被攻击目标全息画像

admin 2022年6月1日09:51:01应急响应评论17 views1033字阅读3分26秒阅读模式

知己知彼,在攻击源画像的基础上,采用“主被动”协同机制,对被攻击目标进行画像,也是至关重要的一个环节。其中:

  • 被动手段:依托网络流量分析,以拓扑图的方式展现资产类型、位置、通联关系等。

  • 主动手段:通过探测获取目标的漏洞及脆弱性信息,必要时现场取证。

    通过融合主被动获取的数据,对被攻击目标实现基础信息、行为画像、风险画像、影响损失四大维度的准确描述,逐步进阶形成完整的被攻击目标全息画像。


被攻击目标全息画像


01  基础信息


基础信息包括但不限于如下:

  • 实体属性:IP地址、主机名、地理位置、操作系统类型、厂商、型号、图标信息、设备类型(网络安全设备、网络设备、管理服务器、应用服务器、业务服务器)等等。

  • 网络属性:开放的端口、开放的服务。

  • 应用组件:承载的各种应用、版本等。

  • 数据属性:拥有的数据类型、数据格式、敏感数据的存储位置等。

  • 归属属性:资产归属单位信息、人员信息等。

  • 网络拓扑:将资产信息、物理位置、网络行为等数据以网络拓扑视图展示。


被攻击目标全息画像


02 行为画像


    基于流量分析的网络行为画像,包括:

  • 通联关系:包括IP流量、IP连接数、通联的域名、通联的IP、访问的应用等。

  • 行为基线:是画像很重要的一个维度,比如:以IP为对象的文件访问基线、以IP为对象的http请求异常、以IP为对象的流量基线、以IP为对象的域名访问基线、以IP为对象的网络通联基线、以IP为对象的访问端口基线等。

被攻击目标全息画像



03 风险画像


    多维度的风险画像:

  • 异常行为:新开放的端口、新增IP、新访问的域名等;这里可以基于行为基线来发现。

  • 可疑行为:包括一些典型的网络行为比如短URL链接、恶意域名访问、恶意IP访问、恶意服务器SSL证书、主动外联、横向移动等。

  • 脆弱性数据:横向关联目标主动探测的脆弱性或漏洞信息,漏洞信息可以和攻击payload进行关联分析。

  • 威胁情报信息:横向关联相关的威胁情报信息。

  • 攻击面:ASM是近来比较火的一个概念,从攻击者视角来看暴露面,包括在外应用服务、设备、端口、应用等。


  • 被攻击目标全息画像


04 损失影响


  • 现场取证:通过主机取证工具对目标的进程分析、文件分析和日志分析等数据或分析结果。

  • 损失情况:丢失了什么数据;被窃取的信息资产有哪些类型:比如业务的登录凭证(如账号名、账号状态、密码)、业务数据(文件列表、短信、照片、视频文件、音频)b;被窃取的数据数量有多少等。


被攻击目标全息画像

平台访问地址:https://ti.watcherlab.com/









被攻击目标全息画像被攻击目标全息画像

↑↑↑长按图片识别二维码关註↑↑↑



原文始发于微信公众号(全栈网络空间安全):被攻击目标全息画像

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月1日09:51:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  被攻击目标全息画像 http://cn-sec.com/archives/1074479.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: