沒有毫無紕漏的安全防衛(wèi)方式����,再嚴格的入城檢查都無法完全保證不會有間諜混進慶典并做出一些危險行為�。同樣,在網(wǎng)絡空間安全防護手段已經(jīng)十分成熟的今天�,攻擊者仍然可以通過某些漏洞將我們的系統(tǒng)拿下。此時就需要多層檢測手段����,進行防御吧。
圖:傳統(tǒng)防護
攻擊者發(fā)起的攻擊一般都會觸發(fā)我們的安全設備并產(chǎn)生告警�,在IDS、探針����、WAF等設備上總是可以發(fā)現(xiàn)一些痕跡�。但是攻擊者一旦發(fā)現(xiàn)了防護設備的漏洞,我們的系統(tǒng)便暴露在了攻擊者面前��。攻擊者一旦繞過安全設備的檢測���,便可能會打入到系統(tǒng)內(nèi)部���。如果攻擊者獲取shell頁面�����,再來個[find / -name "*.log" -exec rm -rvf {} \;]��,后續(xù)我們發(fā)現(xiàn)系統(tǒng)出現(xiàn)問題想要取證時���,也只能發(fā)出:“哦,我的天�����,發(fā)生了什么�����。�����!”���。攻擊者通過命令刪除了攻擊痕跡,我們無法找到留存shell文件或其他東西,也就無法溯源取證��。
失去了溯源取證的關鍵證據(jù)怎么辦��?
莫慌��!安全運營平臺來幫你�。
安全運營平臺支持收集安全設備日志、web日志以及系統(tǒng)日志��,支持每一層防護的單獨分析和多層防護的關聯(lián)分析�,即使黑客攻入系統(tǒng),刪除了應用系統(tǒng)的所有l(wèi)og文件�,平臺依舊可以發(fā)現(xiàn)危險并溯源取證。
防御吧要點
如同哼將軍指示下屬將出入記錄收集整理一樣��,企業(yè)需將安全設備以及WEB應用系統(tǒng)的日志全部傳輸?shù)桨踩\營平臺�����,保證安全防護的每一環(huán)節(jié)都有在平臺的監(jiān)視下��。即使發(fā)生上述日志丟失事故�����,我們?nèi)钥梢栽诎踩\營平臺找到對應記錄�����。
實現(xiàn)思路
檢測要點一:安全設備日志
因為需要保證系統(tǒng)上業(yè)務的正常運行���,很多安全策略無法做到完全限制�����,也就造成一部分攻擊檢測的必然遺漏��。安全設備上傳的日志當中有訪問日志以及告警日志���,在告警日志中每一個告警都有處置動作,如Forward(請求轉發(fā))����、Accept(接受)、deny(攔截請求/響應)���、drop(關閉當前連接)等動作���。此處我們只需對未攔截處置動作的告警數(shù)據(jù)進行針對性的分析���。
圖:配置日志分析策略
圖:WAF告警日志
從上圖可知:WAF設備上的規(guī)則明確檢測到了SQL注入攻擊,但未進行阻斷處置���。通過態(tài)勢平臺配置策略��,可以做到發(fā)現(xiàn)并告警�����。
檢測要點二:WEB日志
在企業(yè)安全架構部署完整的情況下��,攻擊者通常很難直接攻擊應用系統(tǒng)��。此時�����,若在平臺接收的WEB服務器日志中發(fā)現(xiàn)部分攻擊指令��,一般在此時WAF或其他安全防護設備已經(jīng)出現(xiàn)了遺漏���,企業(yè)的WEB應用系統(tǒng)已經(jīng)暴露在攻擊者面前。這種情況下�����,對WEB日志的分析至關重要����!
圖:WEB日志分析策略
圖:WEB日志
從上圖可知:通過平臺策略發(fā)現(xiàn)WEB日志中存在SQL注入攻擊并產(chǎn)生告警。
檢測要點三:關聯(lián)分析
通過上述兩點����,我們已經(jīng)對每一層防護都進行了檢測。若此時我們將WEB日志�、WAF日志或其他具有阻斷能力的安全設備的告警進行關聯(lián)分析,就可以明確知道哪些攻擊是針對性攻擊��。
圖:日志關聯(lián)分析策略
三����、聯(lián)動處置
除了以上三點,其他任何一種攻擊都有可能對我們產(chǎn)生致命性的結果�����,此時亟需盡早發(fā)現(xiàn)并將其扼殺在搖籃里����。又安國的哼將軍手中當然也有絕殺利器——SOAR(安全編排自動化與響應技術)���。
安全運營平臺同樣擁有此神功,可以和防火墻等安全設備協(xié)調(diào)聯(lián)動����,實現(xiàn)自動處置,將攻擊者射殺在危害最小的階段��。
圖:配置SQL注入事件流轉
四���、總結
網(wǎng)絡技術不斷發(fā)展�����,攻擊者的目標也越來越明確�,早期炫技式的攻擊已經(jīng)淹沒在時代的洪流當中�����,越來越多的攻擊朝著盈利方向發(fā)展�����,而企業(yè)就成為了他們虎視眈眈的對象���。當今攻擊者和防護者都可以接觸很多在野流傳的攻擊手段���,雖然我們的防御手段在不斷提升,可依然會出現(xiàn)一些我們無法完全防御的攻擊�,這里面包含了系統(tǒng)本身的原因和一些人的因素。因此��,不斷加強和完善防護手段�����、防護技術以及網(wǎng)絡安全管理制度�,真正將網(wǎng)絡安全放在首位,才能更好的保護自己的系統(tǒng)���,保障業(yè)務的正常運轉�����,終得“一方水土”的寧靜�。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
