知己知彼,在攻击源画像的基础上,采用“主被动”协同机制,对被攻击目标进行画像,也是至关重要的一个环节。其中:
-
被动手段:依托网络流量分析,以拓扑图的方式展现资产类型、位置、通联关系等。
-
主动手段:通过探测获取目标的漏洞及脆弱性信息,必要时现场取证。
通过融合主被动获取的数据,对被攻击目标实现基础信息、行为画像、风险画像、影响损失四大维度的准确描述,逐步进阶形成完整的被攻击目标全息画像。
基础信息包括但不限于如下:
-
实体属性:IP地址、主机名、地理位置、操作系统类型、厂商、型号、图标信息、设备类型(网络安全设备、网络设备、管理服务器、应用服务器、业务服务器)等等。
-
网络属性:开放的端口、开放的服务。
-
应用组件:承载的各种应用、版本等。
-
数据属性:拥有的数据类型、数据格式、敏感数据的存储位置等。
-
归属属性:资产归属单位信息、人员信息等。
-
网络拓扑:将资产信息、物理位置、网络行为等数据以网络拓扑视图展示。
基于流量分析的网络行为画像,包括:
-
通联关系:包括IP流量、IP连接数、通联的域名、通联的IP、访问的应用等。
-
行为基线:是画像很重要的一个维度,比如:以IP为对象的文件访问基线、以IP为对象的http请求异常、以IP为对象的流量基线、以IP为对象的域名访问基线、以IP为对象的网络通联基线、以IP为对象的访问端口基线等。
多维度的风险画像:
-
异常行为:新开放的端口、新增IP、新访问的域名等;这里可以基于行为基线来发现。
-
可疑行为:包括一些典型的网络行为比如短URL链接、恶意域名访问、恶意IP访问、恶意服务器SSL证书、主动外联、横向移动等。
-
脆弱性数据:横向关联目标主动探测的脆弱性或漏洞信息,漏洞信息可以和攻击payload进行关联分析。
-
威胁情报信息:横向关联相关的威胁情报信息。
-
攻击面:ASM是近来比较火的一个概念,从攻击者视角来看暴露面,包括在外应用服务、设备、端口、应用等。
-
![被攻击目标全息画像]( "被攻击目标全息画像")
-
现场取证:通过主机取证工具对目标的进程分析、文件分析和日志分析等数据或分析结果。
-
损失情况:丢失了什么数据;被窃取的信息资产有哪些类型:比如业务的登录凭证(如账号名、账号状态、密码)、业务数据(文件列表、短信、照片、视频文件、音频)b;被窃取的数据数量有多少等。
平台访问地址:https://ti.watcherlab.com/
↑↑↑长按图片识别二维码关註↑↑↑
原文始发于微信公众号(全栈网络空间安全):被攻击目标全息画像
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论