3.2 面向網絡安全態勢感知的安全要素和安全特征
從分析師的角度而言,分析師很難采集和分析與網絡空間相關的所有數據,需要結合各種輔助性防御設備的數據進行融合分析。由于不同分析師對于網絡安全態勢的理解不一致,因此在分析網絡攻擊事件時的關注點也不一致,很難形成一個統一的態勢理解。為了輔助分析師對其關注的網絡安全數據進行靶向提取,本節將介紹常用的安全要素和安全特征。為了便于讀者理解,本節將從資產維度數據、漏洞維度數據、威脅維度數據三個方面介紹網絡安全態勢感知過程中可以采集的安全要素和安全特征。其中,資產維度數據主要包括網絡空間中的資產數據,從防御者角度而言,主要包括需要防護的網絡系統中的資產數據等;漏洞維度數據是指網絡空間中可能存在的漏洞、弱點、缺陷等各類數據,通過和資產數據的關聯可以有效分析防護網絡系統中可能存在的漏洞維度數據;威脅維度數據是指針對網絡空間各類軟件和硬件等可能發生的威脅行為等數據,包括各類不同的攻擊行為數據、系統異常數據等。威脅維度數據一般是攻擊者利用漏洞維度信息在對網絡系統中的資產實施威脅行動過程中留下或被系統、防御設備檢測到的數據。
3.2.1 資產維度數據
面向網絡安全態勢感知的資產維度數據是指各類硬件、軟件等數據。從防御者角度而言,資產維度數據是指需要保護的網絡系統中各類資產及不同資產之間的關聯情況。各類資產在硬件層面包括計算機、服務器、路由器、交換機、打印機、掃描儀等;在軟件層面包括運行在系統中的各種應用軟件,如辦公軟件、計算軟件、娛樂軟件、社交軟件、瀏覽器軟件、音頻軟件、殺毒軟件、系統工具、下載軟件、辦公軟件、手機數碼軟件、輸入法軟件、圖形圖像軟件等;在數據層面包括各類關鍵數據,如用戶密碼、配置文件、個人文件、企業數據等。不同資產之間的關聯情況包括網絡拓撲、硬件和軟件之間的適配關系等。與各類資產相關的可以采集的數據包括但不限于下述數據:
(1)硬件數據:包括磁盤、內存、CPU(Central Processing Unit,中央處理器)等硬件設備的型號、版本號等基礎信息;
(2)操作系統數據:包括操作系統的型號、版本號等基礎信息;
(3)軟件數據:包括不同軟件的類別、型號、版本號等基礎信息;
(4)CPU占用率:用于評估計算機、服務器等硬件的CPU運行情況,以便評估硬件資產的狀態;
(5)內存占用率:用于評估計算機、服務器等硬件的內存占用情況,以便評估硬件資產的狀態;
(6)磁盤占用率:用于評估計算機、服務器等硬件的磁盤占用情況,以便評估硬件資產的狀態;
(7)磁盤IO信息:用于評估計算機、服務器等硬件的磁盤工作狀態;
(8)注冊表:用于評估計算機、服務器上的重要軟件和硬件的運行狀態;
(9)系統調用:通過系統函數被調用的頻次評估軟件和硬件、驅動程序和驅動器的運行狀態;
(10)進程:用于觀察和評估是否存在異常運行的軟件和進程;
(11)端口:通過端口的狀態評估是否存在異常運行的軟件、服務等;
(12)服務:用于評估計算機、服務器等的相關服務運行狀態;
(13)網絡狀態:查看網絡連接、網絡服務、丟包率等網絡相關的運行狀態;
(14)出入流量:用于評估計算機、服務器出入的流量,通過出入流量評估是否存在異常軟件、服務的運行等;
(15)用戶數據:通過用戶名、用戶群組等評估用戶相關的數據;
(16)權限數據:查看不同用戶的權限數據,用于評估是否存在異常用戶、異常權限更換等情況;
(17)文件系統:評估計算機、服務器上文件系統的變化情況,用于評估是否存在異常的文件修改、文件刪除等操作。
需要保護的網絡系統中的各類資產數據較多,本書將資產維度數據劃分為兩類:靜態資產信息和動態資源信息。其中,靜態資產信息包括需要保護的各類計算機硬件、軟件數據,即型號、版本等各類基礎數據;動態資源信息反映資產狀態、業務運行狀態,包括運行的程序信息、配置信息、身份信息、資源狀態信息等。資產維度數據一般會與執行業務相關聯,對網絡系統的防御目的也是為了保證業務的正常運行,因此與業務運行相關的信息也被劃分為資產維度數據。
3.2.2 漏洞維度數據
漏洞維度數據是指網絡空間存在的各類漏洞、弱點、缺陷等數據。對于使用網絡安全態勢感知系統的防御者而言,漏洞維度數據體現為需要防御的網絡系統在資產維度可能存在的漏洞、弱點、缺陷等數據。一般而言,漏洞維度數據表現為在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷,可使攻擊者能夠在未授權的情況下訪問或破壞系統。從攻擊者角度而言,攻擊者在進行攻擊之前,首先會尋找目標網絡系統存在的漏洞、弱點、缺點等,然后分析和利用這些漏洞數據來入侵目標網絡系統。因此,對于防御者而言,通過采集相關的數據提取防護系統存在的漏洞數據,能在一定程度上提前預知攻擊者可能會利用的漏洞數據。因此,采集漏洞維度數據具有重要的作用和意義。一般而言,常見的網絡安全漏洞數據包括以下幾類:
(1)軟件漏洞:是指計算機、服務器上運行軟件存在的脆弱性,可以看作是系統或軟件的脆弱性。一般而言,軟件漏洞可能是由于操作系統本身的設計缺陷所帶來的,可被設計在操作系統中的軟件繼承。另外,還有一類軟件漏洞是軟件程序自身的安全漏洞,如在軟件程序自身設計過程中的漏洞、在編寫程序實現的過程中未充分考慮的邊界條件、軟件和硬件及框架的不適配所導致的漏洞等。
(2)配置漏洞:主要是指在進行安全配置、系統配置、軟件配置時,由于配置不合理,在網絡、軟件和硬件環境發生變化以后,未及時將安全配置進行調整,導致資產安全未得到保障而造成漏洞。
(3)結構漏洞:是指由于網絡系統沒有采取有效的安全措施導致網絡系統處于不設防的狀態。另外,在一些重要的網絡系統中,由于交換機等網絡設備設置不當,還可能造成網絡流量被攻擊者盜取等漏洞。
網絡安全漏洞數據還包括由管理人員造成的漏洞等。本書重點關注存在于網絡空間安全中可采集的漏洞,主要包括軟件、協議、配置等方面的漏洞。從漏洞的威脅程度而言,漏洞數據可以分為低危漏洞、中危漏洞、高危漏洞。
(1)低危漏洞:能夠導致輕微信息泄露的安全漏洞,包括反射型XSS(包括反射型DOM-XSS)、CSRF(Cross Site Request Forgery,跨站請求偽造)、路徑信息泄露、SVN信息泄露、phpinfo等。
(2)中危漏洞:能被用來直接盜取用戶身份信息或能夠導致普通級別用戶信息泄露的漏洞,包括存儲型XSS漏洞、客戶端明文密碼存儲等。
(3)高危漏洞:可被攻擊者遠程利用并能直接獲取系統權限或導致嚴重級別信息泄露的漏洞,包括遠程命令執行、SQL注入、緩沖區溢出、繞過認證直接訪問管理后臺、核心業務非授權訪問等,可導致服務器端權限、客戶端權限等被攻擊者獲取,造成大量用戶信息、企業機密信息泄露等。
從漏洞被利用的方式而言,漏洞維度數據可以分為本地漏洞數據和遠程漏洞數據。其中,本地漏洞數據是指攻擊者需要登錄到本地系統時才能利用的漏洞數據,如權限提升等攻擊行為利用的漏洞;遠程漏洞數據是指攻擊者可以通過遠程訪問目標網絡進行攻擊和利用的漏洞數據。從威脅類型而言,漏洞維度數據可以分為獲取控制、獲取數據、拒絕服務類型的數據。其中,獲取控制類型的數據是指可用于執行攻擊者制定的指令或命令的漏洞數據;獲取數據類型的數據是指可導致劫持程序訪問預期外的資源并泄露給攻擊者的漏洞數據;拒絕服務類型的數據是指可以導致目標系統、任務等暫時或永遠性失去響應正常服務能力的漏洞數據。從技術類型而言,漏洞維度數據可以分為內存破壞類漏洞數據、邏輯錯誤類漏洞數據、輸入驗證類漏洞數據、設計錯誤類漏洞數據、配置錯誤類漏洞數據等。
3.2.3 威脅維度數據
威脅維度數據主要是指攻擊者在對網絡空間的軟件和硬件等資產進行攻擊時遺留或暴露出來的相關數據。對于防御者而言,最關注的是攻擊者可能針對目標網絡系統發起的攻擊行為。由于很多網絡攻擊并非單獨行為,比如APT(Advanced Persisted Threat,高級持久性威脅)攻擊等往往通過多步攻擊行為執行,其威脅維度數據是指在這些攻擊行為過程中留下的痕跡,以及被防御設備發現的一些行為數據。威脅維度數據一般與攻擊行為相關,因此需要設定與攻擊行為相關的安全特征,并對具有該類安全特征的數據進行靶向采集,而不是采集和分析所有的數據,以便解決數據過載的問題。
威脅維度數據一般分為終端數據和流量數據。對于終端數據,防御者需要關注要保護的系統終端的各類數據,從而能從終端數據中發現并采集異常數據;對于流量數據,由于攻擊者可能利用遠程漏洞數據進行攻擊,防御者需要關注網絡流量的數據,通過網絡流量數據采集威脅維度數據,以便進行態勢提取。
3.2.3.1 終端數據
終端數據一般是指由防御者保護的單個計算機、服務器等終端設備的有關數據,按照數據種類可以分為終端資產數據、終端日志數據、終端告警數據。
(1)終端資產數據:與前面講到的資產維度數據類似,更關注位于具體終端上的資產數據,如設備CPU、內存、硬盤、端口、文件系統、網絡等終端設備上與資產相關的數據,用于評估終端的安全狀態,當終端資產數據發生異常時,便可以采集相關的威脅維度數據。
(2)終端日志數據:計算機系統運行過程、用戶執行各類操作等的過程性事件記錄數據,主要用于了解具體哪個用戶、在什么時間、對哪臺設備、哪個軟件、做了具體什么操作。終端日志數據包括但不限于:
①操作系統日志:包括在操作系統中執行各類操作時所產生的過程性記錄;
②瀏覽器日志:包括在瀏覽器上執行各類操作時所產生的過程性記錄;
③文件日志:包括在不同文件上執行各類操作時所產生的過程性記錄;
④應用程序日志:包括在各類應用程序上執行各類操作時所產生的過程性記錄;
⑤網絡日志:包括對網絡狀態、信息產生變化的過程性記錄;
⑥數據庫日志:包括對各類數據庫執行各種操作時所產生的過程性記錄。
(3)終端告警數據:一般通過在終端部署終端檢測與響應系統(Endpoint Detection & Response,EDR),可主動監控終端,及時發現與記錄終端的各種安全事件檢測告警數據,便于網絡安全分析師進一步深入分析終端資產的安全。終端告警數據包括但不限于:
①異常登錄告警:包括檢測出的用于異常登錄的告警信息;
②遠程控制告警:包括檢測出的針對終端遠程控制的告警信息;
③木馬控制告警:包括檢測出的針對終端木馬控制的告警信息;
④后門控制告警:包括檢測出的針對終端后門控制的告警信息;
⑤本地提權告警:包括檢測出的在終端本地進行提權(提高權限)的告警信息;
⑥webshell檢測告警:包括檢測出的sebshell告警信息;
⑦文件完整性檢測告警:包括檢測出的文件被篡改等告警信息;
⑧暴力破解告警:包括檢測出的在終端進行暴力破解的告警信息。
3.2.3.2 流量數據
流量數據是指對網絡協議實時解碼、提取元數據、對網絡中的流量進行采集等操作時所形成的數據。一般而言,流量數據包括完整內容數據、提取內容數據、會話數據、統計數據、告警數據等。
(1)完整內容數據:包捕獲數據,即在網絡中傳輸過的沒有被過濾、沒有被篩選過的原始數據,具有完整的內容描述。包捕獲數據提供了兩個端點之間傳輸的完全數據包信息,捕獲這些信息對分析安全事件具有重要的意義。
(2)提取內容數據:包字符串數據,即從包捕獲數據導出來的數據。由于包捕獲數據體量大,分析師很難對所有的包捕獲數據進行分析,而且包捕獲數據往往只能保存數天至幾個星期,因此從包捕獲數據中提取出有用信息,對分析師非常有幫助。
(3)會話數據:流數據,即兩個網絡設備之間通信行為的匯總,通常為五元組,包含源IP地址、源端口、目的IP地址、目的端口、傳輸協議等五組信息。
(4)統計數據:對網絡流量數據進行組織、分析等形成的統計性數據,可以描述來源于各類活動的各個方面的流量。
(5)告警數據:當各類型檢測系統檢測出某些量超過了所規定的界限,或者數據出現異常情況時,系統自動產生的告警信息,有助于分析師更好地分析網絡安全狀態,但是告警信息存在大量誤報、錯報的情況,使得告警信息在目前有時難以被有效、高效地利用。
在采集威脅維度數據時不能對所有的終端數據、網絡數據進行采集和分析。雖然現在已經有各種工具能夠支持對終端數據和網絡數據的采集,但是數據體量大、數據更新速度快。如果采集所有的數據進行分析,將導致分析效率低下,而且分析師也不可能查看所有的數據去分析網絡空間中可能面臨的攻擊行為。因此,為了解決數據采集過程中的數據過載問題,需要對不同類型的威脅行為設計相關的規則和特征,從而能對已知的各種威脅行為進行靶向采集;而對于未知的攻擊行為,將通過采集終端的異常數據進行分析,并通過本書介紹的溯源等技術對攻擊行為進行復現,在安全特征中加入新攻擊行為的特征。