云眼大揭秘|攻防实战中如何让攻击者“原形毕露”

随着俄乌战争、哈萨克斯坦动乱等国际话题进入人们的视野，网络安全技术成为各国维护自身国土安全的“利刃”之一的同时也推动了各国重视和发展自身的网络攻防技术实力。

在攻防视角里，因为进攻方的目标明确，而防守方无从得知进攻点会落在何处，所以进攻方会占据较多的主动性，而防守方则略显被动。作为防守方，很难知道攻击会在什么时候发生。在攻击发生的中、后期阶段，防守方如果没能及时发现、无法及时修复漏洞并加固系的话，攻击者很有可能会发起二次攻击，进一步加大后续修补的难度，导致用户经济损失加剧。

面对攻防敌我位置不明朗的环境，入侵溯源则能通过系统性地分析受害资产与内网流量，对所有受害资产上存在的异常的行为做整体分析，根据实际攻击环境给出溯源方案。及时发现受害资产上存在的组件零日漏洞、掌握更多的攻击者指纹信息，有效遏制二次攻击带来的伤害。

传统的入侵溯源都是通过手动实现的。在手工入侵溯源过程中，寻常的攻击手段都是能通过系统上的各种日志上找出，比如：异常登录、异常账户、网页篡改、系统文件加密、系统密码变更、系统运行时卡顿或是影响整个业务等等。虽然能通过流量日志、系统日志以及网站日志溯源到攻击者IP、域名等指纹信息，但日志分析员得花费大量的时间与精力，且找到的信息少得可怜。

相比之下，不寻常且不易被记录到日志的攻击方法已然成为网络攻击的主流。许多黑客在定向攻击的入侵前都会做充足的信息收集，攻击者会判断目标使用何种网络、服务器架构以及组件，正常网络通信流量、服务器在处理正常业务时会触发何种能与攻击相吻合的操作，比如：使用非交互的命令执行、根据目标架构特性植入的内存马、利用系统白名单程序绕过检测规则等等。要想捕捉此类的攻击，仅仅依靠系统日志就想看出端倪的话，往往是一无所得。而要追踪攻击者的入侵痕迹、溯源攻击链更是难上加难。

在攻防演练趋于常态化的当下，“以攻促防”的新观念也在逐渐普及。然而，网络安全的本质在于对抗，对抗的本质是在攻防两端能力较量。

用户在面对日常业务系统安全的维护或者特定时期的大型攻防演练期间，经常面临以下几种入侵场景：

通过对比2018年到2020年期间的安全隐患排名变化，以及分析攻防演练期间的失分点“重灾区”，可以发现，内网隐患占比最大、危害最大。在开展（云）主机安全防护工作之前，了解入侵者是如何入侵的，才能事倍功半地做好防护措施。因此，将入侵溯源模型融入（云）主机安全防护管理则很有必要。

云眼作为受到Gartner、IDC等国内外权威机构认可的（云）主机安全产品，在新版本中也内置了“入侵溯源模型”，能有效支撑云眼的溯源功能。

图1

云眼溯源分析模块通过内置溯源模型规则，与告警数据进行自动化匹配，还原黑客入侵轨迹，有利于用户及时针对入侵路径里包含的漏洞、风险点等进行修补，避免二次入侵的发生。

通常，入侵溯源工作需要“知己”，了解异常服务器部署的业务情况和技术框架、异常服务器的网络是否处在DMZ区、是否开放有公网访问、开放了哪些端口、系统补丁修复情况、最近是否有过什么资产变更等等。另外，入侵溯源工作需要“知彼”，需要有大量的真实攻击数据建立场景模型。

在开始建立溯源模型前，需要先有建模前的两个准备工作：

在做好这两个建模前的准备工作后，需要通过以下几个步骤来确立溯源模型：

通过这些步骤，云眼可为用户建立起有效的溯源模型，让每一入侵者的“蛛丝马迹”原形毕露。

通过新版云眼中一键溯源、定时溯源、主机杀伤链视图、主机关系图、时间滑块、手动溯源等多个功能，用户能多维度地做好主机入侵安全防护。

图2

通过入侵溯源在主机安全的落地与实践，有利于用户更好地定位攻击者，提升后续的修复漏洞与系统加固效率。安全狗云眼新版本中也具备更多新功能，希望借此提升千行百业用户的攻防思维，为云安全提供更加全面的防护与处置响应。