读红蓝攻防：技术与策略26主动传感器

1. 主动传感器

1.1. 需要主动监控以检测可疑活动和潜在威胁，并基于监控结果采取行动
1.2. 假如没有一个好的检测系统，安全态势就没有彻底完成增强，这意味着要在整个网络中摆设正确的传感器以监控活动
1.3. 蓝队应该利用现代检测技术，创建用户和盘算机配置文件，以便更好地相识正常操作中的异常和偏差
2. 检测本领

2.1. 由于当前的威胁形势动态性强，变化快，因此需要可以或许快速调整以顺应新攻击的检测系统
2.2. 传统的检测系统依靠于手动微调初始规则、固定阈值和固定基线，很可能会触发过多的误报，这对当今的许多组织来说是不可忍受的
2.3. 技术

• 2.3.1. 来自多个数据源的数据关联
  
• 2.3.2. 画像
  
• 2.3.3. 活动分析
  
• 2.3.4. 异常检测
  
• 2.3.5. 活动评估
  
• 2.3.6. 机器学习
  
• 2.3.7. 人工智能
  

2.4. 一些传统的安全控制（如协议分析和基于签名的反恶意软件）仍在防御体系中占有一席之地，但重要用于对抗遗留威胁

• 2.4.1. 不应该仅仅因为你的反恶意软件没有任何机器学习功能就将其卸载，它仍然是对主机的一级保护
  
• 2.4.2. 所有防御的总和形成了一个团体安全态势，它可以通过额外的防御层来增强
  

2.5. 只关注重点用户的传统防御思维已经无效了，不能再使用这种方法并期望保持有效的安全态势

• 2.5.1. 当前威胁检测必须跨所有效户账户运行，对它们进行分析，并相识它们的正常活动
  

2.6. 当将数据与上下文联系起来时，自然会淘汰误报的数目，并为事件相应团队提供更故意义的结果，以便采取反应行动
2.7. 攻陷指示器

• 2.7.1. Indicators of Compromise，IoC
  
• 2.7.2. 当发现新的威胁时，它们通常会呈现特定的活动模式并在目标系统中留下足迹
  
• 2.7.3. IoC可以在文件的散列值、威胁活动者使用的特定IP地址、与攻击类型相关的域名以及网络和主机工件中找到
  

3. 入侵检测系统

3.1. Intrusion Detection System，IDS
3.2. 问题

• 3.2.1. 应该由谁来监控IDS？
  
• 3.2.2. 谁应该拥有IDS的管理权限？
  
• 3.2.3. 如何根据IDS生成的告警处理事件？
  
• 3.2.4. IDS的更新策略是什么？
  
• 3.2.5. 应在哪里安装IDS？
  

3.3. 负责检测潜在的入侵并触发告警，告警的处理方式取决于IDS策略
3.4. 基于特征码的IDS将查询以前攻击特征码（足迹）和已知系统毛病的数据库，以验证发现的是一个威胁以及是否必须触发告警

• 3.4.1. 由于这是一个签名数据库，因此需要不断更新才能拥有最新版本
  

3.5. 基于活动的IDS工作原理是根据它从系统中相识到的信息创建模式基线

• 3.5.1. 一旦它学会了正常的活动，识别与正常活动的偏差就变得更容易了
  

3.6. IDS告警可以是任何类型的用户通知，用于提醒用户留意潜在入侵活动

• 3.6.1. 可以是基于主机的入侵检测系统(Host-based Intrusion Detection System，HIDS)，此中IDS机制将仅检测针对特定主机的入侵尝试
  
• 3.6.2. 可以是基于网络的入侵检测系统(Network-based Intrusion Detection System，NIDS)，检测安装了针对NIDS的网段的入侵
  

3.7. 网段

• 3.7.1. DMZ/边界
  
• 3.7.2. 核心企业网络
  
• 3.7.3. 无线网络
  
• 3.7.4. 假造化网络
  
• 3.7.5. 其他关键网段
  

3.8. 传感器将只监听流量，这意味着它不会过多斲丧网络带宽
3.9. 蓝队必须相识公司的限定并帮助确定安装这些设备的最佳位置
4. 入侵防御系统

4.1. Intrusion Prevention System，IPS
4.2. 概念与IDS类似，但顾名思义，它通过采取改正步伐来阻止入侵
4.3. 与IDS可用于主机(HIDS)和网络(NIDS)的方式相同，IPS也可用于HIPS和NIPS

• 4.3.1. NIPS在网络中的位置非常重要
  

4.4. 基于规则的检测

• 4.4.1. IPS会将流量与一组规则进行比较，并尝试验证流量是否与规则匹配
  
• 4.4.2. 当需要摆设新规则来阻止试图利用毛病进行攻击时，这非常有效
  
• 4.4.3. NIPS系统（如Snort）可以或许通过利用基于规则的检测来阻止威胁
  
• 4.4.4. 使用开源NIPS（如Snort）的优势在于，当遇到新威胁时，社区通常会使用新规则快速相应以检测该威胁
  

4.5. 基于异常的检测

• 4.5.1. 异常检测基于IPS分类为异常的内容，这种分类通常基于开导式或一组规则
  
• 4.5.2. 它的一种变体称为统计异常检测，它对网络流量进行随机采样并将其与基线进行比较
  
• 4.5.3. 假如此样本超出基线，则会引发告警并主动采取操作
  

5. 内部活动分析

5.1. 仍有许多企业以混合模式运营，此中很多资源仍在内部摆设
5.2. 企业将关键数据留在企业内部，而将低风险的工作负载迁移到云端
5.3. 攻击者往往以静默方式渗出到内部网络中，进行横向迁移并提升权限，保持与命令和控制的连接，直到可以或许执行任务
5.4. 在内部摆设进行活动分析是对于快速打破攻击杀伤链至关重要
5.5. 组织可以利用用户和实体活动分析(User and Entity Behavior Analytic，UEBA)来发现安全毛病

• 5.5.1. 使用UEBA检测攻击有很多长处，但此中最重要的一点是，可以或许在早期阶段检测到攻击并采取改正步伐来遏制攻击
  
• 5.5.2. 当内部摆设有UEBA系统时，系统知道用户通常访问哪些服务器，哪些共享，通常使用什么操作系统来访问这些资源，以及用户的地理位置
  

5.6. 实体活动分析内容

• 5.6.1. 在安全研究的底子上对攻击前言和用例场景进行优先级排序，该研究使用MITRE ATT&CK框架的战术、技术和子技术
  
• 5.6.2. 数据源：优先思量Azure数据源，但也答应从第三方数据源摄取
  
• 5.6.3. 分析：利用机器学习(ML)算法等功能来识别非常规活动
  

5.7. 所有这些关于为什么用户的活动被标记为可疑的信息，对确定用户的活动是否可能对系统构成更大的威胁有很大帮助
5.8. 设备放置

• 5.8.1. 安装UEBA的位置将根据公司的需要和供应商的要求而有所不同
  

5.9. 如今，越来越多的公司正在从纯粹的内部运营转向在混合环境中工作，这需要进行更多考量
6. 混合云中的活动分析

6.1. 当蓝队需要创建对策来保护混合环境时，需要扩展他们对当前威胁形势的看法并进行评估，以验证与云的持续连接并查抄对团体安全态势的影响
6.2. 恒久使用IaaS的用户表示该技术最终会对安全产生积极影响
6.3. 蓝队应该集中精力以提高综合检测本领的地方，其目标是利用混合云功能改善团体安全态势
6.4. 第一步是与云提供商建立良好的合作伙伴关系，相识他们拥有哪些安全功能，以及如安在混合环境中使用这些安全功能
6.5. Microsoft Defender for Cloud

• 6.5.1. 使用的日记分析代理可以安装在内部盘算机（Windows或Linux系统）以及Azure中运行的VM、AWS或GCP中
  
• 6.5.2. 利用安全情报和高级分析来更快地检测威胁并淘汰误报
  
• 6.5.3. 在理想情况下，蓝队可以使用此平台，可视化位于不同云提供商的所有工作负载中的告警和可疑活动
  
• 6.5.4. 威胁情报
  
• 6.5.5. 活动分析
  
• 6.5.6. 异常检测
  

6.6. 安全管理员从一个单一的控制面板上管理位于多个云供应商的资源和本地资源
6.7. 告警是按优先级组织的，有一栏专门用于将告警与MITRE ATT&CK战术进行映射

• 6.7.1. 它可以让你意识到威胁活动者实际上已经深入组织中
  

6.8. PaaS工作负载分析

• 6.8.1. 混合云中，不仅有IaaS工作负载，在某些场景中，实际上使用平台即服务(Platform as a Service，PaaS)工作负载启动迁移的组织也非常常见
  
• 6.8.2. PaaS的安全传感器和分析高度依靠云提供商
  
  
  
  • 6.8.2.1. 要使用的PaaS应该具备内置告警系统的威胁检测功能
    
  
  
• 6.8.3. 在Azure中有很多PaaS，假如依据安全关键性品级对服务进行分类，毫无疑问，任何存储数据的服务都被认为是关键的
  
• 6.8.4. 方案
  
  
  
  • 6.8.4.1. Defender for SQL：启用Azure中的SQL威胁检测
    
  • 6.8.4.2. Defender for Storage：为Azure存储账户启用威胁检测
    
  • 6.8.4.3. Defender for Containers：为Azure容器注册表和Kubernetes启用威胁检测
    
  • 6.8.4.4. Defender for App Services：为Azure Web应用程序启用威胁检测
    
  • 6.8.4.5. Defender for Key Vault：为Azure密钥库启用威胁检测
    
  • 6.8.4.6. Defender for DNS：为Azure DNS启用威胁检测
    
  • 6.8.4.7. Defender for Resource Manager：为Azure资源管理器启用威胁检测
    
  
  
• 6.8.5. 每个Defender for Cloud筹划都将根据特定服务的威胁情况提供一组不同的告警
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

继续阅读请点击广告