基于 NIDS 構(gòu)建縱深防御體系

基于

NIDS

構(gòu)建縱深防御體系

2

點融的NIDS架構(gòu)3

關(guān)于異常檢測4

關(guān)于聯(lián)動5

關(guān)于與HIDS1

為什么我們需要NIDS

目錄1.bypass

WAF/FW的可能性(大包/繞過/0day/SSRF)2.內(nèi)向外的惡意行為(反彈shell/內(nèi)鬼/邊界存在漏洞的情況/C&C通訊)

3.多數(shù)為買來的WAF/WF,自主性,靈活性差

為什么我們需要NIDS1.鏡像負(fù)載均衡/核心交換流量2.Packetbeat/Bro對流量進行DPI3.用ES/Kibana進行存儲展示(原始數(shù)據(jù),告警數(shù)據(jù)),圖數(shù)據(jù)使用ArangoDB

4.主要有規(guī)則引擎/異常檢測模塊/資產(chǎn)模塊組成

點融的NIDS架構(gòu)1.自主研發(fā)的好處:更加靈活2.支持常規(guī)檢測(正則/多模匹配等),支持頻率檢測(頻率檢測/自定義類型頻

率檢測),支持外部函數(shù)(寫外部函數(shù)/規(guī)則引擎調(diào)用,滿足場景如:威脅情報),支

持自定義告警方式/自定義聯(lián)動方式等

關(guān)于規(guī)則引擎1.某部門需要刪除某臨時表想得到實時反饋2.添加臨時規(guī)則,檢測SQL語句,符合條件向相關(guān)人員發(fā)送郵件

場景一1.某組件出現(xiàn)0day,無法及時升級版本修復(fù)有問題的組件2.根據(jù)PoC編寫臨時規(guī)則,并聯(lián)動WAF/FW進行封禁IP處理

場景二1.規(guī)則引擎可以幫助我們快速的發(fā)現(xiàn)一些已知的安全問題,但是這足夠么?2.甲方安全人員相對較少,不可能全部精力放在編寫規(guī)則上,如何自動的發(fā)現(xiàn)

安全問題?

思考異常檢測模塊

1.假設(shè)某公司僅有一個數(shù)據(jù)庫,且僅有一個業(yè)務(wù):登陸2.那么對于數(shù)據(jù)庫的操作應(yīng)該僅有:select

uid

from

user

where

uid=?

and

pwd

=

?

場景一:數(shù)據(jù)庫操作1.公司業(yè)務(wù)如上,僅有登陸操作2.那么相關(guān)的HTTP請求(提交參數(shù))應(yīng)該也僅有一個:

場景二1.SQL注入:HTTP:uid從郵箱變成了包含其他多種符號的字符串SQL:AST由select

uid

from

user

where

uid=?and

pwd=

?

變成了

select

uid

from

user

where

uid=?or

?

=

?

and

pwd

=

?2.脫褲:出現(xiàn)了不常見的AST:select*from

user

舉例1.根據(jù)上面的思想:根據(jù)當(dāng)前業(yè)務(wù)自動進行白名單的生成,以HTTP協(xié)議為例,我們以接口為單位,生成接口-參數(shù)key-參數(shù)的白名單2.白名單生成的算法目前我們使用多種無監(jiān)督聚類算法和異常點檢測算法

實現(xiàn)3.針對業(yè)務(wù)更新迭代專門做了優(yōu)化和調(diào)整

異常檢測模塊1.Request請求包含參數(shù),且Response

Code不為4XX/5XX2.進行Path分析(Request

Path中經(jīng)常包含參數(shù),如:/get/12345/name)3.對Request

Params進行解析和Feature計算4.保存Feature,進行機器學(xué)習(xí)計算,得到相關(guān)模型5.定期更新模型

異常檢測模塊流程(以HTTP協(xié)議為例)

1.異常不等于攻擊(某用戶喜歡臉滾鍵盤,但不會一直滾)2.面對富文本型接口誤報/漏報高且難以調(diào)整3.性能問題(但是通過白名單的數(shù)據(jù)不需要過規(guī)則引擎)4.可解釋性差5.需要一定的數(shù)據(jù)量進行白名單模型的生成

異常檢測的缺點1.可以和黑名單形成互補2.不僅可以發(fā)現(xiàn)攻擊行為,也可以幫助甲方梳理自己的業(yè)務(wù)3.面對大多數(shù)攻擊(除邏輯漏洞),漏報極低

異常檢測的優(yōu)點1.國內(nèi)某億級用戶的大型互聯(lián)網(wǎng)公司2.抽取線上流量進行測試3.使用內(nèi)部自研掃描器進行漏報檢測4.零漏報零誤報

異常檢測算法的成績1.可以適用于多種協(xié)議2.我們使用異常檢測算法對ICMP隱秘通道檢測的情況是零漏報3.其他類似場景(可通過數(shù)據(jù)建立白名單的場景)

異常檢測拓展NIDS的資產(chǎn)模塊

1.實時梳理資產(chǎn)信息:端口,服務(wù),版本2.實時記錄資產(chǎn)間關(guān)系:協(xié)議,頻次,對于部分協(xié)議進行全量記錄3.按小時分片,幫助安全事件調(diào)查,溯源,分析

NIDS的資產(chǎn)模塊NIDS的資產(chǎn)模塊

NIDS的資產(chǎn)模塊

根據(jù)資產(chǎn)間通信和規(guī)則引擎,可以編寫基于行為的規(guī)則,如:1.X秒連接X個端口被RST視作端口掃描行為2.WebServer通過高權(quán)限登陸數(shù)據(jù)庫或SSH登陸其他任何主機視為異常

3.主動連接外網(wǎng)服務(wù)器會進行威脅情報檢測等等

NIDS的資產(chǎn)模塊即使得到告警,我們信息也有限,我們需要獲得更多的信息1.聯(lián)動CMDB,得到IP基本信息和業(yè)務(wù)信息,如PM/DBA/DevOps等

2.聯(lián)動FW,獲得連接規(guī)則3.聯(lián)動Nginx配置文件,獲得配置信息4.聯(lián)動FW白名單,避免誤報5.聯(lián)動云管理端,獲得云資產(chǎn)列表信息等等

NIDS的聯(lián)動能力1.Packetbeat/Bro不支持的協(xié)議,加密的協(xié)議,場景:·各種反彈shell·各種后門2.信息過少,安全工程師無法準(zhǔn)確分析,場景:·威脅情報半夜3點告警一臺服務(wù)器連接惡意服務(wù)器·此時抓包已經(jīng)來不及,我們也不知道具體是什么進程/文件的行為

NIDS的不足1.輕量級,僅支持Centos7(其他版本未進行穩(wěn)定性測試,理論也支持不少)2.支持與點融自研NIDS聯(lián)動,實時查詢進程/端口占用/文件等信息3.對登陸/線上操作/關(guān)鍵文件變動記錄等信息會記錄并同步到Server4.實現(xiàn)了一小部分可信計算的東西5.支持各種姿勢檢測Rootkit6.基線檢查7.規(guī)則引擎語法與NIDS相同,NIDS聯(lián)動方式僅僅是在規(guī)則里增加一個字段

點融的HIDS我們面對的信息不再是割裂的,是完整的:·PID和PPID的cmdline;cwd;user;exe·TCP/UDP五元組,部分協(xié)議的原始數(shù)據(jù)·業(yè)務(wù)信息:APPID·FW_RULE·NIDS/HIDS規(guī)則ID·威脅情報

NIDS+HIDS從這里可以看到,NIDS已經(jīng)不僅僅是NIDS,由于原本的規(guī)則引擎,異常檢測,資產(chǎn)模塊的完全共用,無論是N