首页 > 传媒 > 关键词 > 安全运维最新资讯 > 正文

威胁情报在甲方安全运维中的应用

2017-06-30 14:37 · 稿源:站长之家用户投稿

前言

很多企业使用 SIEM 来收集日志数据,并将安全事件与多类安全设备(入侵检测设备、Web应用防火墙等)日志相关联,指导安全人员进行风险处置。然而 SIEM 也存在局限,监控人员往往被淹没在海量的告警之中无从下手,原因之一就是对于威胁的告警没有处理的依据,例如缺乏经验的监控人员很难判定一条安全事件告警是扫描还是针对性攻击引起的(通常后者需要更多关注)。而通过借助于威胁情报,可为监控人员提供处理依据,也可为安全人员在进行日志分析和攻击溯源时提供有力帮助。

本文将基于 Splunk,介绍威胁情报在甲方安全运维中的应用。

什么是威胁情报

根据Gartner的定义,威胁情报是指基于一定知识的证据,已经存在或正在形成的潜在威胁,比如,上下文、机制、指标、意义以及可实施的建议,利用这些,可以帮助当事人形成应对这些危险的决策。

针对攻击者的威胁情报应该包含以下要点:

系统架构

在我们公司,Splunk 主要被用来收集各类安全设备、操作系统、应用系统日志,从而实现安全监控、安全告警、数据分析的需求。

安全设备通过 Syslog 发送,其余存放于操作系统文件系统中的日志通过在客户端操作系统安装 Splunk Forwarder 实现日志收集。

初期通过日志字段提取后在 Splunk 实现了基本的报表和告警。然而正如前言所述,我们很快就被告警淹没,无论如何调整告警阈值都无法令人满意,于是开始寻找解决方案,通过一系列的选型比较,我们最终决定引入来自微步在线(ThreatBook)的第三方安全情报数据,以API形式与 Splunk 整合。

需要注意的是——威胁情报数据的用量通常是有限制的(如按月计量),因此我们部署了前置系统作为本地威胁情报库,用以缓存查询结果,还顺带实现了专供内部使用的 Web 交互查询界面,后来又顺路实现了威胁历史信息的记录,所有产生过告警的威胁都会被记录,并且可被关联搜索。如下图所示:

(威胁情报分析界面图,威胁情报数据来自微步在线ThreatBook TIP API)

随着威胁情报数据的应用,我们逐渐信任了数据的准确度,并开始研究威胁IP自动阻断方案。由于在网络建设时并没有这个需求,因此我们的首要目标是逐个寻找网络中是否有串联设备支持通过调用 API 的方式来达到 IP 阻断的目的,最终我们在一台抗 DDoS 设备中发现了这个功能,并按照手册要求的数据格式实现了接口调用。

系统架构示意图如下:

技术要点

日志字段提取

日志字段的提取是最基础也是最重要的步骤,后续所有的工作都是基于正确的日志字段提取之上。

Splunk 提供了傻瓜式的字段提取功能,只要展开任意事件,点击“事件操作”,选择“提取字段”即可进行提取,提取完成后可自动生成正则表达式。

对于一些比较复杂的日志格式,使用 Splunk 的自动化提取可能就力不从心了(又或许你对自动生成的正则表达式嗤之以鼻),我们可以手写正则表达式,并在“设置-字段-字段提取”中保存。

图:Splunk 的字段提取

对于临时使用的需求,也可以在搜索中使用 rex 命令对事件应用正则表达式:

... | rex field=some_field "(?<capture_name>.*)"

对于一些以键值对形式输出的日志,可通过 extract 命令进行提取,十分方便:

... | extract kvdelim="=" pairdelim=";"

威胁情报库查询

威胁情报库的查询使用了 Splunk 的 lookup 命令,通过给 lookup 命令传递一个查询值从而获得对应的查询结果。

lookup 的典型使用场景之一是根据日志中的 IP 地址来查找对应的资产:由于日志中不包含资产信息,而我们又希望通过 IP 地址快速定位到相关资产信息,此时就可以建立一张资产表,上传至 Splunk,在“设置-查找”完成配置后,即可通过 lookup 命令进行搜索。

... | lookup asset_table ip_addr AS dst_ip OUTPUT asset_info

而在使用 lookup 对威胁情报进行查询时,则需要用到“外部查找”功能,原理类似于动态生成一个查找表文件。外部查找功能需要调用命令和参数,Splunk 的默认安装中提供了一个名为“dnslookup”的外部查找,可以用来参考实现自己的外部查找。

威胁情报查询外部查找脚本的部分实现代码如下:

威胁情报查询语句如下:

... | stats count by client_ip server_ip | lookup iplookup ip as client_ip OUTPUT info as _TI | spath input=_TI

此处首先使用了 stats 命令统计事件数据,随后使用 lookup 命令对统计完成的数据进行威胁情报查询,这样的处理方式可避免重复的查询,降低系统和网络开销,最后将 lookup 命令查询返回的 JSON 格式数据使用 spath 命令解析。

威胁情报数据解析

对于 IP 的威胁查询接口,一个恶意的 IP 通过 API 查询返回的示例数据如下:

{"response_code":0,"hit":{"expired":false,"detected":true,"info":["zombie","idc","compromised","spam"]},"ip":{"carrier":"1and1.com","ip":"82.165.37.26","location":{"country":"德国","province":"德国","lng":"10.454150","city":"","lat":"51.164181"}}}

字段说明如下:

有了字段信息,我们需要把这个 JSON 字符串解析后再进行下一步判断。Splunk 提供了 spath 命令,可以将此前 lookup 返回的内容作为 spath 的输入,并最终输出解析完成的数据。如下图所示:

防火墙自动阻断 API 调用

防火墙的 API 调用和触发通过 Splunk 的“搜索、报表和告警”实现。通过在 Splunk 中创建定时任务,对一定时间窗口内的日志进行分析,结合威胁情报数据返回判断结果,以此为依据决定是否触发阻断脚本。

应用场景

所有的技术问题都已解决,后续的工作分为两块:利用威胁情报数据丰富现有查询结果,以及使用新的思路来实现原本无法实现的效果。

我们为此前所有与来源有关的告警都添加了威胁情报信息,监控、安全人员在第一时间即可大致评估事件的严重性。

优化模型

有了 IP 地址威胁情报数据,可以有助于评估当前面临的安全威胁的严重程度,并以可视化的方式呈现。实现方式为:以一定维度(如时间、IP 地址、类型等)聚合安全事件,对聚合的事件做基于 IP 地址的威胁情报查询,随后套用特定的模型并呈现。

自动阻断

威胁情报也为威胁程度的判断提供了依据,通过定时任务,当发现高危威胁且威胁来源 IP 地址符合预定义的条件时,即触发脚本调用防火墙 API 的方式,实现黑名单 IP 地址的网络层自动阻断。

DNS

我们也使用了威胁情报提供的域名威胁情报查询功能,在 DNS 服务器中开启了 DNS 调试日志并转发至 Splunk,对匹配的恶意域名解析请求可及时告警。同时计划实现将恶意域名自动解析到本地的功能,以最大限度避免威胁的扩散。

结语

目前我们在威胁情报的应用还处于摸索阶段,只发挥了其中一小部分的能力。从威胁情报信息的分类角度,威胁情报除了 IP 地址情报、DNS 情报,还可提供文件哈希情报等信息;从威胁情报的要素来说,我们当前只使用了攻击者身份、攻击者位置等基本信息。相信如果更全面地利用这些信息,可以为安全从业者们提供全新的安全视角、更广的安全视野,甚至会对工作方式、工具产生革命性的提升。

本文作者

证通股份有限公司 证通白帽子

安全管理团队自喻为证通白帽子,保持着安全人一贯的低调风格和神秘感。团队主要负责信息安全体系建设和运营,包括网络安全、安全测试、攻防应急、访问控制、安全检查等,在每一个安全控制环节默默付出,确保公司的信息系统安全运行。

证通股份有限公司是由国内多家证券机构、互联网企业和金融服务机构以市场化方式共同发起成立的金融综合服务企业。公司定位于市场化、专业化的金融综合服务机构,面向以证券业机构为主的各类金融机构和互联网企业,提供金融综合服务解决方案,积极打造金融科技服务优势。公司愿与广大金融机构、互联网企业及个人客户携手并进,共创中国金融综合服务业的美好明天。

免责声明:“站长之家”的传媒资讯页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与我们联系删除或处理。稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性,更不对您的投资构成建议。我们不鼓励任何形式的投资行为、购买使用行为。

  • 相关推荐
  • 大家在看
  • 美团单车:将在北京热点区域加强运维力度和消毒力度

    今日,美团单车表示,北京运营团队将在热点区域加强运维力度和消毒力度,推出多重举措以最大限度保障市民骑行安全。其中,美团单车将在在原有防疫管理基础上,升级运维员工的卫生防护,提供并严格要求佩戴口罩、手套上岗,正确引导科学防护,要求上岗员工每日先测体温,做到勤洗手、工作服每日换。

  • 美团单车:北京运营团队将在热点区域加强运维和消毒力度

    【TechWeb】6月24日消息, 端午假期即将到来,针对北京疫情防控需要,美团单车称,北京运营团队将在热点区域加强运维力度和消毒力度。6月16日晚,北京市突发公共卫生事件应急响应级别由三级调至二级,并相应调整防控策略。针对北京疫情防控策略调整,美团单车推出多重举措保障市民骑行安全。首先,在原有防疫管理基础上,升级运维员工的卫生防护,提供并严格要求佩戴口罩、手套上岗,正确引导科学防护,要求上岗员工每日先测体温?

  • 工业物联网网关内嵌花生壳PHTunnel,无公网IP实现网关设备远程调试与运维!

    工业物联网被视为互联网的下半场,加上政策利好的推动和5G商用步伐的加速,工业互联网将在各个行业和应用场景实现规模落地。因具有强大的工业实力,工业物联网设备除了在硬件和网络安全上具有严苛要求,其系统设计的可扩展性及独特的通信要求也是保重产品性能、提升品牌竞争力的关键。作为花生壳内网穿透的核心组件, 花生壳PHTunnel可以集成嵌入到各种网络和智能IoT设备中,不需要公网IP,只要有网就能轻松穿透各种复杂的路由和防

  • 豪越智能运维大数据管理平台荣获新技术新产品(服务)证书(三新奖)

    近日,豪越科技有限公司智能运维大数据管理平台荣获北京市新技术新产品(服务)证书,证书编号:XCP201902DZ1321。豪越智能运维大数据管理平台项目于 2019 年申报,并通过了北京市 2019 年度第二批(总第十一批)北京市新技术新产品(服务)名单,证书于 2020 年 2 月获批。受疫情影响,证书近期发放到了申请单位。 新技术新产品(服务)证书,是由北京市科学技术委员会、北京市发展和改革委员会、北京市经济和信息化局、北京市住房和城乡

  • TypeScript 热度超 C 与 Python、Go 开发收入高、运维吃香,调查了 65000 名开发者有这些发现!

    近十年来,Stack Overflow的年度开发者调查问卷被誉为全球范围内最大的开发者调查。为了寻求多样化的代表,Stack Overflow的官方将调查问卷从技术和行为等方面提出了各类问题,希望收集的信息能够帮助改善Stack Overflow开发者的社区。

  • 解放运维工程师 你需要服务器智能运维

    随着互联网、5G、IoT等技术的飞速发展,全球大型数据中心数量将以3.6%的复合年增长率增长,数据中心规模不断扩大,数据中心服务器规模已经达到10万级,这不仅需要更多的运维工程师,给企业增加运维成本,同时给运维工程师也带来了极大的难度和挑战:如何及时发现异常设备?异常根因是什么?故障是否能自愈?是否能预测故障?性能趋势是什么?如何决策?运维发展历程:人肉运维、自动化运维和智能运维早期的运维工作,大部分是由运

  • 运维数据:建设与落地AIOps的基石

    自全球著名IT咨询机构Gartner在 2017 年正式提出AIOps以来,国内外各个企业与厂商都在积极探索与尝试利用大数据、机器学习技术来改进和增强传统IT运维能力(如在监控、自动化和服务管理等方向)。关于AIOps,业界有很多的定义和解释,但笔者在 2019 年底参加Gartner全球I&O大会时,分析师Charley Rich一语道破了本质:“智能运维另外一个名字就是数据分析;(My name is AIOps, but you can call meData Analytics……)”。所以?

  • HYDO教育行业:大学及高校运维管理解决方案

    目前国内高校已建立校园网,千兆成为主流。为了完成数字化转型,数字化应用全面渗透,平均每所学校接入超过 5000 台计算机。其中,拥有 1000M 主干带宽的高校已超70%。 信息化体系中涉及的人员越来越复杂,除了高校本单位维护的老师外,还有外包团队人员。因此,高校在信息化建设过程中,运维团队已经意识到需要对IT资产(硬件、应用、人员)实施有效管理,保证网络安全、可靠和畅通。 网络涉及范围广、设备种类多、用户数量大是高?

  • HYDO石油石化、电力等能源行业IT智能运维管理方案

    能源行业,指开发利用自然界中各种能量资源及其转变为二次能源的工业生产行业。常规能源一般包括煤炭工业、石油工业和电力工业。能源行业一般为集团公司,其分公司及分支机构等遍布全国各地,包括集团总部、化工生产企业、煤矿生产企业、销售企业、科研机构等。 能源行业信息化工作以国家“大力推进信息化与工业化深度融合”精神为指导,贯彻落实“中国制造2025”、“互联网+”的行动纲领。遵循“统一规划、统一标准、统一建设,?

  • 华测导航基于安卓系统的测量手簿,节约运维成本的“奥秘”

    当前安卓系统主要应用在便携式的设备当中,如智能手机。随着技术的推进,安卓系统已经渗透到生活的方方面面,如电视、平板电脑、广告机、车载设备等等。 华测是国内领先是国内高精度GNSS设备著名品牌,,致力于高精度卫星导航定位技术的研发与应用,希望把卫星导航定位带入各行各业,让作业更高效。公司在测绘地理信息、安全监测、数字施工、精准农业等领域为客户提供有竞争力的产品与服务,目前业务遍布全球 97 个国家和地区。 ?

  • 数据库性能不好?有了腾讯云数据库SQL Server 狗子教你做运维

    腾讯云数据库SQL Server的性能和性价比均居行业首位,全新推出的48核384GB超高规格新实例的TPM达到340万,打破了腾讯云自身保持的行业性能记录。

  • 硬核!光大科技技术专家技术新书《LINUX企业级应用实战、运维和调优》正式发布

    近日,光大科技有限公司技术专家新书《Linux企业级应用实战、运维和调优》由电子工业出版社正式出版。新书的发布总结并解决了Linux这一开源时代主流系统架构在运维过程中,一线技术人员的普适性实战重点难点问题,以丰富的实战经验补足了该领域专业人员对企业级运维理解的短板,对Linux系统的人才培养与行业应用推广具有重要意义。近年来,随着开源热潮的逐步推进,Linux操作系统在云计算和移动设备上都获得了巨大成功,在金融、医疗、文?

  • 向日葵远程运维与管理HIS方案

    一、行业背景医疗软件是现代化医院运营的必要技术支撑和基础设施,好的医疗软件能以更先进、科学和规范的手段来加强医院的管理。医院信息系统(HIS)的作用是对医院各科室的各项业务及医疗活动进行数字化及网络管理,它涉及全部的信息管理,像叫号系统、预约登记、电子病历处方、药品管理、进销存管理、医护人员绩效管理等系统都属医院信息系统的部分,完善的医院信息系统有助于减轻各类事务性工作强度,从而简化患者的诊疗过程,?

  • HYDO制造行业运维管理解决方案

    导读:百年难遇的疫情,让中国制造彰显了大国强国的实力。随着制造行业信息系统的不断建设发展,业务软件的应用范围越来越广,深入到了制造行业的各个领域,软硬件设备的使用量也随之逐年增加。面对日益复杂的业务系统,传统的信息管理工作方式已无法适应,制造行业信息化部门如何不再担当救火队员?如何避免同样的事故不再发生?如何从繁杂的IT运维工作中解脱出来? 制造行业信息技术资源管理体系经过多年建设,在硬件资源、通用软?

  • 豪越获准加入工委会,为国产化运维助力

    开春喜报:豪越科技有限公司通过层层严格审核,终于成功入围信息技术应用创新工作委员会会员单位(简称“工委会”),成为工委会旗下可以提供国产化智能运维大数据管理平台的自主研发软件厂商和信息化解决方案供应商。工委会成立于 2016 年 3 月 4 日 , 是一家由从事软硬件关键技术研究、应用和服务的单位发起建立的非营利性社会组织。工委会的宗旨在于发挥产业组织和行业自律 ( 市场规范运作、有序竞争 ) 方面的作用 , 为应用推

  • 街电大连团队运维消毒同步推进,保障用户安全做好服务

    近一个月以来,随着大连市内各商业及公共场所逐渐恢复营业,铺设在各场景内的街电共享充电设备使用量逐渐增加。在此期间,街电大连运维团队根据产品使用情况稳步推进线下设备消毒作业,保障市民复工复产期间共享充电宝使用安全。街电大连运维团队负责人刘一流表示:“目前来看,商圈是当前大连团队线下消毒的核心覆盖场景,我们针对城市商圈采取重复消毒,对于租借率较高或者人流密集区域的设备,会进行重点高频消毒。而火车站等特?

  • 远程运维方案选型指南——官网可下载的ZStack私有云平台

    云计算作为一种革命性的技术,在企业开展数字化转型过程中扮演着关键的角色。像ZStack这样的产品化云平台在落地方面凭借简单、轻量、易用的特色优势,成为了超过 1000 家企业用户和 10000 名社区技术爱好者的不二选择!而获取这个产品化云平台的最佳推荐方式,就是访问ZStack.io官网直接申请下载试用。产品介绍在当代信息化的大背景下,无论软件还是硬件,都面临硬件设备的迭代以及业务发展导致IT架构日渐复杂,运维也就成了一大难

  • 如果你的女朋友是IDC运维工程师

    我叫王婷雯(网挺稳),性别女,今年 27 岁,身高xxx,三围xxx,单身,单身,单身······等等,歪楼了,我不是来相亲的。我的职业呢是一名IDC运维工程师,IDC是Internet Data Center的缩写,就是数据中心机房的意思,运维工程师就是守护机房的工兵。我的日常工作就是维护机房的IT设备网络系统的稳定,还有维护客户和公司和谐关系,简称"维稳"人员。今年是我在老兵idc部门第七个年头了,算一算还有一年就是“抗日”八年了。我每?

  • 向日葵助力智慧医疗,实现远程运维方案

    一、行业背景随着信息技术的不断发展,给许多领域都带来了深刻变革。包括对医疗设备或系统的远程维护;对病患数据的远程诊断、会诊和护理等医学活动在内的远程医疗,就是其中一例。在人们以往的印象中,说起看病治病,“面对面”同医生交流总是不可或缺的流程。传统中医讲究“望闻问切”四种诊法,每一种诊法都建立在患者和医生的互动之上。即使今天的医学实践中,我们有更多医疗设备和检测手段的辅助,患者和医生的直接沟通,仍然

  • 向日葵适配统信UOS,解决服务器远程运维难题

    近日,国内知名远程控制服务商向日葵远程控制(以下简称:向日葵)已宣布与国产芯片操作系统UOS完成适配,支持龙芯、X86 系列、ARM系列的国产芯片。UOS中文名称为统一操作系统,是由统信软件开发的一款基于Linux内核的操作系统,分为统一桌面操作系统和统一服务器操作系统,特点是支持龙芯、飞腾、兆芯、海光和鲲鹏等国产芯片平台的笔记本、台式机、一体机、工作站和服务器。统一桌面操作系统以桌面应用场景为主,包含了应用商店,方

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议

热文

  • 3 天
  • 7天