防守方针对各类安全事件的应急处置工作普遍呈现任务重、难度高等特点。即使“事前”做了相对完善的准备工作,仍然难以杜绝安全事件的发生,这时候“事中”对抗环节也就显得格外重要。
如何行之有效的发现异常行为并告警阻断?面对高误报率该怎么办?如何安全存储敏感信息?这些都是值得探讨的话题。
八分量持续免疫系统是一套主要用于解决安全边界逐渐模糊的现实下,主机安全问题的安全管控平台,包含可信防护、UEBA和区块链防篡改三大模块。
在本系列文章中,我们将结合三个模块以及自身的攻防经验,从实现原理、核心要点和具体实践角度,分享交流针对攻防演练过程中各方面问题的工作部署及思路想法。
面对远超日常的攻击手段和强度,单靠大量人员值守,人工处置,效率低下效果难以保障。八分量持续免疫系统可信防护模块,对于主机的可执行文件及权限失陷可以迅速发出告警,并选择对主机连接进行阻断,以此避免主机网络受到未知漏洞威胁,同时还可以有效的阻止操作人员异常操作带来的危害。
该策略以“自动化+白名单”为核心,秉持“持续验证、永不信任”的原则,有望扭转攻防演习中防守方的被动局面,成为对传统安全防护产品的一种良性补充。
现在,就让我们具体操作体验下,一探究竟。
一、实现原理
持续免疫系统的可信防护模块可以理解为,通过可信计算,在操作系统内核使用TCM技术,为系统启动建立完整性度量,同时生成硬件级别的白名单,秒级感知非授权程序(进程)加载。
不在白名单列表中内的可执行文件被认为非授权程序,不能在系统中运行,一旦发现非白名单进程立刻进行报警。
首先,我们通过账号信息登录进入到系统的主界面。
可以看到,可信防护分为五个功能模块:
1 防护控制
呈现可信防御主机信息,包括被保护机器的状态,管理员可查看主机状态和主机详细信息。管理员可通过平台管理防护状态的开启和关闭,进行可信防御保护状态控制。
2 图表统计
可查询分析包括严重、错误、调试、警告、信息等不同级别的日志信息和历史数据的变化情况,较为全面地展现了企业和设备风险情况。
3 详细日志
包含大量的网络设备、系统、应用、数据库等各类日志收集、集中、处理和展示。
4 可信白名单
支持可信白名单的查询、删除和导入导出操作。
5 异常确认
管理员可在可信防护部分对异常情况进行确认,确认后异常信息被添加到可信白名单列表。
这五个模块筑起了一道24小时“安全屏障”,可以帮助防守队及时发现并处理问题,其中最具特色的是“可信白名单”机制。
二、核心要点
传统的安全理念是“抓坏人”。意思是说,在一栋大楼门口安排很多保安,进出的人员必须经过保安检查,在黑名单上的人不允许通过。然而在攻防演练中,攻击方往往会进行一番伪装,对于伪装后的异常行为,这种靠病毒库“抓坏人”的方法就显得有些捉襟见肘。
而持续免疫系统的“可信白名单”可以严格控制。操作系统将最初系统上所有的可执行文件做一个哈希度量,将这个度量值存储在可信芯片中。现在操作系统要运行一个可执行文件,除了经过传统的操作系统的权限判断之外,还要与可信芯片里的度量值做一个对比。
如果攻击者修改了文件内容,想要再次运行这个文件,度量值对比后,发现这个可执行文件已经发生了更改,会立刻发出“异常行为警告”,方便运维人员及时定位异常点,并进行维护。
三、具体实践
接下来,以Linux操作系统为例进行一次可信防护功能的流程演示。
1. 首先,为了保护主机环境的安全,开启Linux主机可信防护状态。
2.模拟攻击方已入侵主机并上传攻击脚本进行攻击,攻击目的是占有100%的CPU。
*脚本说明: cat /proc/cpuinfo |grep "physical id" | wc -l 可以获得CPU的个数, 我们将其表示为N. seq 1 N 用来生成1到N之间的数字 for i in `seq 1 N`; 就是循环执行命令,从1到N dd if=/dev/zero of=/dev/null 执行dd命令, 输出到/dev/null, 实际上只占用CPU, 没有IO操作. 由于连续执行N个(N是CPU个数)的dd 命令, 且使用率为100%, 这时调度器会调度每个dd命令在不同的CPU上处理. 最终就实现所有CPU占用率100%
3.查看异常确认列表是否记录此异常操作。
4.开启linux主机阻断功能,避免主机网络受到威胁。
5.攻击方继续操作主机,主机会被强制退出登录状态。
6.关闭阻断,主机连接恢复正常。
通过上述方案的实施,攻防演练期间,可以在传统安全防护产品失效的情况下,帮助防守队在防守中抢占先机,相关攻击均在第一时间得以拦截,保障业务的稳定运行。