《海量數據下的安全事件運營(16頁).pdf》由會員分享,可在線閱讀,更多相關《海量數據下的安全事件運營(16頁).pdf(16頁珍藏版)》請在三個皮匠報告上搜索。
1、海量數據下的安全事件運營Author:雷 春company:度小滿Research:安全檢測/應急響應/紅藍對抗等ID:lcamry安全發展歷程應急響應單兵作戰,無法聯動,效果不佳單設備報警過多,有限人力無法處置基礎建設環境不斷變化,產品需不斷迭代未知威脅感知能力不足自建安全能力與商業化產品割裂事件驅動階段安全架構階段安全運營階段TDIR事件來源單一且存在滯后性事件處置完全依賴人力未知威脅感知能力不足安全能力聯動復雜性高數據量巨大,耗費資源較大計算能力需求較高運營人員能力要求較高及時響應安全事件風險看不見、摸不著安全產品自研or采購安全能力風險看得見、摸不著體系作戰有限資源下的安全對抗風險看得
2、見、摸得著基于端點安全能力的整合基于數據內容的整合安全運營轉型的選擇XDRExtended Detection And Response擴展檢測響應(EDR+EPP+NDR+UBR)基本為商業軟件(PA、Trend Micro、Trellix、Nsfocus等)如自研實現XDR,投入研發精力較大需推動終端agent部署且終端消耗大集成程度高,省心省力能力整合NG-SIEM+SOARNG-Security Information and Event ManagementSecurity Orchestration Automation and Respones(數據源的整合)商業軟件(Splun
3、k、QRadar等)開源(elastic)安全運營人員要求高(數據理解+安全落地)安全集成程度低(搜索能力最為重要)方案構建靈活性高(適應基礎環境變化、自定義安全能力)NG-SIEM能力不足無法運營IPDRR報警事件被動響應主動防守威脅情報NG-SIEM解決的痛點 安全能力缺失覆蓋部分攻防點IT環境變化單點設備的缺陷 應急能力不足0day應急應急排查沒有數據源MTTR/MTTD 報警數據泛濫設備類型眾多日均報警10W+報警數據準確率低無法形成有效事件 分析能力不足無上下文分析無法關聯分析檢測方式單一不能定制化分析NG-SIEM架構NG-SIEM之數據建設哪些數據可以玩NG-SIEM之數據建設數
4、據難點&解決方案8數據難點 多源數據來源眾多:kafka、安全設備、生產服務器、云盤、數據庫等數據接入通道方式多樣化:syslog、http、tcp、udp等 多元數據結構多樣化:文本、可執行文件、pcap、文檔、數據庫等需提供多種不同結構數據的存儲&分析引擎 多量數據量眾多,日增TB級別數據甄別工作量巨大:需分析大量已有數據,確定有用數據&字段數據解決方案 設立數據PM崗位,理解全量數據(字段級別),并按需接入有價值的數據 制定數據接入標準,只收集“高質量”數據 建立數據相關服務,例如數據通道、數據監控等服務 提供多種數據接入方式&多種數據分析引擎數據相關服務有用的數據&字段存在上下文信息盡
5、可能準確的數據盡可能為基礎數據自生產的數據數據接入標準終端數據采集能力多條數據接入通道數據傳輸監控數據Meta信息管理數據格式化存儲NG-SIEM之數據建設數據解決方案推薦splunksyslogHdfskafkalogstashElasticsDataBase數據倉庫數據通道數據管理+監控NG-SIEM之檢索建設檢索能力為核心檢索能力數據優化檢索優化增加硬件計算數據結構化流式計算檢索語句優化選擇優秀平臺數據分區分桶通用數據模型特殊處理引擎hivesplunksparkprestoCH/Mongo/flink等NG-SIEM之安全方案建設安全架構建設自建檢測能力數理統計數理統計基于機器學習的基
6、于機器學習的異常檢測異常檢測/預測分析預測分析Active Threat Hunting規則判斷規則判斷模式識別模式識別關聯分析關聯分析基礎安全能力終端檢測終端檢測情報輔助情報輔助網絡檢測網絡檢測MITRE ATT&CK/MITRE SHIELD/D3fend/Engage郵件檢測郵件檢測安全建設方案11兼容性自適應NG-SIEM之安全方案建設主動hunting添加檢測規則1.注重規則準確率(攻擊的深入理解),減少報警數據;-frp2.開放性規則,哨兵帶來的驚喜-dnslog添加數理統計1.統計學的閾值設定的合理性,檢測率和報警數量的平衡2.規律性統計:時間固定的心跳添加機器學習模型1.能夠轉
7、化為數據問題的安全解法,比規則更有效。例如DGA識別2.效率更高,模型帶來的快速執行3.聚類下的異常發現帶來的驚喜添加模式識別1.安全基線、合規基線2.ueba添加關聯分析1.攻擊有效性難題的解決,減少報警2.攻擊鏈條發掘,縱深防御思想落地 利用第三方能力,理解并二次加工報警結果威脅情報、沙箱欺騙防御 多種手段自建安全能力,覆蓋更多的攻擊面添加基礎sensor:郵件檢測系統、高交蜜罐、基礎數據利用多種檢索方式自建檢測能力檢測方式的融合:risk分值 安全模型指明方向(D3fend、Att&ck)事件跟進,應急響應中成長 0day漏洞的持續跟進:log4j、CVE-2021-40444釣魚、cv
8、e-2022-30190釣魚 主動的紅藍對抗,利用外部攻擊能力 以上僅是example,攻防檢測方案的核心NG-SIEM之安全事件處置安全事件誤報分析負向反饋運營分析師playbookSoar自動響應應急溯源工單系統業務處置IACD(集成的自適應網絡防御框架)NG-SIEM之運營案例一DNS面臨的攻擊DNS攻防檢測方案規則匹配數理統計關聯分析機器學習模式識別DNSLog檢測域傳送攻擊辦公網DNS/生產網DNSDNS隧道反射/DOSDoH/DoT終端攻擊DGA域名IDN域名FastFlux威脅情報D3fendNetwork Traffic AnalysisDNS Traffic Analysis
9、ATT&CKT1583.002/T1557.004/T1584.002/T1568.001/T1568.003/T1499.002滿足檢測能力hunting可運營NG-SIEM之運營案例二PHP提供web服務java日志平臺Log4j payload日志流轉請求字節碼1234Q:如果時間倒回到2021年12月9日下午,NG-SIEM該如何應對log4j漏洞?A:縱深檢測+防御1、7層流量中對于$jndi:ldap:是否能感知到異常?-可能不會2、攻擊過程中DNSlog的探測是否能檢測到?-可以,事實證明3、請求遠程字節碼文件的行為是否能檢測到?-可以,內網向外請求.class文件為異常行為4、
10、被控主機打反彈shell或者建立其他的隧道(frp、dns、msf等)是否能檢測到?-可以,標準4層流量檢測能力5、提權行為是否能感知到?-可以6、內網橫向能否感知到?-可以接受一定的不完美,允許安全事件的發生。安全的目標是控制風險。NG-SIEM之運營案例三釣魚郵件從感染的站點下載惡意軟件123攻擊者服務器EMAILWEB攻擊過程攻擊過程檢測方案應急響應4郵件安全檢測系統規則檢測模型檢測靜態檢測動態檢測NG-SIEM威脅情報流量信息UEBAhunting終端設備SEPEDRSYSLOG添加郵件黑名單攔截添加靜態樣本庫郵件系統FW拉黑惡意IP情報庫添加惡意IPSEP殺毒Edr終端取證攻擊者溯源頑固病毒手動清除