关于SOC关联分析暨从VPN问题看安全管理的策略与权衡的讨论 | 总第239周

‍‍

‍‍

0x1本周话题

话题：看到一篇职业欠钱大佬写的ppt总结soc里关联分析的几个场景，想知道其中这几个场景，大家的soc做的好吗，效果如何？个人感觉统计关联好像也挺难的，实际效果一般。

A1：美团很早就在技术大佬带领下做了，这些是不是只能靠自己做，商业产品很难有很好的效果。我只感觉大佬都是几年前就已经走在前沿了，看了下手上的某全流量产品，还没有自建检测规则支持查询一个结果作为变量条件带入另一个查询里得出事件的功能。

A2:更根本的是十年前的安全实践放在今天也适用，没有特别大的颠覆，这个不靠全流量产品，靠背后的大脑/soc/态势感知。

A3：我看了下es自身的也做不到，es只能处理单条，不够，要用到时序。java，大数据技术如spark，ai的一些模型都能做。

Q：PPT(https://wtc.antiy.cn/download/2022012410.pdf)的vpn问题我现在就没辙，全流量告警捕获后，不知道怎么关联去找vpn的用户名或者源ip？人工可以，但要自动化就难了。

A4：这个简单，要有接口形成资产清单，不需要时序，属于数据富化，富化的对象可以是情报、联络表、在线主机接口、edr、CMDB。

A5：这也是个办法，事先把映射弄出来，但我们的vpn访问资源转成了接口ip，也是无语。如果是虚拟ip也好了。

A6：那只能改模式，否则看到的全是设备ip。

A7：接口ip，那我只能从一段时间内的access日志，去看这段时间里，目标一样的日志，他的user是谁，还可能不准。

A8：那看能不能粗暴点，回归需求，vpn扫描，那vpn肯定失陷了，你也不用找是谁了，找到也还是失陷了，直接先应急下线。或者不如改vpn的资源分配方式，让网络规划一个段就完了。

A9：还不是vpn失陷，可能是某个vpn用户失陷。登录vpn在扫描，但全流量上的源ip全是vpn的lan口ip。其实很多产品说支持了几百几千条规则，总结起来他的模型就是ppt里这几种了。

A10：如果vpn用户少，直接在vpn上根据用户名固定vpn分配ip地址，将对应的资产导入态势感知就可以很快定位了。

A11：转不转化都有各自的优缺点，nat为接口IP后在网络上容易管理。直接划段给用户要调整防火墙策略，而且用户IP会变，防火墙策略也要跟着变，如果用户接入IP固定，那vpn用户变动还要管IP回收再分配的问题。我想网络之所以弄成接口ip应该有他的理由。

不转换有不转换的玩法。比如，电脑连了vpn就断网，不能又联网被控又远程，那你从vpn用户侧攻击的风险和频率也降低了。

A12：没啥特别理由，就是你不提需求它就当作一个网络设备，默认就给一个业务ip，当作网络设备转换掉也能跑通，也不用去加路由，非常方便。像我这种一个人管一个数据中心的网络设备和安全设备的，像我这种一个人管一个数据中心的网络设备和安全设备的，遇上特殊日子还不让调设备，要写方案评审。

A13：增加了操作风险，分一个段的话就比较难按用户去控可访问资源，最终用户体验、运维可管理性和安全性找个妥协，相关风险该接受接受。

A14：不能这样比，比如转换为设备ip，那也是所有用户都走设备ip的策略的。设备ip换成虚拟池，风险没有增加，依然是靠vpn自己的访问控制做限制，如果每个虚拟ip做不同的策略，那确实要死人，而且也依然没解决vpn自身的风险。

A15：也就是放开vpn进来的那段，由vpn自己控细粒度。这属于用户权限控制了。我们是在vpn上也加了一套日志中心，用来记录用户的访问日志。

A16：如果做到每个用户不同的网络权限，我认为要点赞，同时也要看看是不是还有很多更重要的事来不及做。低垂的果实还没摘完就先别摘费劲巴拉还不一定有的地方。

A17：不是我做的情况下，我支持一个用户一个IP；我做的情况下，我支持用接口IP。

A18：入行时候就听过补偿控制，到了实践才能体会这个词，从应用层去补偿网络层，目的控制风险。但控制失效意味着低层的控制也没有了。审计时候听的最多的这个端口不能全放，业务说没事我系统要登录，说口令，业务说没事网络做了ip白名单要不在内网，这招业务玩的更6。

0x2

原文始发于微信公众号（君哥的体历）：关于SOC关联分析暨从VPN问题看安全管理的策略与权衡的讨论 | 总第239周