歡迎光臨
每天分享高質量文章

兩年安全分析工作的思考和總結

來自公眾號:信安之路

本文作者:Cherishao(信安之路合夥人 & 信安之路應急小組組長)

大家好,我是 Cherishao, 大學主修的專業就是“資訊保安”,從大一接觸安全到現在差不多有六個年頭了,畢業之後,從事的第一份工作就是安全分析,這一路走來,特別感謝兩個人,一個是我現在部門的老大,一個是良哥;特別感謝你們啟發我思考了很多東西,也很感謝一路走來和我互幫互助的小夥伴們。這一路上遇到了一些問題,經歷過一些事,對安全的認知也慢慢變得不同。遂將自己的理解和思考做個總結,想和大家分享交流下。

在日常的監測工作中,分析通報過反射 DDOS、挖礦、遠控及勒索等多類的安全事件,透過監測分析發現網路攻擊越來越趨向於牟取利益,低調類的為:控制伺服器挖礦,高調的為加密核心資料庫進行勒索,想必 17 年的 WanaCry

大家還記憶為深。上圖為 17 年勒索攻擊的一些典型事件,圖片來源 Freebuf。

19 年註入型的 Ryuk、GandCrab 家族、GlobeImposter、Keypass、GarrantyDecrypt 等諸多勒索病毒也瘋狂來襲,被勒索的痛,或許也只有真正中招了才能感受的真切,病毒木馬等會利用多種途徑進行傳播,常見的為漏洞利用、U 盤介質、捆綁安裝、偽裝成正常工具等,一旦中招,在沒有備份的情況下,往往無法進行恢復。眼前最新的案例為:5 月 26 日,易到用車官宣“伺服器連續遭受攻擊,導致核心資料遭受加密、伺服器宕機,易到官網無法正常訪問,手機端 APP 各項服務、查詢功能均不可用。”

官網情況

APP 端情況

不思則已,細思極恐,在前前後後那麼多勒索事件,頻頻被曝光的前提下,一個公司自身沒有對資料庫做備份,遭受攻擊的時候,也沒有立即採取正確的應急響應措施。舉這個例子並沒有其它意思,只是想提醒一下,諸位:亡羊補牢,為時不晚,不要木已成舟到了不可輓回之時,才後悔莫及,別小看一起簡單的安全事件,一起簡單的安全事件,可能會讓使用者對公司失去信心,人無信則不立,更何況一家公司。

安全分析做什麼

咋們還是文歸正轉,繼續聊聊安全分析工作,安全分析師,不同公司對這個崗位的職責介紹有很大不同,大致是分為兩類:一、病毒木馬、惡意程式分析;二、安全監測、流量分析、事件處置;這裡的安全分析主要是偏向流量分析這一方向,對於病毒木馬、惡意程式我們也會有分析,不過不像逆向分析那樣,透過反彙編去明確它的執行流程、具體的模組功能,更多的是依賴沙箱或者虛擬機器結合一些行程監控、抓包工具,去模擬執行分析它的功能及通訊。一個稱職的流量分析師能區分什麼資料是正常的,什麼資料是異常的,能快速排查出什麼原因導致了資料異常;能從資料看清其業務,掌握通訊及服務;對於發現的常規 web 站點/系統類安全問題能驗證;對於情報及威脅事件:能標簽化及多平臺、多裝置關聯協同分析,定性後應上報並存檔,證據應固定留存,處置後應持續複查。

在乙方做服務,有一件事可能是諸多乙方工程師,無論是滲透、還是分析都很頭疼,那就是寫交付物、技術分析報告,有時候真是分析一小時,檔案一下午,寫完還會有一些書寫錯誤、標點及格式的小錯誤。這裡有個小妙招:寫報告應理清思路,先列框架再對應完善內容,寫完之後一定要仔細檢查一遍,office >檔案>顯示>開啟空格,對於一些流程化的步驟可以多用思維導圖的形式展現。

攻擊角度看監測

“防守一大片、攻擊一條線”,攻擊有攻擊鏈,防守有防守鏈,要防住攻擊者的單點突破,我們需要掌握好自身邊界,利用好裝置做到“人+機+知識”的監測分析工作;某大佬提出了一種防護思路,分享如下,簡要概括為九個字“輕防護、重監測、強安全”,解釋如下:安全應該減法而不是加法,安全裝置的堆疊營造的安全感從一定程度來說是一種虛假的無效的安全,舉個例子:某甲方機構買了某安全廠商的一套漏掃裝置,但是甲方並沒有人會使用該裝置,而漏洞掃描裝置的相關規則和策略都是需要保持維護和更新的,一旦失去了維護,安全裝置能發揮的效果就微乎其微;其次:安全裝置要以人為核心,產品及 AI 作為一種輔助防禦的手段能極大的提高安全保障的效率,從現階段來看,AI 的定位是模仿人解放人,同樣的一把槍在狙擊手裡就是一把無所匹敵的利器,而在一個普通人手中發揮的作用就遠不及於此,這也是為什麼安全裝置一堆高危告警,對於攻擊事件成功的定義卻依舊需要專業的安全人員去驗證及定性。針對攻擊,想再擴充套件延伸一點:只要攻擊者不限攻擊時間成本,防守是很難防住的,例:某攻擊者針對某系統3 年的攻擊,最後因防守方配置的疏忽,一個弱口令 Getshell;針對這種怎麼防呢?有大佬分享了一種思路:首先是構建可信的基礎,在可信的基礎上基於 0 信任的架構對網路邊界進行強認證,依託可信的計算進行持續化的反覆認證。

業務視角看安全

現階段某些政企部門的安全正在變得越來越重,這點在其不斷追加的防護裝置得以體現。在企業安全建設中,一些安全公司更註重自身運維:即資產明瞭、網路邊界劃分清楚、策略做好、定期的基線檢查,在一定程度保障安全後,對於存在的一些安全短板,企業可能更需要安全廠商提供一個介面,自己來增強自身的某一塊安全短板;做產品的安全廠商希望的是售出一些裝置,做服務的安全廠商希望提供某一類的安全服務。

裝置部署看運維

從裝置部署視角看運維:在某些特定情境下,如:協助售前做實施、重要活動保障,沒有運維人員支撐的場景下,分析人員,可能要去做一些運維要做的事,諸如:監測裝置部署、版本更換,系統記憶體升級的事情,來自踩過坑的我的一點經驗,謀定而後動,問清楚:需要哪些東西(系統、安裝包、記憶體型號),遵循什麼流程(安裝說明檔案),可能遇到的問題(IP 衝突、流量映象、裝置適配性)這樣能節約時間提升效率,裝置部署完後,需要對裝置部署的情況在控制端進行驗證,確保映象完整、各功能正常。

從來源看大資料

資料從何而來,在當前的環境下,一些 BAT(百度、美團、阿裡)公司自身擁有大量的資料,也有著資深的研發及分析師對資料進行處理,做出了不錯的功能性產品,但當下的大資料依舊是:偏某一方向的條資料,諸如:各大醫院:醫療大資料;各金融機構:金融大資料;安全公司:安全大資料。各塊資料的融合形成了條資料,條資料構建立體資料。那安全大資料的分析怎麼做呢?FireEye 將威脅組標簽化,在對標簽組做聚合分析處理,形成可用的威脅情報提供給分析師。

總結

當我們還在感嘆 3G 的時候,4G 已經來了,適應 4G 的同時,5G 即將進入商用,網路邊界也在不斷拓寬,PC 端的普及、移動端的廣泛使用、各種 IOT 裝置的興起,安全的邊界也在不斷變大,在大安全的環境下,作為一個安全從業人員,我們有很多事情可以做,也有很多有意義的事情需要我們去把它做好。頻發的勒索攻擊、挖礦、信用卡盜刷等各種安全事件暗示著:網路安全與我們的日常生活聯絡越來越緊密,加強網路安全防護也是每個人、企業乃至整個國家都需要竭力而為。

作為一名乙方的分析師,接觸得越多就越感覺到自身能力的不足,要學的東西有很多,但在廣的同時,在分析方面必須得專。工作的時候多發現一起安全事件,處置一起安全事件,客戶的網路環境就多增添一分安全,這於我而言是一件充滿挑戰且有趣的事,我也想成為一個優秀的分析師,不止是技術上的提升,也包括視野上的提升。目前在看的兩本書是:《加密與解密第四版》、《情報驅動應急響應》。

已同步到看一看
贊(0)

分享創造快樂