freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

端点安全杂谈(八)入侵检测
2022-12-30 16:16:45

写在前面

今天说入侵检测,各类描述这部分的文章太多了,我就粗浅的列一列

入侵检测

应用、服务、进程和文件的厂商、授信的数字签名并不意味着完全被信任,来自于端点系统内的资产的访问请求必须满足一定的安全性要求,这些要求与那些不被信任的应用、服务、进程和文件所检测的安全性一样。意思就是,不应基于应用、服务、进程和文件的某些属性被信任而自动信任这些资产对象的全部属性。所有的资产和资源访问都应该在明确授予的范围内进行。

风险行为

1672381351_63ae83a7bd90d97eea292.png!small?1672381352665

不知道这么分是不是合适,想说的就是端点上入侵检测应该更多偏向行为的检测,IoA、IoC的指标都太依靠已知,监测资产行为从中发现异常再匹配库、策略规则或者别的什么让已知和未知分分显现出来。一些厂商在描述产品能力时会说能识别发现未知威胁、0day、免杀木马还有APT攻击,但是方法貌似都需要后台人员介入花个几天才能确定,要不怎么就知道是未知呢,直接识别的不是已知么,未知识别难道非要人工才行?

曾经的案例:管理员觉得某服务器异常,装杀软查杀无果,再装某产品查看到一些信息拿回公司交给安服检查。不知道具体过程总之发现了某个文件存在问题,该文件在web目录里运行远程连接某IP的80端口,疑惑点web服务本是提供80端口访问,该文件使系统访问其他80端口还是在自己web目录里运行。这类为了竞争对手特意制作的间谍软件用特征值匹配、库的方式肯定是不行的,但要是堆人力排查那要收多少钱合适呢,这无穷无尽的。

风险程序

1672385521_63ae93f1aa770d91473b3.png!small?1672385522279

这部分就要更多依靠威胁情报的能力了,能查多少都要看各家的积累和方式方法的高低,误报、漏报貌似都不可避免。

网络入侵

1672385883_63ae955b9b939453bade8.png!small?1672385884012

端点作为产生网络流量的主体直接从端点上搞定网络问题,源头截流我觉得最直接有效。

曾经的案例:整个客户网络环境出口带宽1G/s,20多个网段好几千个IP地址拼命的向外不停发包,基于流量检测的设备早早就有告警了,核心路由到接入交换逐个排查无果,发包情况24小时持续了1个多星期。为了确定哪里有问题管理员开始拔网线一个一个的网段拔,还是确定不了出口还是有离线网段的IP包。辗转多次最终还是通过EDR产品发现了某台测试用服务器被远程控制在DOS世界各地的IP,这种事情能够说清用户是受害者还是攻击者,被DDOS的如果溯源到IP是不是能认定发包的IP就是罪恶的源头直接拉黑了事?网络管理者不仅要防止被窥探、攻击还要管好内部的这些影子攻击者。

入侵诱捕

1672387488_63ae9ba0cc40260d9e289.png!small?1672387489202

诱捕这事在网络侧比较常见的有蜜罐,直接在端点上直接上一个蜜罐是不是识别出攻击者的概率更高。端点诱捕不在于复杂环境和多么深入了解,而在于简单有效,反应快速。客户环境如果有足够的基线标准都可以直接多设备联动迅速响应,阻断也好,管控也行。

入侵和恶意程序的检测应由动态策略确定,应用、服务、进程和文件的访问和调用关系的可视化,以及可能包括的其他行为属性内容。在恶意代码、文件检测方式上相较于静态检测方法,动态的通过上下文语义的行为检测方式不易受变形、加壳或隐藏等方式的干扰。行为属性包括用户分析、资产分析以及观察到的使用模式之间的数值偏差。策略是用户、资产的访问规则属性集。这些属性和规则基于业务流程的需求和可接受的风险级别,行为和策略根据资产的敏感性而变化,监视资产以确保它们保持在最安全的状态。通过对各类行为的分析在上下文内容之间存在的关联特征等方式,能够对利用系统后门、系统或应用漏洞利用、本地提权、无文件攻击、数据窃取等。

本文作者:, 转载请注明来自FreeBuf.COM

# 终端安全 # 安全杂谈 # 端点安全
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦