资产风险梳理
企业网络资产是安全团队的家底,更是攻击者的地图。所有对外开放的主机、端口和服务,都是攻击者可能的入侵路径,广泛使用的第三方应用和开源组件潜藏的漏洞也让安全团队防不胜防。随着攻防演练活动的深入,在攻防博弈中,资产攻击面往往成为攻守易势的关键。因此,提前摸清家底,及时发现资产风险,收敛攻击面是企业安全团队的重要任务,但如何准确、全面、及时且不影响业务的方法获得完整的资产信息,对安全团队来说是不小的挑战。
同时,与资产梳理相关联的便是资产风险梳理,掌握家底是为了掌握攻击面并收敛攻击面。登录入口风险、弱密码风险、API风险、敏感数据传输等均是安全管理中最常见又最重要的风险项。
高级威胁检测
作为一款专业的NDR产品,首当其冲的便是威胁检测能力。在日常安全运维中,实时监控黑客攻击行为、企业员工敏感行为是最基础且日常的工作。TDP通过双向流量检测和全包协议识别作为检测基础,持续高级威胁手段研究和威胁情报赋能作为加持,实现了基于流量的实时威胁检测,做到了全面且精准。同时,通过对于企业告警运维场景的深度研究,提取攻击成功、针对性攻击等优先级攻击行为,提高告警运维效率。
双向全流量检测
和传统的IDS、IPS只检测单向流量不同,TDP对双向流量进行检测,不仅覆盖互联网服务请求流量,而且能够捕获并关联返回流量,进行协同分析;除了“外对内”请求,同时能够覆盖对“内对外”和“内对内”的网络连接行为检测。利用TDP的流量分析和报文数据还原模块,支持在 IPv4/IPv6 网络环境下,对3000多种主流协议进行高性能分析以覆盖全部威胁场景,如支持办公场景的内网的恶意文件下载和访问可疑网站的请求,支持办公网和生产网的IoC反连和回包检测,支持对生产网/业务网的直接攻击检测等。
0day漏洞检测
传统的检测手段都是对"已知威胁"的检测,就像"疫苗"一样,只能针对已知的病毒和威胁做出预防和对抗,而对于未知的威胁,只有当其变成已知后,安全厂商才会有针对性的检测手段,这也直接导致了 0day漏洞危害巨大。使用0day漏洞可以绕过大部分的安全产品,近年来,利用负载均衡、VPN等设备的0day漏洞发起攻击、直接突破边界的手段数不胜数,让企业的边界防护形同虚设。
与传统安全设备不同,TDP利用通用检测和机器学习模型的方法进行通用型0day漏洞检测,并利用云沙箱解决文件型0day检测问题;另一方面,微步在线通过漏洞奖励计划,主动收取红队、安全研究员和黑客挖掘的漏洞,提升非通用型0day漏洞检测能力,在实战中0day检测率达到81%。
自动判定攻击成功失败
企业每天面临的攻击成十万、百万计,但并非所有攻击都值得关注,因为绝大多数攻击事件并没有成功,或者并不会给企业造成实际的危害。例如,部分攻击只是随机的扫描和网络空间的探测,或者只是新漏洞爆发后蠕虫的传播。不会给企业造成实际危害的威胁不是真正值得关注的威胁,据此产生的大量报警只会给安全运营人员带来太多的"噪音"。
大量无意义的“噪音”的出现对于缺乏安全运营人员的很多企业是致命的。这些“噪音”会导致企业有限的安全运营人员无法聚焦在真实的威胁处置上,而花费大量时间在分析无效告警上,反而错过了处置真实威胁的时机。在重保场景中,甚至有攻击队通过大量无效攻击来掩盖真实攻击,目的就是让防守方在自顾不暇、手忙脚乱的状态下,无暇定位到真实攻击的线索。
内网渗透检测
在真实的网络攻击活动中,攻击者很少一步到位获取目标资产和数据权限,通常情况是先攻陷一台安全防护较差的主机,以此为突破点进入内网,进行内网侦察、横向移动、提升权限并逐渐靠近目标主机。
TDP设备接入内网横向流量后,会围绕协议类型、流量大小和方向特征,以及目标主机特征等信息构建内网拓扑网络图模型,并结合机器学习模型、流量特征签名、文件内容分析等多项检测技术,发现攻击者在内网进行的扫描、爆破、弱密码、漏洞利用、权限维持、代理转发等一系列内网渗透行为。
失陷反连行为检测
内网主机被攻陷后,会被植入各类恶意程序以达到黑客最终的攻击目的。这些恶意程序在运行后,会主动连接黑客的远服务器,上报攻击状态、回传敏感信息或获取进一步攻击指令。
TDP通过三类方法对上述反连行为进行检测,精准定位内网失陷主机:
l比对反连地址和微步在线高质量的失陷指标(IOC)情报,发现已知威胁;
l基于深度学习的DGA域名模型和DNS隧道通信模型进行检测,覆盖常见典型手法;
l对企的对外访问地址特征进行基线建模,检测心跳连接、不常见域名连接等异常行为,发现未知威胁。
在产生告警的同时,TDP会同时提供丰富的威胁上下文信息和检测依据,方便安全运营人员进行攻击研判和危害评估。
可疑与敏感行为检测
TDP能够利用机器学习在流量中识别可疑和敏感行为,并对产生该行为的流量进行自动化标记。攻击者的很多重要动作并不都是以攻击形态显示出来的,比如获取到用户名后对信息的进一步搜集,得到某个权限后对数据的进一步枚举,得到shell后对系统中信息的梳理和再利用。这些从行为上来看都只是正常的操作,但放在入侵的真实环境中并不正常。通过常规的规则匹配无法完全识别和对这些行为进行研判。TDP利用自研的行为模型算法能够准确识别可疑与敏感行为。
TDP还可以利用可疑流量分析技术,对未公布的攻击方法进行发现,对于企业内部异于90%的流量进行甄别和研判,并标记为可疑。从而发现未被公布的攻击方法和攻击漏洞。
恶意样本与APT检测
攻击者在进行针对性和高级攻击的过程中,往往会投递精心制作的全新恶意程序,由于本地设备分析性能限制和检测模块更新的滞后性,恶意程序样本难以及时被发现,会对企业造成较大危害。
为了增强TDP设备对APT威胁的发现能力,微步在线提供了可单独订阅的云端深度分析服务。用户可选择不同的方式让TDP设备与云端进行联动,进行深度威胁分析和发现:
URL检测
TDP会将内网主机对外访问/下载文件的URL送检至云端,云端分析引擎将尝试连接该URL,并对返回的内容利用多引擎检测、云沙箱、威胁情报进行深度分析,发现蕴含的威胁。此方式不会直接上传文件样本至云端,且云端分析引擎无法访问内网资源URL,可保证用户敏感文件不会对外泄露。用户也可以选择不上传URL明文,而上传URL Hash进一步的保护隐私。
文件检测
开启后TDP将上传流量中还原的文件样本至云端,利用多引擎检测、云沙箱、威胁情报进行深度分析和检测。用户可选择上传的文件类型(例如仅上传PE文件,不上传文档表格)或仅上传文件Hash送检。
主机分析
按照主机视角聚合展示当前TDP检出的所有存在威胁的主机,并按照威胁状态进行划分,便于安全运营团队快速查看其关注的威胁类型,威胁状态基于安全运营实战定义,包括全部告警主机、被外部攻击成功主机、发起内网渗透的主机和已失陷主机,对于已失陷主机,威胁进一步区分了遭受APT攻击,与远控端建立连接的主机、存在Webshell的主机、有挖矿行为的主机以及主动对外攻击的主机。进入主机详情页可进一步查看主机对应威胁状态的描述,并查看具体的检出的主机威胁事件。
终端取证
TDP发现的告警主体为网络流量中抓到的内网IP,通常为一台终端/服务器,为了实现将IP的告警进一步定位到机器对应的进程粒度,微步在线提供了终端取证Agent,帮助安全运营人员更快的发现告警源头,进行进一步的响应与处置。
Agent目前支持的操作系统包括Windows。以Windows为例,Agent主要依赖于Windows的轻量级系统监控与日志记录工具Sysmon。安装文件约1M,对系统性能和稳定性影响几乎为0。一旦安装后,以系统服务和设备驱动程序的方法安装于系统上,并保持常驻系统,将所有记录的系统进程、网络访问、文件创建时间更改、注册表等行为记录在Windows事件日志中,并实时回传给TDP设备进行联动网络告警信息进行分析与定位。由于Sysmon的进程DNS请求监控实现机制可轻易被绕过,TDP 的Agent对其进行了优化和完善,可获取更加全面和详细的DNS请求数据。除此之外,安全运营人员可通过TDP实现对Agent进行分组管理,策略下发,和远程更新、卸载等操作。
专家研判
传统的安全防护模式是以安全设备、策略为中心的静态、被动、防御性,但随着外部威胁变化越来越快、黑客的攻击手段越来越先进,对高级威胁的调查分析提出了更高的要求。很多企业受限于自身安全人员能力不足,缺乏更高水平的专家协助和更高效的处置工具支撑,使得威胁时间的发现、处置过程时效性较低,仅依靠设备告警难免使安全运维工作出现疏漏。
TDP专家研判功能提供主动发起和重点推送的方式,云端专家可针对业务风险中的威胁事件进行深度的分析,通过蛛丝马迹发现隐藏在网络中的未知威胁,从而洞察业务安全体系的关键脆弱性,并且与用户实时沟通,提供处置建议及解决方案。
威胁溯源分析
对于企业安全运营而言,针对一起攻击事件完成了检测、处置工作后,需要对该攻击行为进行溯源,以发现本次黑客的攻击利用路径,了解企业网络内的攻击弱点,便于实现安全加固,提升防护实力。因此,TDP提供了完整的威胁溯源功能,协助企业安全运维人员自动化分析事件脉络。
智能聚合攻击事件
TDP利用威胁情报对攻击行为进行智能聚合成威胁事件,以攻击IP为维度显示单个攻击者整体攻击的时间线和上下文信息,并根据攻击手法和攻击技战术对攻击者进行识别和归类,将同一团伙的攻击者放入一个事件。
传统的检测设备更倾向于以报警的维度展示,看的是单点的威胁行为。而基于威胁情报的TDP更倾向于以事件的维度展示,实现了由点到线到面的拓展。分析攻击事件既要看到攻击结果,还要看到攻击的过程。看到攻击事件的完整上下文,从而更加了解攻击者的心态、意图、手法、攻击流程,有助于安全运营人员知己知彼,更有针对性地进行威胁的处置。
智能聚合通过化繁为简的方式将十万、百万计的报警,变成一条一条的事件,对攻击报警进行归并。在一起攻击事件发生后,可以做到追溯攻击者的攻击过程,从哪个点侵入成功,侵入成功前后都做了哪些事情。当看到一个点被突破,还能迅速定损,了解企业整体资产受损情况。
云端情报获取更丰富信息
TDP可连接威胁情报云,让全球威胁情报数据能力和微步在线专业的威胁分析能力触手可及。针对已检出的威胁事件,云端会提供其近期流行趋势和针对性行业趋势分析、关联的历史攻击样本信息、和专业团队提供的针对性处置流程报告供安全运营人员参考。安全运营人员也可选择匿名标记可疑和恶意资产,将分析结论共享给其他TDP使用客户,在重保活动和攻防演练活动中进行协同防
