域名預訂/競價，好“米”不錯過

概述

從Google的BeyondCorp計劃說起。

Google的這項行動計劃名為BeyondCorp，目的是為了徹底打破內(nèi)外網(wǎng)之別。其基本假設(shè)是——內(nèi)部網(wǎng)絡(luò)實際上跟互聯(lián)網(wǎng)一樣危險，原因有兩點：

1)一旦內(nèi)網(wǎng)邊界被突破，攻擊者就很容易訪問到企業(yè)內(nèi)部應用。

2)現(xiàn)在的企業(yè)越來越多采用移動和云技術(shù)，邊界保護變得越來越難。所以干脆一視同仁，不外區(qū)分內(nèi)外網(wǎng)，用一致的手段去對待。

本文不深入闡述Google的這個方案是如何做的，從這個案例只想說明一個問題，隨著信息安全漏洞層出不窮，而且利用手法也日益精妙，內(nèi)部網(wǎng)絡(luò)也會面臨極大的風險(除非是完全物理隔離的內(nèi)網(wǎng))。所以需要同時關(guān)注內(nèi)部網(wǎng)絡(luò)和邊界網(wǎng)絡(luò)的安全。

原理篇

有段時間經(jīng)常看中央一套的《今日說法》，其中有一個案件尋找破案線索的過程令我印象非常深刻。當時大概的案情是在一段沒有監(jiān)控的路上，有個女的被綁架了，這個時候?qū)ふ医壖茏靼傅能囕v就非常重要。由于事發(fā)路段沒有監(jiān)控，尋找作案車輛就陷入了困難，后面公安干警想出了一個非常簡單的辦法找到了作案的車輛。在綁架的現(xiàn)場是沒有監(jiān)控的，但在路的兩頭是有監(jiān)控的，干警用給每輛車計時的方法來查找作案的車輛。如果要作案，必須要有作案的時間，也就是說這輛車的通過時間要比其他車輛時間要長。這就是最簡單的邏輯推理破案。

同理，網(wǎng)絡(luò)安全事件的發(fā)生也會有類似的邏輯，很多時候通過直接的手段很難發(fā)現(xiàn)入侵行為，但如果用推理的方式，入侵一定會存在某些不同尋常的行為。就像剛才的案件，沒有直接監(jiān)控發(fā)現(xiàn)，但車輛通過的時間會比其他時間長。如果我們擁有多樣化的縱深防御能力，對進攻行為體系化防御，就帶來了更多的防御點和監(jiān)測點，樣就可以極大的降低安全的風險。

防御具有排兵布陣的的先發(fā)優(yōu)勢，在精心策劃下，可以通過深度防御防止單點突破造成的入侵。我們以主機入侵為例來說明深度防御的架構(gòu)。對于主機來說，主要有幾個層面的內(nèi)容，網(wǎng)絡(luò)，進程，文件，操作命令，文件操作，系統(tǒng)事件大概幾個方面。通過這幾個方面的綜合分析，就可以發(fā)現(xiàn)絕大多數(shù)的入侵行為。

無標題

我們從一些假設(shè)的攻擊開始分析，大多數(shù)的攻擊都是從弱點開始，包括一些漏洞、弱口令、0day等等，由其是0day，大多數(shù)基于規(guī)則的安全防護都是失效的。攻擊的第一步是踩點，踩點的行為有多種多樣，最常用的是掃描，包括主機掃描，端口掃描，漏洞掃描等，掃描的發(fā)現(xiàn)可以從兩個方面來發(fā)現(xiàn)，一是從網(wǎng)絡(luò)上發(fā)現(xiàn)流量的異常行為，比如端口掃描就會發(fā)現(xiàn)一臺主機在短時間內(nèi)容會有大量的不同端口請求。一是從主機上可以發(fā)現(xiàn)，比如密碼猜測掃描就會發(fā)現(xiàn)大量的登錄失敗的日志等。

當發(fā)現(xiàn)主機有漏洞的時候，下一步要做的事情是漏洞利用，漏洞的利用過程有時候很難被感知，比如緩沖區(qū)溢出等，但利用后的結(jié)果還是從系統(tǒng)中可以發(fā)現(xiàn)。比如如果有弱口令就會發(fā)現(xiàn)有異常登錄行為，包括時間異常，登錄源IP異常等等。比如文件的上傳行為，用戶操作行為，大多數(shù)黑客攻擊成功后會到服務器上上傳一些木馬等文件，會做一些操作行為，比如創(chuàng)建一些隱蔽賬號等。

當一臺主機被黑客控制后，往往這臺機器機會淪為黑客的肉雞，這個時候也會產(chǎn)生一些異常的行為，比如在網(wǎng)絡(luò)上，會有非法外聯(lián)，不管是木馬主動發(fā)起還是木馬被動監(jiān)聽，都會在網(wǎng)絡(luò)上產(chǎn)生這些異常信息。在進程層面，很多時候會產(chǎn)生異常進程，很多進程會通過偽裝成系統(tǒng)進程名，但是只要留意依然能夠被發(fā)現(xiàn)。

技術(shù)篇

對linux系統(tǒng)而言，這些參數(shù)和指標都是比較容易的。下面是我經(jīng)常用的一些腳本可以參考下。

進程：ps aux|sed -n '2,$p'|awk 'BEGIN{count=0;}{suser[count]=$1;pid[count]=$2;cpu[count]=$3;mem[count]=$4;p[count]=$11;count++;};END{for (i = 1; i < NR; i++)print "seci-host-process user="suser[i]" pid="pid[i]" cpu="cpu[i]" mem="mem[i]" process="p[i]}' |sort |uniq|egrep -v "suser|grep|ps|sed|awk|sort|uniq|egrep|[[*]"

端口：ss -ntu|sed -n '2,$p'|awk 'BEGIN{count=0;}{pr[count]=$1;fl[count]=$4;si[count]=substr($5,1,index($5,":")-1);sp[count]=substr($5,index($5,":")+1,length($5));ti[count]=substr($6,1,index($6,":")-1);tp[count]=substr($6,index($6,":")+1,length($6));count++;};END{for (i = 0; i < NR; i++)if(si[i]!=ti[i])print "seci-host-network pro="pr[i]" sendFlow="fl[i]" sourceIp="si[i]" sourcePort="sp[i]" targetIp="ti[i]" targetPort="tp[i];}'

操作命令審計：export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger " secisland user=$(whoami)" client=$SSH_CLIENT path=`pwd` command: "$msg"; }'

系統(tǒng)事件：正常在/var/log/secure文件中，比如登錄成功失敗等。

上傳下載：目前l(fā)inux sshd會自帶的sftp協(xié)議日志，通過配置可以記錄sftp的日志。

配置：#vi /etc/ssh/sshd_config

修改 Subsystem sftp /usr/libexec/openssh/sftp-server

如下Subsystem sftp internal-sftp -l INFO -f local0

去掉下面一行的注釋 #LogLevel INFO

修改syslog配置 vi /etc/rsyslog.conf

# 增加一行

local0.* @ip

文件修改：對文件修改的監(jiān)控稍微麻煩點，可以通過輪詢文件修改時間，通過實現(xiàn)對文件進行打標簽對比。效果比較好的方式是利用linux的inotify機制來監(jiān)控文件操作。

Inotify 是一個 Linux特性，它監(jiān)控文件系統(tǒng)操作，比如讀取、寫入和創(chuàng)建。Inotify 反應靈敏，用法非常簡單，并且比 cron 任務的繁忙輪詢高效得多。多用在主機防篡改，網(wǎng)頁防篡改中，比較重要所以系統(tǒng)也集成了此功能。

安裝SeciInofify，這個版本支持syslog發(fā)送，安裝好后，運行：

nohup ./inotifywait -c -rme create,modify,delete,move,attrib,delete_self /home /etc &

這樣就對指定的目錄/home /etc進行監(jiān)控，這兩個目錄中文件的任何變化都會發(fā)送到日志服務器中。

總結(jié)

如果在日常運維中能構(gòu)建深度防御體系，實時的分析主機中的網(wǎng)絡(luò)，進程，操作命令，文件操作，系統(tǒng)操作，上傳下載行為，能把這些環(huán)節(jié)都記錄加以分析的話，應該大多數(shù)的情況下能第一時間發(fā)現(xiàn)入侵行為。這樣就降低了很大的風險。但這些東西如果都手工來做，效率還是比較低的，可以借助日志收集分析工具來進行分析，比如splunk，arcsight，SeciLog，elk等。這樣就會達到事半功倍的效果。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！