第2步：收集數(shù)據(jù)

時間：2022-03-27 10:15:01 | 來源：網(wǎng)絡(luò)推廣

時間：2022-03-27 10:15:01 來源：網(wǎng)絡(luò)推廣

在創(chuàng)建分析方案時，組織機(jī)構(gòu)必須確定、收集和存儲制定分析方案所需的數(shù)據(jù)。為了確定分析人員需要收集哪些數(shù)據(jù)來制定分析方案，首先要了解現(xiàn)有傳感器和日志記錄機(jī)制已經(jīng)收集了哪些數(shù)據(jù)。在某些情況下，這些數(shù)據(jù)可能滿足給定分析的數(shù)據(jù)要求。但是，在許多情況下，可能需要修改現(xiàn)有傳感器和工具的設(shè)置或規(guī)則，以便收集所需的數(shù)據(jù)。在其它情況下，可能需要安裝新工具或功能來收集所需的數(shù)據(jù)。在確定了創(chuàng)建分析所需的數(shù)據(jù)之后，必須將其收集并存儲在將要編寫分析的平臺上。例如，可以使用Splunk的體系結(jié)構(gòu)。

由于企業(yè)通常在網(wǎng)絡(luò)入口和出口點部署傳感器，因此，許多企業(yè)都依賴邊界處收集的數(shù)據(jù)。但是，這就限制了企業(yè)只能看到進(jìn)出網(wǎng)絡(luò)的網(wǎng)絡(luò)流量，而不利于防御者看到網(wǎng)絡(luò)中及系統(tǒng)之間發(fā)生了什么情況。如果攻擊者能夠成功訪問受監(jiān)視邊界范圍內(nèi)的系統(tǒng)并建立規(guī)避網(wǎng)絡(luò)保護(hù)的命令和控制，則防御者可能會忽略攻擊者在其網(wǎng)絡(luò)內(nèi)的活動。正如上文的攻擊示例所述，攻擊者使用合法的Web服務(wù)和通常允許穿越網(wǎng)絡(luò)邊界的加密通信，這讓防御者很難識別其網(wǎng)絡(luò)內(nèi)的惡意活動。

由于使用基于邊界的方法無法檢測到很多攻擊行為，因此，很有必要通過終端(主機(jī)端)數(shù)據(jù)來識別滲透后的操作。下圖展示的是企業(yè)邊界網(wǎng)絡(luò)傳感器在ATTCK框架中的覆蓋范圍。紅色表示未能檢測到攻擊行為，黃色表示有一定檢測能力。如果在終端上沒有傳感器來收集相關(guān)數(shù)據(jù)，比如進(jìn)程日志，就很難檢測到ATTCK模型描述的許多入侵。目前，國內(nèi)外一些新一代主機(jī)安全廠商，都是采用在主機(jī)端部署Agent方式，比如青藤云安全，通過Agent提供主機(jī)端高價值數(shù)據(jù)，包括操作審計日志、進(jìn)程啟動日志、網(wǎng)絡(luò)連接日志、DNS解析日志等。

涵蓋邊界防御在內(nèi)的ATTCK矩陣

此外，僅僅依賴于通過間歇性掃描端點來收集端點數(shù)據(jù)或獲取數(shù)據(jù)快照，這可能無法檢測到已入侵網(wǎng)絡(luò)邊界并在網(wǎng)絡(luò)內(nèi)部進(jìn)行操作的攻擊者。間歇性地收集數(shù)據(jù)可能會導(dǎo)致錯過檢測快照之間發(fā)生的行為。例如，攻擊者可以使用技術(shù)將未知的RAT加載到合法的進(jìn)程(例如explorer.exe)中，然后使用cmd.exe命令行界面通過遠(yuǎn)程Shell與系統(tǒng)進(jìn)行交互。攻擊者可能會在很短的時間內(nèi)采取一系列行動，并且?guī)缀醪粫谌魏尾考辛粝潞圹E讓網(wǎng)絡(luò)防御者發(fā)現(xiàn)。如果在加載RAT時執(zhí)行了掃描，則收集信息(例如正在運(yùn)行的進(jìn)程、進(jìn)程樹、已加載的DLL、Autoruns的位置、打開的網(wǎng)絡(luò)連接以及文件中的已知惡意軟件簽名)的快照可能只會看到在explorer.exe中運(yùn)行的DLL。但是，快照會錯過將RAT實際注入到explorer.exe、cmd.exe啟動、生成的進(jìn)程樹以及攻擊者通過shell命令執(zhí)行的其它行為，因為數(shù)據(jù)不是持續(xù)收集的。