APT检测指标-第1部分

https://nigesecurityguy.wordpress.com/2013/12/12/apt-detection-indicators-part-1/

APT检测指标-第1部分

在一个组织需要监视或监视他们的网络的世界中,知道要注意什么是至关重要的。在这个博客中,我们讨论了如何通过识别“攻击前兆”和其他有助于保护你的组织不妥协的领先指标来及早发现事件,并能阻止攻击的轨迹。


APT检测指标-第1部分_第1张图片


一、攻击威胁类型

有各种各样的威胁因素,例如:

1 烦人的

   攻击是投机取巧

     组织之所以被盯上是因为它很脆弱

2内部人员

   可信内线窃取数据

     难以预防,但发现和归因是可能的

3黑客行为主义者

   出于一个原因

     有决心但不总是复杂

4金融和知识产权(IP)

   更复杂的攻击

     通常为财务或竞争收益的目标信息

5国家资助,

   持续的和有针对性的

     攻击继续,直到获得目标数据

二、攻击解剖

如果有足够的时间和资源,一个熟练的攻击者总会找到办法。那么公司是如何应对的呢?公司需要有一个事件响应计划(IRP)。一个成功的IRP需要以有组织的方式将所需的资源整合起来,以检测和处理与人员、系统和数据的安全性和安全性有关的不良事件。还应该对IRP进行彻底的测试,以评估组织对其环境中发生的事件的反应。我们将在以后的博客中详细讨论IRP。

大多数组织都没有准备好检测和应对有针对性的入侵,最常见的原因是……

传统的防御方法不起作用

对漏洞和防止零日的安全隧道视野小

欠发达的快速事件反应过程

人力资源承诺需要技能、培训和准备


APT检测指标-第1部分_第2张图片
检测,控制,调查,根除,恢复


组织需要一个新的防御深度策略,“防御深度+”架构和部署作为一个可防御的安全姿势,使能力…

检测,

控制,

调查,

根除,

恢复

没有任何一种产品或产品能够阻止创新的人类攻击者,他们可以随着需要而进化,改变战术,发展日益复杂的水平。

三、感染指标

在当前的威胁环境下,威胁信息的快速传播是快速检测、响应和遏制目标攻击的关键。寻找感染(IOCs)指标是对付高级攻击者的有效方法。IOCs是在主机或网络上被识别的入侵的鉴证物。

IOCs与可测量的事件或有状态的属性绑定,这些事件或有状态属性可以表示从一个主机(可度量的事件)的注册表键创建到一个互斥(有状态属性)的存在。例如,在使用APT检测框架来优化和检查任何缺口后,组织应该持续监测和检测诸如:

不寻常的出站网络流量

具有不同寻常的登录或访问模式的地理或跨国家活动。

人们试图掩盖他们的踪迹或者掩盖他们在你的系统上的存在。

ARP缓存中毒、ARP欺骗和其他中间人攻击的迹象。

侦听端口、系统服务和驱动程序、启动任务和计划任务的可疑更改。

特权用户帐户活动或权限更改中的异常。

本地防火墙配置和本地用户帐户的更改。

DNS服务器或IP路由的更改。

root kits的症状或存在。

等等……

所有这些项目都可以提供不良行为者的早期指示,并帮助您识别和控制安全事件,以免造成损失。虽然在所有的事件响应场景中都没有出现IOCs,但是安全分析人员有更多的时间和机会来学习如何识别它们。安全分析人员、事件应答者或威胁研究者收集、记录和以符号表示 IOCs的能力是一个关键的成功因素。


APT检测指标-第1部分_第3张图片
Hunting for Indicators of Compromise

高级公式如下:

检测

  文件攻击工具和方法(又名情报)

    网络DNS、IP和通信协议模式(出站)

    日志文件条目

    主机鉴定和现场记忆

    元数据对于狩猎是有效的。

    分析攻击工具以创建高效的IOCs

    利用智能主动寻找攻击者的活动

控制

  网络隔离

  执行现场事件响应,以确定发生了什么和相关的活动。

  参见:防御安全态势和未来APT事件反应博客。

调查

  调查事件增加情报&感染范围

  基于收集的情报进行威胁场景会话

消除和恢复

  识别:

    受影响的主机和帐户(用户、服务、所有广告等)

    主动(信标)和被动(听)后门。

    其他入口点,如web服务器、VPN和终端服务。

   执行以下:

     重置密码

     删除后门

     修复他们正在开发的易受攻击的系统。

     继续寻找IOCs,以确保修复工作,并识别攻击者何时返回。

     进行经验教训和事后剖析

清洗和重复

指标从简单地查找特定工件的签名开始。这些可以是传统的取证工件,如MD5校验和、编译时间、文件大小、名称、路径位置、注册表键等等。许多不同类型的特定指标可以组合在一个IOC中,因此不同类型的复杂性的任何一组签名都可以应用于一个特定的IOC。


APT检测指标-第1部分_第4张图片

与许多安全实践一样,IOC创作也是一门艺术。有创造性思维的练习。最终,最好的IOCs拥有这些属性:

IOC只识别攻击者活动

IOC的评估便宜,通常简单并评估收集或计算的成本较低的信息

IOC对攻击者来说很昂贵。换句话说,为了逃避IOC,攻击者必须彻底改变战术、工具或方法。

结论

也有一些新出现的,将会是在最坏的情况下和组织最好的方法来发展IOCs的标准。在未来的系列中,我们将详细讨论如何开发和利用IOCs与新兴工具,并讨论CyBox (cybox.mitre.org)、OpenIOC (openioc.org)和IODEF (IETF RFC 5070)的新兴标准和研发。

你可能感兴趣的:(APT检测指标-第1部分)