入侵分析十诫

这些年来,笔者一直积极参与入侵检测分析师的培训和发展工作,同时还担任了 SANS 信息安全课程《深入入侵检测》(编号503)的授课导师。笔者发现自己一直在不断改变对有效入侵检测的哲学认识。然而,不论该哲学如何演化,有些主题总是保持不变。

通过这些经历,笔者创作了「入侵分析十诫」,这十诫所突出的核心主题不仅是笔者想要灌输给接受培训的分析师的,也是希望在自身的入侵分析工作中能融会贯通的。这十诫不是命令你们做什么,不过因为恰好有十条,所以取了「十诫」 这个还算切合的标题。入侵分析十诫可能不适合你或你所在公司的目标,或者不符合你的个人风格,但是它们对笔者的确用处匪浅!

1、分析师,分析师,分析师!

对分析师来说最重要的是深刻认识到他们自身的重要性。分析师是安全防护的第一道防线——他们在电脑前时刻关注着安全威胁的存在。分析师能阻挡攻击,也能防止被攻击后的情况恶化。在大多数信息安全事件的开始,分析师会根据入侵检测系统的告警给出解决提示;在事件的结尾,分析师会输入新的签名并基于已知安全事件的信息开发新的工具。从信息安全事件的开始到结束,分析师从始至终无处不在。好吧,也许是有点戏剧性,但入侵分析师的重要性是不可低估的。

2、除非是你自己创建的数据包,否则没有绝对的安全。

假设是分析的前提,记住这点非常重要。你在未来做出的大多数决定将基于一个数据包或者一条日志项,然后根据在研究中积累的经验对其反复斟酌。事实是,网络数据流并不是分析师生成的,因此我们所做的每个决定只是基于部分数据做出的假设。不过别担心,这没有什么不对的。问问你在化学界和物理界的同僚们,他们的绝大部分工作也都是在假设的基础上开展的,然而他们也取得了巨大成功。重点是没有什么是绝对的。这个 IP 地址真的对应一个已知的合法主机么?这个域名真的属于 XYZ 公司吗?这台 DNS 服务器真的应该和那个数据库服务器进行交互吗?没有什么是绝对的,有的只是假设,正因为如此,请记住假设的东西是可以改变的。总是怀疑自己,并保持警觉。

3、留意你从数据中抽取的信息是否准确。

分析师需要依赖数据来采取行动。这些数据可能来源于 PCAP 文件、IIS 日志文件或者系统日志文件。由于你会花大量时间通过各种工具与这些数据进行交互,因此知晓这些工具如何和数据交互至关重要。你是否知道运行 Tcpdump 时如果不对参数另做规定,它将只能捕捉一个数据包中前 68 个字节的数据?是否知道 Wireshark 显示 TCP 数据包中的序列号和应答号时默认显示的是相对值而非真实值?工具是人开发的,然而有时候工具的“功能特征”会模糊数据并阻碍正确的分析。刚刚举例的两个“功能特征”其实是很好用的,但是也应该对它们保持警觉,才可以在需要时获取所有的包数据,或查看真实的序列号和应答号。当我们从事一份依赖数据且数据至上的工作时,必须要理解工具和数据是如何进行交互的。

4、两个人的审视好过只有一人的审视。

作者配有编辑,警察配有搭档,核武器库里总安排两个人,这都是有原因的。不管你多么富有经验或者表现得多好,你总会遗漏掉什么。之所以需要两个人是因为不同的人背景相异。笔者在政府部门工作,因此在检查网络流量时,第一件事就是查看其来源国和目的国。笔者曾和拥有系统管理背景的人共事,因此,他会在检查网络流量时最先查看端口号。笔者甚至和从事数值计算处理的人共事过,他就会先查看包的大小。这表明我们的不同经历塑造了差异化的策略。这意味着做数值处理的人能发现做系统管理员的人没发现的信息,而为政府部门工作的人能发现做数字处理的人没有发现的信息。不管什么时候,有另个人来审视你面临的问题总是一个不错的主意。

5、不要邀请攻击者共舞

这是我在最初启动一台 Snort(轻量级网络入侵检测系统)传感器主机那天就深信不疑的事情。后来我在大师 Mike Poor 的 SANS 课程上听到了他更为精妙的表述——永远不要邀请攻击者共舞。对分析师来说,采用一些超出常规的手段来侦查恶意 IP 地址是件极具诱惑的事情。相信我,有很多次我都想对给我发送大量明显刻意制作的 UDP 数据包的恶意 IP 进行端口扫描。每次有人试图对笔者防护的网络进行 DoS 攻击时,除了拿他们可怜的毫无戒备的 DSL 连接发泄愤怒之外别无他求。这里的问题是,99% 的时候我们都不知道面临的是谁或者是什么工具。虽然你可能看到他们的扫描活动,但是产生这些网络流量的主机有可能被一个庞大组织甚至是另一个国家的军事部门操纵。即使一个简单的 ping 命令都会让攻击者知道你发现了他们的存在,从而促使他们改变攻击策略,切换源主机,甚至加强攻击力度。你不知道你的对手是谁,亦不知他们的动机或具备怎样的能力,所以在网络防护时永远不要挑衅他们。

6、情境很重要!

网络情境可以彻底改变你的监控和检测能力。为了有效防御,必须具备你所防护的网络的上下文。网络图、服务器列表及其作用、IP 地址的分配故障等等都会是你最好的伙伴。基本上,一切可以记录网络资产、它们如何运作以及它们和其他网络资产如何关联的文档都会在处理异常事件时派上用场。也许以你在公司中的职位,无法获取这些信息,或者这些信息现在仍未整理出来,那么你将会花很长时间让同事下大力气把这些文档整理出来。虽然这会很困难,但仍然值得你的争取和坚持。不管你做出的努力是硬着头皮向首席信息官提出你的依据和要求,亦或只是请你的网络工程师们喝一杯他们最爱的酒精饮料,你终将获得回报。

7、总的来说,数据包是合法的。

人生的终极争论是人之初性本善还是性本恶。对于数据包来说,这个争论同样存在。作为分析师,你可以认为所有的数据包都是恶意的,也可以认为所有的数据包都是合法的。笔者注意到,大多数分析师在职业生涯的初期都抱着前一种观点,然后很快就过渡到了后一种观点。那是因为把网络流量中的所有数据都当成潜在的根级别入侵危害来处理是根本不可行的。如果你那样做,你会因为花了整整一天却只处理了一个告警而被解雇,或者被你自己折腾得精疲力竭。有些事要说清楚,数据包有合法的有恶意的,但事实的真相是网络流量中的绝大部分数据包都不是恶意的,因此在数据包被证实是恶意的之前,应当视作合法数据包来处理。

8、tcpdump 工具之于入侵分析犹如望远镜之于天文学

每当面试入门级以上的入侵分析师时,笔者都会让他们描述下如何研究一个典型的入侵检测系统告警。然而让笔者感到沮丧的是这些人总是回答「我会使用 tcpdump、Wireshark Network Miner、 Netwitness、Arcsight、 Xeyes 等工具研究告警」,而不做进一步的具体解释。虽然它们是进行入侵分析的工具和技术,但是入侵分析本身不是工具和技术,而是艺术。如果不是这样的话,那么在入侵分析的过程中人的存在就不是必要的了。一个高效的分析师应该明白,即使使用这些工具是工作最重要的部分,但它们也只是拼图中的一块块碎片。就像天文学家的望远镜只是其工具库中帮助他发现行星围绕太阳运转原理的一个工具一样,Wireshark 也只是分析师的工具库中帮助他找出是什么让一个数据包绕过防火墙规则的一个工具。从技术开始,加上一些工具和软件,统观大局,留意细节,再结合你从过往经历中获取的经验,你将创造出一套属于自己的入侵分析哲学。至此,你才将自己的分析上升到艺术的层面,从而使你极具价值,无法被机器取代。

9、有时候,我们会失败。

不管你多么努力阻止攻击,总会出现你防护的网络被成功攻击和入侵的情况。在现代信息安全格局中,这是不可避免的,你能做的事情也很有限。这些时候,分析师很可能因为攻击事件而受到批评。因此,你需要为防护失败的发生做好准备。成功入侵事件不会因为如何发生而被记住,但会因为如何被应对、宕机时长、丢失的信息量以及其最终造成了公司多少财产损失而被记住。你能给管理者什么建议以保证此类事件不再发生?你怎么给自己的上司解释这次入侵攻击为什么没被成功检测?你使用的工具有什么缺陷?在发生入侵事件之前,这些问题都是无法得到充分的解答。但是你现在绝对可以开始考虑这些问题,并制定向关键人物回答以上问题的方案。你会措手不及,遭遇偷袭,但重要的是你不会表现出来并保持坚定严肃的姿态。这是决定你将获得晋升还是被解雇的关键。

10、深度挖掘

到你光荣退休的那天,你需要代表荣誉的桂冠来证明你的功勋,而你的功勋应该是你尽职尽责并拼尽全力的事实。笔者在入侵分析方面的“座右铭”是“深度挖掘”。网络防护人员必须控制 65535 个端口,而攻击者只需入侵一个就足够了。网络防护人员必须保护一万名用户,而攻击者只需要欺骗一个用户就足够了。网络防护人员必须检查成百上千万的数据包,而攻击者只需要在一个数据包中隐藏好恶意数据就足够了。你要怎么样做才能对数据有更敏锐的感知?你要锻炼什么样的能力,才能与攻击者相抗衡?你有一种预感,事情并不像看到的那么简单,你要怎么样做才能深度挖掘?

原文链接:http://chrissanders.org/2011/01/the-10-commandments-of-intrusion-analysis/

本文转自 OneAPM 官方博客

时间: 2024-10-28 17:39:38

入侵分析十诫的相关文章

入侵分析钻石模型与基于网络的威胁复制(二)

本文讲的是入侵分析钻石模型与基于网络的威胁复制(二),本文为作者Justin Warner (@sixdub)近期在 BSides DC 峰会上与 Chris·Ross的共同演讲内容的扩展,嘶吼编辑翻译.由于内容过长,分为两篇放出.前文见入侵分析钻石模型和基于网络的威胁复制. 那又怎样?为什么红军如此关心? 由于蓝军可以准确.科学地使用这个模型跟踪对手,而红军也正试图模仿一个特定的对手,所以利用这个模型也能够复制所选择的威胁,这一点非常有意义.通过我们对要模拟的对手的了解开始,红军可以来定义和模

源代码管理十诫

英文原文:The 10 commandments of good source control management,翻译:图灵社区周庆成 若是还有可以毫无偏见地涉及各个编程语言,比源代码管理软件更必要的工具,我倒是很想见识一下.源代码管理软件是我们工作的必备工具,是许多开发团队的血液.那为什么我们都会对它有所误解呢?为什么都很难理解版本控制系统的核心价值和基本原理呢? 我总结出10条惯例--如果你愿意也可以用"戒律"--意味着必须服从它而且从一开始很难去理解.它们与所有类型编程语言的

英勇死去两次,王兴对创业的十诫

"纵情向前,哪有什么所谓错过的机会,那本就不是你的机会."一个不成熟男人的标志是愿意为了某项事业英勇地死去,一个成熟男人的标志是为了某项事业卑贱地活着. 引言:王兴已经"英勇地死去"两次了,他先后创办了校内和饭否,但都令人瞩目地失败了;"哪有什么错过的机会,那本就不是你的机会.既往不恋,当下不杂,未来不迎". 一个不成熟男人的标志是愿意为了某项事业英勇地死去,一个成熟男人的标志是为了某项事业卑贱地活着. 直到最近,王兴才知道这句文青范儿的成长格言

创业十诫:高看点子的魔力 风投不一定是好事

在创业之路上,假如你有一个清单,列出了所有你不应该做的事情,那么只需要把这个清单取反,你就得到了一张成功的处方.而在实际应用中,这样的清单会更有价值.察觉你正在做不应该做的事情,会比一直记着你应该做的事情要容易得多. 有"创业之父"之称的格拉汉姆经常会说些类似这样的话来鼓励台下那群信任自己的年轻人:"创业是一条艰辛的道路,但是一份朝九晚五的工作同样会让人感到郁闷.创业的过程中会遇到没完没了的麻烦,但不会如同在一家公司上班那样,感觉到生命和理想正在离你远去." 但是创

用户体验策略十诫

当我在考虑2013年十月的亚特兰大用户体验策略大会上的演讲主题时,我知道我将在用户体验策略这个新兴领域里令人尊敬的同行们以及业界领袖们的面前演讲,因此增加一些新鲜的内容是很有挑战性的,所以我根据自己在这个领域观察到的以及在会议上所听到的开始着手构件框架.我希望抓住用户体验策略的核心以及重要的元素,同时不错过任何大事要闻.这篇文章由此而来.我对这个主题的兴趣来自于以下几点:在我从事用户体验行业认证主管这三年来,创建用户体验行业的国际认证程序失败了.这实在是一个令人大开眼界的经历,不论是赞成或者反对

程序员父亲的遗产——编程十诫

英文原文:Dad and the Ten Commandments of Egoless Programming 我的父亲在和我彻谈编程两个星期之后就去世了. 那个时候我 22 岁,一个刚刚完成美学学士毕业设计的大四学生.而我的父亲 62 岁,比大多数我同龄人的父亲都要老.早在 60 年代,他就已经在田纳西理工大学开始编程了,那个时候他在穿孔卡片上写 FORTRAN 语言.不得不承认,我的父亲学富五车.学识渊博. 我和编程第一次亲密接触的时候,它像烟花,瞬间绚烂了我的生命.它给我的感觉既魔幻又强

网站分析十必问(上):关于网站目标、策略和用户

中介交易 SEO诊断 淘宝客 云主机 技术大厅 近半年没有更新博客了,一是因为忙,二是因为懒.我觉得在工作之余能有一些自己的事情,并且还能把它坚持下来是一件很幸福的事情.2012年我将继续更新我的博客.坚持写博客对我有两个好处:1帮助我进行思考.每一次写作的过程也是一次思考的过程.很多东西嘴上说说容易,但一落实到笔头上就会发现还有很多的问题没有想明白.2记录我的想法和思考的过程.无论他们是正确的还是错误的.勇于犯错才能进步. 闲话说了一堆,现在进入本篇文章的主题.网站分析十必问是对一个新网站进行

《非2》片尾曲发布改编自仓央嘉措《十诫诗》

<非诚勿扰2>海报 音乐人栾树 音乐人李漠 李漠弹唱 新浪娱乐讯 12月22日,前缘再续.由华谊兄弟出品.冯小刚导演.王朔与冯小刚联合编剧的贺岁电影<非诚勿扰2>将于12月22日在全国公映.片尾曲<最好不相见>于今日正式发布,歌词改编自仓央嘉措的<十诫诗>,冯小刚力邀知名音乐人栾树为歌词谱曲,演唱者则邀请到有"摇滚女诗人"之称的音乐人李漠. 冯小刚力邀知名音乐人栾树出山为<非2>配乐 冯小刚导演对电影音乐一直有严格的要求,在&

风险投资家盖伊川崎关于白手起家的“十诫”

盖伊川崎(Guy Kawasaki)最近出席了宾夕法尼亚大学的科技研讨会,期间他谈到了商业创新,并讲述了自己25余年的专业经验,他的行业背景被幽默的投资商和企业家戏称为"我的坎坷经历".川崎出生在夏威夷,在获得斯坦福大学的心理学学位及加利福尼亚大学洛杉矶分校MBA学位之后,成为苹果电脑公司的第二位软件"布道师",在1983年至1987年间,他从事的工作就是说服人们为苹果电脑开发软件.川崎回想起在苹果公司经历,称他的同事们是有着远大抱负的.积极主动的."而且