![[周末闲聊] 入侵检测整体方案与数据源!一文快速讲清!](http://cn-sec.com/wp-content/uploads/2024/06/9-1717986265.png "[周末闲聊] 入侵检测整体方案与数据源!一文快速讲清!")
观众老爷们,帮忙点点关注、点点赞、点点在看,抱拳了!
![[周末闲聊] 入侵检测整体方案与数据源!一文快速讲清!](http://cn-sec.com/wp-content/uploads/2024/06/6-1717986266.png "[周末闲聊] 入侵检测整体方案与数据源!一文快速讲清!")
端午安康兄弟们!
据我观察哈,目前互联网安全体系的整体设计在事实上重心更偏向入侵检测,而不是做太多的主动防御,这里的根本原因只有一个:
安全手段是适应和服务于业务的,没有业务那安全就是无根之水。
举个例子:
对于全部业务都是 Web 服务的公司来说,除了 WAF 和 RASP 会做比较强力的防御拦截以外,就不会再做太多主动阻断(这里还是要准确点说,实际上主动阻断还有 L4 防火墙和加固等,不过这些和具体业务相关度不高)。因此,本文从我做入侵检测的经验入手,给大家说一下设计思路。
建设一套技术上有效的入侵检测系统一定要先提前弄清楚业务流程、数据流向和基础架构。因此需要采集至少以下数据:
-
安全基础设施和服务:包括但不限于EDR、Firewall、IDS 和 WAF 的日志;
-
网络基础设施和服务:ELB 负载均衡、CDN 和反向代理日志等;
-
Runtime Env:RASP 、 Web 服务器的运行时环境和 Web App 的日志等;
-
DB:RDS 和 KV 类数据库的访问模式和查询日志等;
-
已知漏洞:这里实际上是说我们对内部做的漏洞扫描或日志记录等;
-
配置:实际上配置项不应单独列出,但我发现大家都不太爱收集对操作系统和应用程序的配置更改日志,可是这些恰恰是对做好入侵检测很重要的点,通过看配置是否被改还是能发现很多威胁的,例如,在 Linux 下如果 kptr_restrict 值被修改,那这个行为大概率是异常的,就需要安全运营看下到底什么情况;
-
资产:设备接入、网络接入、资产变更等日志记录;
等等,怎么做个入侵检测还要收集这么多数据呀!不是直接部署入侵检测客户端就行了嘛?收集这么多维度的数据,都快赶上做 SIEM 了!
确实,如果你想应付等保或者国内外的一些合规性审计,直接部署入侵检测客户端最快,最简单。
但是我们如果想要在建设一个有效的入侵检测系统时,还是需要收集和分析这些基础数据,才能相对准确的识别和响应。
上面列出来了建设 IDS 时所需收集的数据范围,不过在实际执行时还是需要注意一些问题:
-
如果安全团队规模小,那就暂时放弃收集一部分日志,举一个不恰当的例子就是放弃开发、测试、办公网的入侵检测,只看生产;或者做好风险评估之后,干掉非核心系统、低风险应用、第三方应用的入侵检测。不过这里还是要具体业务具体分析,我们要知道核心业务是什么,哪些数据库被拖了会出大事,哪些边缘应用暂时无需关注,因此假设人力极度不足,安全投入特别少时候,我们只需做到不让黑客操作数据库和虚拟机就行了;
-
我们是想建设更有效的入侵检测系统,那就需要持续运营这个系统,否则做完了系统直接丢一边,安全设备挂掉了没人发现更离谱;
-
无效的入侵检测系统是,日志收集的大而全,所有的协议、所有的行为乱七八糟一堆告警,真正有效的告警被一大堆误报淹没,这时候就可以宣布失败了!如何解决呢?做好纵深和数据关联!在流量进来的每一步做好过滤,缩小攻击面,使用漏斗模型滤数据,经历上述步骤后,入侵检测需要的覆盖面(广度)和检测层次(深度)就会大幅缩减;其次把数据尽可能多的做关联,例如通过规则做关联,通过 trace id 或者 IP 等都能关联一整条链的数据,再高阶一点就是行为分析和机器学习咯。
抽象的看,外部到生产网的流量是先过抗D,到防火墙(ACL之类),到应用层,再到实际应用。
那我们做入侵检测时,就先按照攻击者的常规思路走一遍,每一层都做好数据收集,按照前面说的,第一步先做好最核心的主机和数据库层面的日志收集审计,第二步按攻防视角对攻击者会经过的每一条链路做好日志收集审计,最后再去追求完善大而全的入侵检测系统。
我前面说的入侵检测没怎么提到 NIDS,倒不是我故意想弱化这个概念,只是一方面 NIDS 和 WAF 的效果有部分重合;另一方面公司提供的对外服务几乎都是基于 Web,所有非 HTTP 和 S 的协议都被过滤掉了,NIDS 显得不是特别重要。
而 HIDS 这种基于主机的入侵检测就相对更重要,入侵者到了主机层,已经很接近核心资产了,这里如果不设防不记录,那入侵者留下日志、进程、命令等安全团队就完全不知道,后续取证很难很麻烦。
关于误报:这一块全靠运营,搭建系统前期的误报只能一条一条看,一条一条改规则,例如我上家公司内网机有过的文件篡改误报,由于用的是机械盘,有一个盘快挂了,文件哈希每次算出来都不一样...换了块磁盘就好了。
在实际运营的第一天误报极多,只要运营跟得上按需调优即可,收敛速度还是蛮快的,不过解决误报这一块我也没啥太好的解决方案,要说行为检测机器学习之类的手段在前期也不太可行,没数据这些都玩不转。
顺带再说几句关于 SOC 的吧,其实做安全基建的初期完全没必要做 SOC,不要信厂商的忽悠!日志成千上万,基础的数据源和告警的误报都没解决的时候,纵深防御体系还完全没弄起来,这就像你盖楼想先盖第二层,第一层还没建好,是不靠谱的行为。
点点赞 点点关注 点点文末广告 抱拳了家人们
![[周末闲聊] 入侵检测整体方案与数据源!一文快速讲清!](http://cn-sec.com/wp-content/uploads/2024/06/8-1717986266.png "[周末闲聊] 入侵检测整体方案与数据源!一文快速讲清!")
![[周末闲聊] 入侵检测整体方案与数据源!一文快速讲清!](http://cn-sec.com/wp-content/uploads/2024/06/10-1717986266.png "[周末闲聊] 入侵检测整体方案与数据源!一文快速讲清!")
创作不易
关注一下
帮忙点点文末广告
![[周末闲聊] 入侵检测整体方案与数据源!一文快速讲清!](http://cn-sec.com/wp-content/uploads/2024/06/4-1717986266.png "[周末闲聊] 入侵检测整体方案与数据源!一文快速讲清!"){kind=small}
![[周末闲聊] 入侵检测整体方案与数据源!一文快速讲清!](http://cn-sec.com/wp-content/uploads/2024/06/4-1717986266.jpeg "[周末闲聊] 入侵检测整体方案与数据源!一文快速讲清!")
![[周末闲聊] 入侵检测整体方案与数据源!一文快速讲清!](http://cn-sec.com/wp-content/uploads/2024/06/7-1717986266.png "[周末闲聊] 入侵检测整体方案与数据源!一文快速讲清!")
原文始发于微信公众号(imBobby的自留地):[周末闲聊] 入侵检测整体方案与数据源!一文快速讲清!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论