
5、威胁分析:除了取证这块内容,威胁分析主要有两个点:日志分析和事件智能聚合,日志分析和DTA(国内某知名安全厂商失陷资产检测产品)的日志分析功能类似,但是远没有DTA强大,智能聚合类似于DTA的告警合并,以IP为维度显示整体攻击的上下文,并根据攻击手法和攻击技战术对攻击者进行识别和归类,将同一团伙的攻击者放入一个事件。
6、可视化:以上的前三点都涉及可视化的内容,另外就是整体的可视化。
(1)首先来看外部攻击,简单的列表展示,和绝大多数检测产品类似,不同点在于,将攻击者IP和云端威胁情报、终端取证日志联系起来了,比较详细了了解攻击者以及在终端的攻击过程(没办法看到具体怎么做的)。
(2)内网渗透:列表+拓扑图的方式,目前只看到了单个内部渗透的过程,不清楚能不能把多个渗透过程关联起来呈现。
(3)失陷检测:列表+图的方式,通过展示DNS请求说明失陷资产的外联,没有行为分析,通过Tab的方式展示攻击者信息、IOC、失陷资产,没有看到告警合并,多了终端取证和pcap的呈现。
(4)整体可视化,在可视化页面呈现了整体安全态势(事件统计)、资产态势、攻击链和登录/接口/数据泄露风险,整体态势没什么好说的就是列出来多少资产失陷、告警、事件等,资产态势从服务器、终端、服务和新上线服务四个维度进行统计分析,展示的都是基础的资产信息,核心是围绕“服务”去展示的。攻击链从渗透和感染木马/病毒两个威胁来源,展示每个攻击路径下事件数,做的很简单。
整体分析:总的来说,和大多数的入侵检测/防御功能类似,比如攻击链、内网渗透检测、双向流量检测大多数产品都有,突出了在一些在威胁情报方面的优势,比如失陷资产检测和日志分析。其实从功能来讲,流量检测产品已经比较全面了,更多是在单个功能的改进上面。
(1)比如外部攻击检测,每一个告警用户都想了解这个攻击到了哪个阶段,成功了没有,下一步有可能怎么做,既然可以接入威胁情报,很多IP的攻击战术信息是可以获取的,可以给出一些推测的数据,这些可以单独拉出一个攻击者分析的视图,类似TDA的威胁情报图。
(2)在比如内网渗透阶段,一定要具备跨周期的事件关联分析能力,比如半年内,某个具体攻击内网渗透的过程描述,影响了那些业务。
(3)在失陷资产方面,流量检测产品介绍的比较简单,很难对能力做评判,相对DTA没有自动化分析能力,没有DNS行为特征分析、域名行为特征等,总之已知威胁就是简单匹配,未知威胁算法也比较简单,DTA的不足在于只采集了DNS流量,没有形成闭环,用户肯定想了解失陷资产是如何失陷的,失陷资产在终端干了什么,如果没办法自己解决或者通过联动的方式解决,就会大大增加用户的分析成本。
(4)在可视化方面,其实目前产品在功能方面类似的情况下,在可视化方面进行创新是个很好的思路,但是检测类产品主要侧重于检测能力,所有大家追求的是追求的是检测的广度,深度这种东西也都看不到,所以就导致当前入侵检测/防御产品就是功能大而全,能力弱、界面非常粗糙,个人认为其实检测深度是可以看到的,如何看到在于对可视化深入的研究,让用户明白我为什么会有这种检测结果,用户了解到这些信息也可以有针对性的采取措施。
