您好、欢迎来到现金彩票网!
当前位置:全民彩票app下载 > 感知策略 >

态势感知——服务器安全策略探索

发布时间:2019-04-24 05:12 来源:未知 编辑:admin

  企业IT架构数字化转型的大潮中,往往会面临各种各样的安全威胁,包括:系统和应用软件漏洞利用攻击,APT攻击,数据泄露,云服务器滥用,DDoS攻击等。同时为了应对速度越来越快的网络犯罪攻击,以及针对性攻击的多态化。为我们安全人员提出了更高的要求。

  企业IT架构数字化转型的大潮中,往往会面临各种各样的安全威胁,包括:系统和应用软件漏洞利用攻击,APT攻击,数据泄露,云服务器滥用,DDoS攻击等。同时为了应对速度越来越快的网络犯罪攻击,以及针对性攻击的多态化。为我们安全人员提出了更高的要求。

  在态势感知产品中,在服务器上部署EDR终端是一个很好的服务器安全量化的一个过程。因为我们在服务器上可以收集进程、端口、账号、软件以及文件目录基础的安全数据。通过这些基础数据通过后台大数据分析加工形成我们感知到威胁。

  检测思路:需要收集服务器端基础数据: 实时网络连接数据,同时需要商业威胁情报数据源。

  2、通过flink或者spark streaming做实时Top进程、Top外联IP统计,分析所有服务器上传的外联孤岛数据,也可以编辑规则重点监控下载应用程序,或者下载对端的应用如果是HFS服务。需要重点关注。当然这里可以玩的playbook很多,需要用户自己挖掘。

  3、从中获取到应有程序路径、对外连接IP信息,以及端口。通过IP地址查询威胁情报,如果对端IP地址使用的C2、Tor、VPN、SS等地址视为失陷主机。态势感知服务器安全策略探索

  检测思路:这里主要是增加内容特征,比如说:上传设备基本信息、发送攻击指令、获取公网IP地址、黑客攻击连接等。服务器端需要把恶意程序上传云查杀或者云沙箱做深入检测。

  检测思路:通过获取实时进程快照,网络对外连接快照,网络层获取其流量信息,同时也上传对应的进程文件到云查杀和云沙箱检测。在网络层检测通过IDS规则检测到对外DDoS攻击最多为:NTP反射攻击、memcache反射攻击。但是在服务器端检测会发现更多攻击方式,例如:CC攻击、SIP协议攻击、视频协议攻击、SYN Flood、ACK Flood等。当然需要客户端抓包进一步确认。

  1、获取进程快照,网络对外连接快照,对外连接网络流量(需要驱动支持)或者获取总流量。

  2、执行抓包程序,采集服务器端Pcap包,上传Pcap包样本到服务器端。

  检测思路:特征是CPU占用率过高。通过上传进程快照,同时获取类似top命令CPU占用率信息。可以确定挖矿进程。当然还有 /bin/sh -c /usr/bin/curl -sL 直接挖矿。

  4、复查各个端口被入侵的痕迹,如果产生以下攻击告警,需要大数据关联分析(flink or spark streaming)。

  检测思路:如果存在对外扫描功能,通过大数据分析网络连接,短时间内过多连接视为可疑。

  3、上传文件到云查杀系统中检测。进一步分析,发现病毒标记为蠕虫病毒告警。

  我们先看一个入侵案例,以下脚本是用户放到定时任务中的经过base64加密的脚本,通过替换curl、wget实现进程网络通讯隐藏的目的。

  2、统计平时文件创建数据,设置动态基础数据基线、如果单台服务器创建量超出平时2倍以上,需要把对应的文件上传到云查杀分析,如果发现勒索软件病毒标签告警。

  服务器安全检测是一项非常繁琐,并且特殊情况比较多的工作,需要这些检测规则和手段自动化成威胁模型。同时,人工threat huning结果也要不断加入,形成正向反馈,良性循环。

http://diystuff.net/ganzhicelue/11.html
锟斤拷锟斤拷锟斤拷QQ微锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷微锟斤拷
关于我们|联系我们|版权声明|网站地图|
Copyright © 2002-2019 现金彩票 版权所有