当前位置:首页 > 信息公开 > 正文内容

NTA在攻防演练中的实战与应用

xmd53年前 (2020-09-25)信息公开17416188

攻防演练中,不论攻击成功与否,攻击行为的载体只可能是网络流量。因此,网络流量监测与分析技术可以说是蓝军的一张王牌,通过对正常业务与威胁行为模式进行建模,能够在第一时间发现入侵事件,甚至还原整个攻击流程。

逻辑示意图如下:

NTA关键能力

实际应用场景中,流量获取、协议解析、流量还原、异常分析、联动处置等关键能力,决定了NTA/NDR能否为蓝军带来最大化的防御效益。

流量获取能力:

对于中小型企业来说,能够访问核心生产系统的一般有两个区域:外部客户访问的“互联网接入域”,开发运维人员所在的“运维接入域”。前者携带从类似门户网站正面攻击的入侵流量,后者夹杂社工拿下内部终端后发起的异常流量,所以,这两部分流量缺一不可。

具体部署 NTA 产品时,可采用旁路分光或交换机镜像获取流量,由于采用旁路方式,所以即便 NTA 产品自身出现故障,也不会影响到生产系统的高可用。接收镜像流量的设备叫着探针,探针从负载设备下挂的交换机上镜像流量。比如,某门户业务系统,用户访问流量从外往内,分别经过互联网边界的防火墙、WAF、负载均衡器、交换机,最后到达 web 节点集群,如下:

协议解析能力:

协议解析是后续异常流量分析的根基,NTA 产品应从 ISO 七层模型和应用领域两个维度支持尽可能全的通讯协议,而非单纯追求 L2 到 L7 的协议数量。

经验来看,NTA 至少应具备如下协议解析能力:

OSI相关:L7 支持 HTTP、FTP、SMTP、POP3、IMAP4、telnet,L6 支持 LPP、XDP,L5 支持 TLS、LDAP、RPC,L4 支持 TCP、UDP,L3 支持 EGP、RPL,L2 支持 XTP、PPTP、L2TP;

微软相关:L7 支持 SOAP、named pipes、MS-RAP、MS-RPC,L6 支持 MS-CIFS、MS-SMB,L5 支持 netBIOS;

VPN/加密传输相关:L7 支持 SCP、SSH、GPRS 隧道 GTP,L6 支持 AES、DES、3DES,L5 支持 kerberos、SSL/TLS,L3 支持通用路由封装协议 GRE。

据了解,某些 NTA 产品将协议解析作能力视为核心技术,雇佣行业专家攻坚克难,识别协议类型达 800+ 种,解析协议超过 50+ 种。

科来:网络通讯协议图谱

流量还原能力:

系统沦陷后,要想取证或溯源,必须借助流量还原,这种网络流量深度记忆力,能够将流量数据以不同的统计维度进行透视分析,将 HTTP、DNS、SMTP、POP3、邮件等等数据还原,重演攻击流程、勾勒攻击路径。

比如,针对 web 访问,NTA 产品能够对 HTTP 的请求和应答进行基于五元组的重构,实现会话还原,类似如下效果:

异常分析能力:

对原始流量标准化处理之后,通过多维度统计分析,进行告警、态势、趋势预警输出,用于支撑网络威胁态势、安全告警监控展示。一般来说,借助大数据、行为分析、机器学习/深度学习(如 HMM、XGBOOST、CNN、 LSTM)等技术刻画重要资产应用系统的流量基线,再通过网络流量变化的特征来确定流量异常行为发生的时间点,分析流量行为特征参数,以找出异常行为对应的源 IP 及目的 IP;最后,根据攻击日志和行为日志,判定资产是否失陷。

异常流量分析应覆盖密码猜测攻击、WEB攻击、恶意扫描、web 异常访问分析、D

本文标题:NTA在攻防演练中的实战与应用
本文链接:https://xmd5.pw/2020/09/71/
作者授权:除特别说明外,本文由 xmd5 原创编译并授权 中国黑色幽灵小组官网 刊载发布。
版权声明:本文不使用任何协议授权,您可以任何形式自由转载或使用。

扫描二维码推送至手机访问。

版权声明:本文由中国黑色幽灵小组官网发布,如需转载请注明出处。

本文链接:https://xmd5.pw/2020/09/71/

相关文章

谷歌确认100万Gmail邮箱遭政府黑客攻击

谷歌确认100万Gmail邮箱遭政府黑客攻击

谷歌确认最近有100万的Gmail账户被政府黑客攻击,他们已经采取措施提升邮箱安全警示服务,保护用户免受政府黑客和监视活动的攻击。这个消息很令人忧虑,越来越多的邮箱账户被黑客攻击,也就是说受害者群体已...

乌云背后的地平线:白帽黑客的太阳何时升起?

乌云背后的地平线:白帽黑客的太阳何时升起?

 今年4月12日,“白帽子”袁炜因涉嫌非法获取计算机信息系统数据犯罪批捕,随后其父亲的一封公开信引起了轩然大波。在信中,这名父亲提出了一个令业内人士都感到难以解答的问题:“白帽子检测漏洞到底...

朝鲜DNS数据泄露:“互联网”规模极小,居然只有28个可访问网站…

朝鲜DNS数据泄露:“互联网”规模极小,居然只有28个可访问网站…

和其它国家一样,朝鲜也正在加强网络基础能力建设,据说,还有一支强大的网络部队。由于担心来自外国政府的网络攻击,朝鲜长期的网络封锁让人们难得窥见其互联网状况。9月20日上午,Uber安全工程师Matth...

年末了,盘点2016年最严重的7起DDoS攻击事件

年末了,盘点2016年最严重的7起DDoS攻击事件

随着黑客技术的不断发展,人们越来越难以区分真实世界和恐怖电影之间的区别, 2016年的DDoS攻击事件更是加深了人们的这种感觉。你相信么?事实上,我们的真实生活可能比好莱坞的恐怖电影更加可怕!当你家的...

乌克兰再次发生大规模停电事故,疑似遭遇黑客攻击 !

乌克兰再次发生大规模停电事故,疑似遭遇黑客攻击 !

据乌克兰能源公司UKrenergo消息,上周六半夜,乌克兰首都基辅北部及周边地区发生断电,电力公司专家采用人工操作,30分钟后开始逐渐恢复供电,75分钟后已全面恢复。UKrenergo公司主管Vsev...

FBI和DHS发布联合报告,奥巴马对俄罗斯涉嫌干预美国大选进行制裁!

FBI和DHS发布联合报告,奥巴马对俄罗斯涉嫌干预美国大选进行制裁!

美国联邦调查局(FBI)和国土安全部(DHS)于12月29日发布了一份解密报告,报告中详细分析了俄罗斯如何干预美国大选。报告中分析了两起独立的入侵事件,这两起有俄罗斯背景的黑客事件分别发生在2015年...

Anonymous攻陷暗网服务提供商Freedom Hosting II,约1/5暗网网站下线

Anonymous攻陷暗网服务提供商Freedom Hosting II,约1/5暗网网站下线

Freedom Hosting II(以下简称FH II)是现今最大的暗网服务提供商之一。据Mascherari.press的安全专家Sarah Jamie Lewis估算,FH II约为15%-20...

2016年中国网络安全大事件

2016年中国网络安全大事件

中国互联网基金会设立网络安全专项基金并表彰首批优秀人才2月2日,中国互联网发展基金会网络安全专项基金宣告正式成立。该基金设立“网络安全人才奖”、“网络安全优秀教师奖”等奖项,以奖励为国家网络安全事业做...

工信部发布《互联网域名管理办法》 11月1日起施行

工信部发布《互联网域名管理办法》 11月1日起施行

中华人民共和国工业和信息化部令  第43号  《互联网域名管理办法》已经2017年8月16日工业和信息化部第32次部务会议审议通过,现予公布,自2017年11月1日起施行。原信息产业部2004年11月...

只需要不到20分钟,报告显示俄罗斯黑客是全球最快的入侵者

只需要不到20分钟,报告显示俄罗斯黑客是全球最快的入侵者

天下武功,唯快不破。速度,在众多武侠剧中都被刻画成武学精髓之一。而在网络安全领域,无论作为防御者还是攻击者,速度很大程度上也能够决定攻防一方的胜负。2019年2月19日,美国网络安全技术公司 Crow...