前言

你怎么知道你的公司是否被侵入?是的,沒有人來到“黑”,或者因?yàn)樗蛔愕母行愿?不可能找到它?事實(shí)上,入侵檢測(cè)對(duì)于每個(gè)大型互聯(lián)網(wǎng)企業(yè)來說是一個(gè)嚴(yán)重的挑戰(zhàn)。價(jià)值的價(jià)值越高,侵犯威脅越大,即使雅虎是互聯(lián)網(wǎng)的鼻祖先,仍然在結(jié)束時(shí)仍然是一個(gè)全部數(shù)據(jù)被盜(獲取)。一旦互聯(lián)網(wǎng)公司成功地“入侵”,一旦互聯(lián)網(wǎng)公司成功,后果將是難以想象的。

基于“攻擊和防御對(duì)抗”的考慮,本文不會(huì)提及特定入侵檢測(cè)模型,算法和策略,以及希望移動(dòng)“入侵戰(zhàn)略”的人可能會(huì)失望。但是,我們將分享一些操作思路,請(qǐng)聯(lián)系我們,如果您可以幫助后來的人,最好是,您也歡迎大家交換討論。

入侵定義

典型的入侵情景:

黑客遠(yuǎn)離網(wǎng)絡(luò)遠(yuǎn)程控制目標(biāo)的筆記本電腦/移動(dòng)/服務(wù)器/網(wǎng)絡(luò)設(shè)備,還遠(yuǎn)遠(yuǎn)讀取目標(biāo)的隱私數(shù)據(jù),或使用目標(biāo)系統(tǒng)上的功能,包括使用移動(dòng)電話的麥克風(fēng)。使用攝像機(jī)偷窺監(jiān)控目標(biāo),使用目標(biāo)設(shè)備計(jì)算能力,使用目標(biāo)設(shè)備網(wǎng)絡(luò)功能來啟動(dòng)DDOS攻擊等。al或單獨(dú),服務(wù)密碼也破解,進(jìn)入敏感信息,控制訪問控制/ 紅綠燈。這些都是經(jīng)典的入侵場(chǎng)景。

我們可以提供侵入:它是一種控制,使用我們的資源(包括但不限于讀寫數(shù)據(jù),執(zhí)行命令,控制資源等)來控制,以在未經(jīng)授權(quán)的情況下實(shí)現(xiàn)各種目的。一般而言,黑客使用SQL注入漏洞來竊取數(shù)據(jù),或在ISP中的目標(biāo)域名中獲取帳戶密碼,以將DNS指向一個(gè)黑頁,或查找目標(biāo)社交帳戶,在Weibo / QQ /郵箱上未經(jīng)授權(quán)對(duì)虛擬資產(chǎn)的控制是一類入侵。

企業(yè)入侵檢測(cè)

公司入侵檢測(cè)的范圍,在大多數(shù)情況下更狹窄:通常指的是控制PC,系統(tǒng),服務(wù)器,網(wǎng)絡(luò)(包括辦公網(wǎng)絡(luò),生產(chǎn)網(wǎng)絡(luò))的黑客行為。

黑客控制主機(jī)資產(chǎn)的控制,如PC,服務(wù)器,最常用的方法是通過shell執(zhí)行指令并獲取名為getShell的shell的此操作。

例如,通過上傳Web服務(wù)的漏洞,獲取WebShell,或直接使用RCE漏洞以執(zhí)行命令/代碼(RCE殼體由環(huán)境提供。另外,在某種程度上,首先植入“木馬后門”,然后是特洛伊木馬的集成殼體功能來瞄準(zhǔn)遙控器,這也是典型的。

因此,入侵檢測(cè)可以專注于GetShell成功后的GetShell的動(dòng)作和惡意行為(為了擴(kuò)展結(jié)果,有多少黑客將使用shell檢測(cè),翻轉(zhuǎn)偷竊,水平移動(dòng)攻擊其他內(nèi)部目標(biāo),這些差異也可以作為一個(gè)重要特征)。

報(bào)告GetShell之前有一些同行(包括商業(yè)產(chǎn)品),一些“外部掃描,攻擊檢測(cè)和試驗(yàn)行為”,而且名稱“情境感知”告訴公司,有人“試圖攻擊”。在作者的眼中,實(shí)際值并不大。許多公司,包括美國(guó)集團(tuán),基本上是一個(gè)“身份不明”的攻擊,知道某人是“嘗試”攻擊,如果它沒有有效行動(dòng),無法有效報(bào)警,除了支出心之外,還沒有太大的實(shí)用價(jià)值。

當(dāng)我們習(xí)慣“攻擊”是正常的時(shí),我們將解決如此正常狀態(tài)的問題?？梢允褂媚男?qiáng)化策略,這可以實(shí)現(xiàn)規(guī)范化的操作,如果有任何無法標(biāo)準(zhǔn)化的策略,例如許多人加班臨時(shí)攻擊標(biāo)準(zhǔn),那么許多戰(zhàn)略將逐漸消失。不要與我們一起做這個(gè)策略,沒有必要的差異。

類似于SQL注入,XSS等。不是直接GetShell的Web攻擊,暫時(shí)不在狹義“入侵檢測(cè)”考慮中,建議傳播“漏洞”,“威脅意識(shí)”等領(lǐng)域,以及離散。當(dāng)然,使用SQL注入,XS和其他入口,我們?nèi)匀徽莆誈etShell的關(guān)鍵點(diǎn),不必處于漏洞中。

“入侵”和“內(nèi)鬼”

靠近入侵的情景是“內(nèi)幽靈”。入侵本身就是一種手段,GetShell只是起點(diǎn),黑客GetShell的目標(biāo)是竊取資源的控制和數(shù)據(jù)。和“內(nèi)幽靈”自然具有法律權(quán)限,可以法律上暴露于敏感資產(chǎn),但它們是非法處理的,包括復(fù)制,轉(zhuǎn)移,篡改,篡改和篡改數(shù)據(jù)。

內(nèi)幽靈不是在“入侵檢測(cè)”中,通常從內(nèi)部風(fēng)險(xiǎn)控制的角度管理和審計(jì),例如分離,雙重審計(jì)等。還有數(shù)據(jù)默認(rèn)產(chǎn)品(DLP))輔助,這里沒有討論這一點(diǎn)。

有時(shí)黑客知道,員工有一個(gè)有權(quán)聯(lián)系目標(biāo)資產(chǎn),他們肯定會(huì)攻擊A,然后使用A的權(quán)限來竊取數(shù)據(jù),這也是定性的“入侵”。畢竟,A不是主觀惡意的“內(nèi)幽靈”。如果您無法捕獲黑客A,或者您無法區(qū)分黑客控制的竊取數(shù)據(jù)和普通員工訪問數(shù)據(jù),則入侵檢測(cè)也失敗。

入侵檢測(cè)

上述已經(jīng)談過,入侵是黑客可以在未經(jīng)我們同意的情況下運(yùn)營(yíng)我們的資產(chǎn),并且對(duì)手段沒有限制。所以如何找到入侵和法律正常行為之間的差異,將其與法律行為分開,是“入侵發(fā)現(xiàn)”。在算法模型上,這是標(biāo)簽問題(入侵,非入侵)。

遺憾的是,侵入這個(gè)動(dòng)作的“黑色”樣本特別罕見,很難通過大量標(biāo)記數(shù)據(jù)找到入侵的規(guī)則。因此,入侵檢測(cè)策略開發(fā)人員通常需要投資大量時(shí)間,改進(jìn)更準(zhǔn)確的表達(dá)模型,或花更多的能量來構(gòu)造“類似入侵”的模擬數(shù)據(jù)。

一個(gè)經(jīng)典的例子是,為了檢測(cè)WebShell,安全從業(yè)者可以在GitHub上搜索一些公共網(wǎng)站示例,其中一些小于1000.這些數(shù)據(jù)遠(yuǎn)遠(yuǎn)低于學(xué)習(xí)數(shù)百萬培訓(xùn)的機(jī)器的培訓(xùn)需求。此外,這些樣本在GitHub上,來自技術(shù)技術(shù),通過單一的技術(shù)方式產(chǎn)生大量類似的樣品,并且一些對(duì)抗方法缺失。因此,這樣的訓(xùn)練,試圖使AI通過“大量樣品”掌握WebShell的特征,并以原則為單位區(qū)分,不太可能完全實(shí)現(xiàn)。

此時(shí),對(duì)已知樣品進(jìn)行技術(shù)分類,精煉更精確的表達(dá)式,稱為傳統(tǒng)特征項(xiàng)目。傳統(tǒng)的功能項(xiàng)目通常被認(rèn)為是致力的勞動(dòng)力,但畢竟效果往往更穩(wěn)定,添加了一個(gè)技術(shù)功能,以穩(wěn)定一類網(wǎng)斯貝爾。并構(gòu)建大量惡意樣本,雖然有機(jī)器學(xué)習(xí),但在實(shí)際環(huán)境中,往往難以成功:自動(dòng)生成的樣本很難描述WebShell原裝的含義,大多數(shù)描述自動(dòng)生成的算法功能。在另一方面,入侵是看行為本身是“授權(quán)”的,授權(quán)與否本身并不重要的區(qū)別。因此,在進(jìn)行侵入性對(duì)抗時(shí),如果能夠通過某種增強(qiáng)能力會(huì)聚對(duì)有限通道的合法訪問,并且對(duì)信道的強(qiáng)大區(qū)別可以大大降低入侵檢測(cè)的成本。例如,對(duì)訪問源的嚴(yán)格認(rèn)證,自然人或計(jì)劃API是否需要合法的賬單,同時(shí)發(fā)送賬單,在不同情況下,不同情況下的認(rèn)證和授權(quán),并使用IAM記錄和監(jiān)控這些賬單訪問范圍,并且可以生成更底層的日志DO進(jìn)行異常訪問的模型感知。

這種全生命周期的風(fēng)控制模型也是谷歌的超級(jí)專業(yè)邊境網(wǎng)絡(luò)的前提和基礎(chǔ)。

因此,有兩個(gè)入侵檢測(cè)的主要思想:

模式匹配根據(jù)黑色特殊(例如,WebShell關(guān)鍵字匹配)。

根據(jù)業(yè)務(wù)歷史行為(生成基線模型),入侵行為異常(非白色),如果業(yè)務(wù)的歷史不收斂,請(qǐng)使用加強(qiáng)手段匯聚,然后挑選出不合規(guī)的異常行為。

入侵檢測(cè)和攻擊矢量

根據(jù)目標(biāo),可能暴露于黑客的攻擊表面將是不同的,并且可以采用的黑客入侵是完全不同的。例如,侵入我們的PC /筆記本電腦,在計(jì)算機(jī)室/云上的服務(wù)器,攻擊和防御之間存在相當(dāng)大的區(qū)別。

對(duì)于清晰的“目標(biāo)”,可以有限地訪問它的通道,并且攻擊的必要路徑也是有限的。 “攻擊方法”+“攻擊面”的組合被稱為“攻擊向量”。

因此,當(dāng)入侵檢測(cè)模型效果時(shí),需要清除攻擊向量,并為不同的攻擊路徑收集相應(yīng)的日志(數(shù)據(jù)),并且可以執(zhí)行相應(yīng)的檢測(cè)模型。例如,基于SSH登錄的shell命令數(shù)據(jù)集不是檢測(cè)WebShell的行為。基于網(wǎng)絡(luò)流量采集數(shù)據(jù),不可能通過在SSH之后在shell環(huán)境中執(zhí)行黑客是否在shell環(huán)境中執(zhí)行。

基于此,如果有沒有特定場(chǎng)景的業(yè)務(wù),這意味著APT感知模型顯然是“吹噓”。

因此,入侵檢測(cè)首先列出各種攻擊,每個(gè)分段場(chǎng)景收集數(shù)據(jù)(HIDS + NIDS + WAF + RASP +應(yīng)用層日志+系統(tǒng)日志+ PC......),再次結(jié)合公司的實(shí)際數(shù)據(jù)特征,使相應(yīng)的測(cè)試模型適應(yīng)公司的實(shí)際情況。不同的公司的技術(shù)堆棧,數(shù)據(jù)尺寸和暴露的攻擊面將對(duì)模型產(chǎn)生重大影響。例如,許多安全工作者特別擅長(zhǎng)PHP下的WebShell檢測(cè),但他們是一家基于Java的公司......

常見的入侵技術(shù)和響應(yīng)

如果黑客的常見入侵方法理解不足,很難說話,有時(shí)它甚至?xí)萑搿罢握_”的陷阱。例如,滲透測(cè)試團(tuán)隊(duì)表示我們做了一個(gè)動(dòng)作,你沒有找到它,所以你不能這樣做。實(shí)際情況是,場(chǎng)景可能不是一個(gè)完整的入侵鏈,即使動(dòng)作找不到動(dòng)作,就沒有影響入侵檢測(cè)效果。每次攻擊傳染媒介對(duì)公司有害,如何發(fā)生概率,解決其成本和收入,這需要專業(yè)經(jīng)驗(yàn)來實(shí)現(xiàn)支持和決定。

現(xiàn)在簡(jiǎn)要介紹,黑客入侵教程中的經(jīng)典過程(完整進(jìn)程可以提及殺戮鏈模型):

在入侵目標(biāo)之前,黑客可能不夠知道,所以第一件事通常是“踩踏”,這是收集信息,加深理解。例如,黑客需要知道哪些資產(chǎn)(域名,IP,服務(wù))有自己的狀態(tài),是否有報(bào)名的漏洞,他們管理它們(以及如何管理),已知泄漏信息(例如社交中的密碼)工人等)......

一旦重點(diǎn)完成,熟練的黑客將旨在旨在獲得各種資產(chǎn),釀造的可行性,并驗(yàn)證“攻擊向量”的可行性,列出了常見的攻擊方法和防御建議。

高風(fēng)險(xiǎn)服務(wù)入侵

所有公共服務(wù)都是“高風(fēng)險(xiǎn)服務(wù)”,因?yàn)閰f(xié)議或協(xié)議的開源組件可能具有已知的攻擊方法(高級(jí)攻擊者甚至具有相應(yīng)的0日),只要您的值足夠高,黑客有足夠的電力和資源挖掘,然后在向互聯(lián)網(wǎng)上打開高風(fēng)險(xiǎn)服務(wù)時(shí),它相當(dāng)于打開黑客的“大門”。

例如,SSH,RDP這些操作和維護(hù)管理相關(guān)服務(wù)旨在向管理員設(shè)計(jì),只要您了解您的密碼/秘書,任何人都可以登錄服務(wù)器,然后完成入侵。黑客可以通過猜測(cè)密碼來獲得憑證(與社會(huì)主義庫的信息披露相結(jié)合,網(wǎng)絡(luò)盤檢索或暴力裂縫)。事實(shí)上,這種類型的攻擊太常見了。黑客長(zhǎng)期以來一直是全自動(dòng)全網(wǎng)掃描蠕蟲工具。如果設(shè)置了在云上購買的主機(jī),通常會(huì)在幾分鐘內(nèi)感染蠕蟲。這是因?yàn)檫@種自動(dòng)攻擊者太多了。

也許你的密碼非常強(qiáng)烈,但這并不是你可以繼續(xù)將服務(wù)暴露在互聯(lián)網(wǎng)上。我們應(yīng)該限制這些端口,只允許您的IP(或內(nèi)部堡壘主機(jī))訪問,完全損壞黑客通過侵入我們的可能性。

同樣,MySQL,Redis,FTP,SMTP,MSSQL,Rsync等,所有用于管理服務(wù)器或數(shù)據(jù)庫的所有服務(wù),都不應(yīng)該向Internet開放。否則,基于蠕蟲的攻擊工具將在短短幾分鐘內(nèi)突破我們的服務(wù),甚至直接加密我們的數(shù)據(jù),甚至要求我們支付比特幣,勒索敲詐勒索。

還有一些高風(fēng)險(xiǎn)的服務(wù)與RCE漏洞(遠(yuǎn)程命令執(zhí)行),只要端口打開,黑客可以使用現(xiàn)成的開發(fā),直接GetShell,完整的入侵。

辯護(hù)建議:對(duì)于每個(gè)高風(fēng)險(xiǎn)服務(wù),入侵檢測(cè)成本高,因?yàn)榫唧w指高風(fēng)險(xiǎn)服務(wù)非常多,并且不一定是一般特征。因此,通過加強(qiáng),收斂攻擊入口價(jià)格較高。所有高風(fēng)險(xiǎn)港口都可以向互聯(lián)網(wǎng)開放,這可以降低90多個(gè)的概率

網(wǎng)頁入侵

隨著高風(fēng)險(xiǎn)港口的加強(qiáng),在黑客知識(shí)庫中將有許多攻擊方法。但是,Web服務(wù)是現(xiàn)代互聯(lián)網(wǎng)公司的主要形式,不可能關(guān)閉。因此,基于PHP,Java,ASP,ASP.NET,節(jié)點(diǎn),CDE CGI等,它已成為黑客入侵最重要的入口。

例如,使用上載函數(shù)直接上傳WebShell,使用包含功能的文件,直接引用遠(yuǎn)程WebShell(或代碼)的執(zhí)行,然后使用代碼執(zhí)行功能,直接用作shell的入口,執(zhí)行任何命令,解析一些圖片,視頻服務(wù),上傳惡意樣本,觸發(fā)分辨率庫的漏洞...

網(wǎng)頁申請(qǐng)安全在服務(wù)下是一個(gè)特殊領(lǐng)域(Tao GE也寫了這個(gè)“白帽子來說網(wǎng)站安全”),具體的攻擊和防御場(chǎng)景和對(duì)抗已經(jīng)發(fā)展得非常成熟。當(dāng)然,由于它們都是由Web服務(wù)的部分,因此入侵行為也有一個(gè)普通的普通性。相對(duì)而言,我們更有可能在黑客GetShell和正常業(yè)務(wù)行為之間找到一些差異。

響應(yīng)于Web服務(wù)的入侵標(biāo)記檢測(cè),您可以考慮收集WAF日志,訪問日志,審計(jì)記錄或與網(wǎng)絡(luò)級(jí)別相關(guān)的數(shù)據(jù),以及成功成功的特征。建議我們將主要能量置于主能。在這些區(qū)域。

0day入侵

通過泄漏工具包,早期的NSA是一個(gè)0day武器,具有直接攻擊Apache,Nginx。這意味著對(duì)手可能會(huì)完全不關(guān)心我們的代碼和服務(wù),需要0day,不知道鬼謝爾。

但是對(duì)于入侵檢測(cè),這不是令人恐懼的:因?yàn)閷?duì)手使用了什么漏洞,它使用的shellcode和后續(xù)行為仍然很常見。 Apache有一個(gè)0day漏洞被攻擊,或者PHP頁面具有低級(jí)別的代碼漏洞,從入侵行為,也許它完全相同,入侵檢測(cè)模型可以是通用的。

因此,將能量聚焦在入口處和黑客GetShell之后,可能比脆弱性入口更有價(jià)值。當(dāng)然,仍然遵循特定的漏洞,然后驗(yàn)證其行為是否符合預(yù)期。

辦公室終端入侵

在絕大多數(shù)APT報(bào)告中,黑客首先是人(辦公室終端),如發(fā)送電子郵件,孩子們打開,控制我們的電腦,然后在獲得我們的法律憑據(jù)后進(jìn)行長(zhǎng)期觀察/咒罵,然后去到內(nèi)聯(lián)網(wǎng)漫游。因此,這些報(bào)告主要集中在特洛伊木馬行為和家庭代碼相似之處。和反寬度產(chǎn)品,解決方案,大多數(shù)也是系統(tǒng)呼叫水平的辦公室終端,具有類似的方法來測(cè)試“自由殺戮木馬”的行為。

因此,EDR類產(chǎn)品+郵件安全網(wǎng)關(guān)+ Office網(wǎng)絡(luò)出口行為審計(jì)+ APT產(chǎn)品沙箱等,可以收集,可以收集,可以收集類似的入侵檢測(cè)檢測(cè)模型。最重要的一點(diǎn)是,黑客喜歡關(guān)注內(nèi)部的重要基礎(chǔ)設(shè)施,包括但不限于廣告。能夠找到它,多次,它可能只是試圖制作“永久運(yùn)動(dòng)”,純粹浪費(fèi)人類,資源,沒有實(shí)際的好處。將節(jié)省資源,經(jīng)濟(jì)高效的安排,更深入的防守鏈,明顯的效果會(huì)更好。

主流入侵檢測(cè)產(chǎn)品形式

入侵檢測(cè)基于數(shù)據(jù)到模型,例如,對(duì)于WebShell的檢測(cè),首先識(shí)別Web目錄,然后在Web目錄中的文件分析,這需要一個(gè)諧波?；趕hell命令的入侵檢測(cè)模型需要獲取所有shell命令,這可能必須掛鉤系統(tǒng)調(diào)用或劫持shell?；诰W(wǎng)絡(luò)IP信譽(yù),檢測(cè)到業(yè)務(wù)有效載荷,或者基于消息網(wǎng)關(guān)的檢查,它可以植入網(wǎng)絡(luò)邊界,并且通過旁路來支持流量。

還有一些公司,基于多個(gè)傳感器,收集日志后,總結(jié)一個(gè)SOC或SIEM,然后更加關(guān)注大型數(shù)據(jù)平臺(tái)。因此,該行業(yè)的入侵檢測(cè)相關(guān)產(chǎn)品通常分為以下形式:

主機(jī)代理類:在黑客攻擊主機(jī)之后,主機(jī)上的操作可能會(huì)生成諸如日志,進(jìn)程,命令和部署的追蹤(也是測(cè)試規(guī)則的一部分)的追蹤,該跡線(也是測(cè)試規(guī)則的一部分),稱為主機(jī)的入侵檢測(cè)系統(tǒng),稱為HID。

典型產(chǎn)品:OSSEC,Gunva,Ann Knight,Safety Dog,Google最近發(fā)布了Alpha版類似的產(chǎn)品云安全指揮中心。當(dāng)然,一些APT供應(yīng)商通常在主機(jī)上有傳感器/代理,例如Fireeye等。

網(wǎng)絡(luò)檢測(cè)類:由于大多數(shù)攻擊向量通過網(wǎng)絡(luò)施加一些有效載荷,或者控制目標(biāo)的協(xié)議強(qiáng),因此具有識(shí)別網(wǎng)絡(luò)級(jí)的優(yōu)點(diǎn)。

典型產(chǎn)品:Snort到商業(yè)NIDS / NIPS,對(duì)應(yīng)于APT級(jí)別,有一個(gè)類似于Fireeye的NX的產(chǎn)品。

記錄集中式存儲(chǔ)分析類:此類產(chǎn)品允許主機(jī),網(wǎng)絡(luò)設(shè)備,輸出各自的日志,側(cè)重于統(tǒng)一的背景,其中組合所有類型的日志,并且確定是否關(guān)聯(lián)多個(gè)入侵行為路徑繪制。例如,主機(jī)的Web Access日志顯示掃描和攻擊嘗試,然后是一個(gè)不熟悉的進(jìn)程和網(wǎng)絡(luò)連接,最后主機(jī)對(duì)Intranet的其他主機(jī)具有橫向普及嘗試嘗試。典型產(chǎn)品:Logrhythm,Splunk等暹粒產(chǎn)品。

APT沙箱:沙箱產(chǎn)品更接近云版本的先進(jìn)反病毒軟件,并通過模擬進(jìn)行觀察行為,以對(duì)抗未知的樣本弱功能。但是,它需要模擬運(yùn)行過程,性能開銷很大,它被認(rèn)為是一個(gè)“成本效益”的解決方案,但由于行為中的惡意文件,很難面對(duì)特色,所以它也會(huì)易于達(dá)到核心產(chǎn)品的組件。通過網(wǎng)絡(luò)流量,終端采集,服務(wù)器懷疑樣品提取,郵件附件煉油等,可以提交在沙箱中運(yùn)行行為,判斷它是否惡意。

典型產(chǎn)品:Fireeye,Palo Alto,Symantec,Macwork。

終端入侵檢測(cè)產(chǎn)品:移動(dòng)終端中沒有實(shí)用的產(chǎn)品,并且沒有必要。 PC側(cè)首先是對(duì)防范軟件進(jìn)行反復(fù)化軟件,如果可以檢測(cè)到惡意程序,則可以在一定程度上避免入侵。但是,如果您遇到了高檔0天和您殺死的特洛伊木馬,則可以繞過抗病毒。借用??在服務(wù)器上隱藏的想法,也出生了EDR的概念。除本地邏輯外,主機(jī)還更為重要,可以在后端收集更多數(shù)據(jù),全面分析和鏈接在后端。有人說下一代反病毒軟件將帶來EDR的能力,但目前的銷售額仍然單獨(dú)出售。

典型產(chǎn)品:防病毒軟件有Bit9,Sep,Symantec,卡巴斯基,邁克斯基; EDR產(chǎn)品沒有列舉,騰訊的IOA,Ali的Alilang是一種類似的作用;

入侵檢測(cè)效果評(píng)估指標(biāo)

首先,發(fā)現(xiàn)入侵案例/所有入侵=發(fā)現(xiàn)主動(dòng)發(fā)現(xiàn)率。該指標(biāo)必須是最直觀的。它更麻煩,很多真正的入侵,如果外觀沒有反饋,我們尚未檢測(cè)到,它不會(huì)出現(xiàn)在分母中,因此有效的發(fā)現(xiàn)率始終是虛擬的,誰可以保證所有當(dāng)前的入侵發(fā)現(xiàn)什么? (但事實(shí)上,只要入侵的數(shù)量足夠多,無論收到的SRC是什么,它都是由“暗網(wǎng)絡(luò)”報(bào)道的大消息,并且客觀地知道的入侵包括在分母中,始終計(jì)算活動(dòng)發(fā)現(xiàn)。速率。)

此外,真正的入侵實(shí)際上是一個(gè)低頻的行為,如果他一年的一百十萬人,一家大型互聯(lián)網(wǎng)公司就不正常。因此,如果長(zhǎng)時(shí)間沒有真正的入侵情況,則該指示器不會(huì)長(zhǎng)期改變,并且不可能描繪入侵檢測(cè)能力是改善的。因此,我們一般介紹兩個(gè)指標(biāo)來觀察:

藍(lán)色軍隊(duì)反對(duì)積極發(fā)現(xiàn)率

已知的場(chǎng)景覆蓋范圍

藍(lán)軍積極面對(duì)和運(yùn)動(dòng),這可以彌補(bǔ)實(shí)際入侵事件的低頻頻率,但由于藍(lán)軍掌握的攻擊技術(shù)經(jīng)常有限,他們有多次練習(xí),而且技術(shù)和場(chǎng)景可以完成羅斯。假設(shè)情景尚未完成,藍(lán)軍的同樣姿勢(shì)是100次,增加了100個(gè)未審查的練習(xí),而且建設(shè)黨沒有更多的幫助。因此,取出已知攻擊技術(shù)的完成覆蓋,也是一個(gè)更好的評(píng)估指標(biāo)。

入侵檢測(cè)團(tuán)隊(duì)對(duì)已知攻擊方法的優(yōu)先評(píng)估和快速覆蓋的能量重點(diǎn)。滿足需求有什么需要,必須有自己的專業(yè)判斷(請(qǐng)參閱侵入式檢測(cè)原則的“成本效益”原則)。

并宣布出現(xiàn)入侵發(fā)現(xiàn)能力,有必要具有基本的驗(yàn)收原則:

場(chǎng)日平均<x單,峰值<y;當(dāng)前日平均<xx,峰值<yy,策略超過指標(biāo)未收到,因?yàn)樘嗟木瘓?bào)將導(dǎo)致潛水有效的信息,但導(dǎo)致了以前受到干擾的能力,最好被視為未能面對(duì)現(xiàn)場(chǎng)。

相同的事件僅在第一次警報(bào)時(shí),多次自動(dòng)聚合。

從學(xué)習(xí)能力誣告。

警報(bào)有可讀性(明確的風(fēng)險(xiǎn)制定,關(guān)鍵信息,處理指南,輔助信息或指數(shù),易于定性),不鼓勵(lì)鍵值模式報(bào)警,建議使用自然語言來描述核心邏輯和響應(yīng)過程。

有一個(gè)明確的解釋文件,自檢報(bào)告(就像提供研發(fā)產(chǎn)品一樣,產(chǎn)品文檔和自檢過程是質(zhì)量的質(zhì)量)。

在現(xiàn)場(chǎng)的場(chǎng)景上有一個(gè)藍(lán)陸報(bào)道。

不建議致電微信,短信等(警報(bào)和事件之間的差異是事件可以關(guān)閉,警報(bào)只是提醒),統(tǒng)一的警報(bào)事件框架可以有效地管理事件以確保閉環(huán)可以提供長(zhǎng)期基本操作數(shù)據(jù),例如止損效率,錯(cuò)誤報(bào)告金額/速率。

戰(zhàn)略文件應(yīng)該解釋當(dāng)前模型具有所感知的能力,這不會(huì)是警報(bào)(測(cè)試一個(gè)人對(duì)場(chǎng)景的理解和自己的模型)。通過上述判斷,可以在策略的成熟時(shí)形成自我評(píng)估,并自由估計(jì)0-100。一個(gè)場(chǎng)景往往難以達(dá)到100分,但這與無關(guān),因?yàn)閺?0點(diǎn)到100該部門的邊際成本可能很高。不建議追求終極,但全面審查,無論是迅速投資下一個(gè)場(chǎng)景。

如果某些場(chǎng)景經(jīng)常具有真正的對(duì)抗,則沒有其他交叉策略,可能需要檢索自我評(píng)估結(jié)論,并提高接受標(biāo)準(zhǔn)。至少工作中實(shí)際遇到的實(shí)際情況是優(yōu)先考慮。

影響入侵檢測(cè)的關(guān)鍵元素

當(dāng)您討論影響入侵檢測(cè)的元素時(shí),我們可以簡(jiǎn)要介紹發(fā)生的事情,這發(fā)生了這種情況,這已經(jīng)發(fā)生了防守黨無法積極討論入侵:

依賴數(shù)據(jù)丟失,例如機(jī)器上的HID,沒有部署安裝/代理掛起/數(shù)據(jù)報(bào)告過程丟失/錯(cuò)誤,或在后臺(tái)傳輸鏈中丟失數(shù)據(jù)。

策略腳本錯(cuò)誤,沒有開始(實(shí)際上我們丟失了這個(gè)策略感覺)。

我沒有建立相應(yīng)的策略(很多次,我發(fā)現(xiàn)這個(gè)場(chǎng)景,我們還沒有來,并建造了相應(yīng)的策略)。

該策略不是敏感/成熟度(例如掃描的閾值沒有達(dá)到,WebShell使用偽造方法的變形)。

模型相關(guān)的基本數(shù)據(jù)錯(cuò)誤已經(jīng)判斷錯(cuò)誤判斷。

成功警報(bào),但判斷緊急同學(xué)錯(cuò)誤/無后續(xù)行動(dòng)/輔助信息不足以定性,無行動(dòng)。

所以實(shí)際上,讓捕獲的入侵事件,我們需要入侵檢測(cè)系統(tǒng)很長(zhǎng)一段時(shí)間,高質(zhì)量和高可用性。這是一個(gè)非常專業(yè)的工作,超出了絕大多數(shù)安全工程師的能力和愿望。因此,建議專門的運(yùn)營(yíng)商負(fù)責(zé)以下目標(biāo):

數(shù)據(jù)采集??完整性(完整鏈接的完整鏈接)。

每個(gè)政策時(shí)間都正常工作(自動(dòng)撥號(hào)監(jiān)控)。

基本數(shù)據(jù)的準(zhǔn)確性。

工作訂單操作支持平臺(tái)和可追溯輔助工具的便利性。

有些學(xué)生可能想要,影響入侵檢測(cè)的關(guān)鍵要素,不是模型的有效性嗎?這是所有這些凌亂的事情怎么樣?

事實(shí)上,大型互聯(lián)網(wǎng)公司入侵檢測(cè)系統(tǒng)的日常數(shù)據(jù)量可能達(dá)到數(shù)百T,甚至更多。推薦員數(shù)十種商業(yè)模塊,數(shù)百臺(tái)機(jī)器。從數(shù)字量表中,它不是一些中小企業(yè)的整個(gè)數(shù)據(jù)中心。這種復(fù)雜的系統(tǒng),保持高可用性標(biāo)準(zhǔn)很長(zhǎng)一段時(shí)間,它需要專門支持SRE,QA和其他輔助角色。如果您依賴各個(gè)安全工程師,很難讓他們學(xué)習(xí)安全冒犯和防御,也很難考慮到基本數(shù)據(jù),可用性和穩(wěn)定性的質(zhì)量,并及時(shí)應(yīng)對(duì)運(yùn)營(yíng)變化變化的變化,各種運(yùn)營(yíng)指標(biāo)和操作失敗。最終結(jié)果是侵入,可以在容量范圍內(nèi)找到,總是有各種意想不到的“碰巧”找不到。

因此,提交人認(rèn)為,大多數(shù)安全團(tuán)隊(duì)的質(zhì)量實(shí)際上實(shí)際上,實(shí)際上,基本轉(zhuǎn)向不是拼寫(技術(shù))。當(dāng)然,一旦資源輸入遵循這些輔助工作,就會(huì)真正需要拼寫的入侵檢測(cè)。

在這一點(diǎn)上,有這么多的攻擊技巧,讓我們選擇這個(gè)場(chǎng)景建筑?有什么被認(rèn)為意識(shí)到一定程度?為什么選擇一些樣本,并放棄其他樣本對(duì)抗?