第2步:收集数据
时间:2022-03-27 10:15:01 | 来源:网络推广
时间:2022-03-27 10:15:01 来源:网络推广
在创建分析方案时,组织机构必须确定、收集和存储制定分析方案所需的数据。为了确定分析人员需要收集哪些数据来制定分析方案,首先要了解现有传感器和日志记录机制已经收集了哪些数据。在某些情况下,这些数据可能满足给定分析的数据要求。但是,在许多情况下,可能需要修改现有传感器和工具的设置或规则,以便收集所需的数据。在其它情况下,可能需要安装新工具或功能来收集所需的数据。在确定了创建分析所需的数据之后,必须将其收集并存储在将要编写分析的平台上。例如,可以使用Splunk的体系结构。
由于企业通常在网络入口和出口点部署传感器,因此,许多企业都依赖边界处收集的数据。但是,这就限制了企业只能看到进出网络的网络流量,而不利于防御者看到网络中及系统之间发生了什么情况。如果攻击者能够成功访问受监视边界范围内的系统并建立规避网络保护的命令和控制,则防御者可能会忽略攻击者在其网络内的活动。正如上文的攻击示例所述,攻击者使用合法的Web服务和通常允许穿越网络边界的加密通信,这让防御者很难识别其网络内的恶意活动。
由于使用基于边界的方法无法检测到很多攻击行为,因此,很有必要通过终端(主机端)数据来识别渗透后的操作。下图展示的是企业边界网络传感器在ATTCK框架中的覆盖范围。红色表示未能检测到攻击行为,黄色表示有一定检测能力。如果在终端上没有传感器来收集相关数据,比如进程日志,就很难检测到ATTCK模型描述的许多入侵。目前,国内外一些新一代主机安全厂商,都是采用在主机端部署Agent方式,比如青藤云安全,通过Agent提供主机端高价值数据,包括操作审计日志、进程启动日志、网络连接日志、DNS解析日志等。
涵盖边界防御在内的ATTCK矩阵
此外,仅仅依赖于通过间歇性扫描端点来收集端点数据或获取数据快照,这可能无法检测到已入侵网络边界并在网络内部进行操作的攻击者。间歇性地收集数据可能会导致错过检测快照之间发生的行为。例如,攻击者可以使用技术将未知的RAT加载到合法的进程(例如explorer.exe)中,然后使用cmd.exe命令行界面通过远程Shell与系统进行交互。攻击者可能会在很短的时间内采取一系列行动,并且几乎不会在任何部件中留下痕迹让网络防御者发现。如果在加载RAT时执行了扫描,则收集信息(例如正在运行的进程、进程树、已加载的DLL、Autoruns的位置、打开的网络连接以及文件中的已知恶意软件签名)的快照可能只会看到在explorer.exe中运行的DLL。但是,快照会错过将RAT实际注入到explorer.exe、cmd.exe启动、生成的进程树以及攻击者通过shell命令执行的其它行为,因为数据不是持续收集的。