2020 年头号威胁勒索软件:80 后信息安全掌门人实践总结
关于作者一位80后信息安全从业者,现任某公司安全[负责人],负责信息安全管理和建设。本系列是安全建设工作的实践总结。
2、基础安全工作,细节决定成败
2.4 主机安全实现之路
2020 年第一大威胁是什么?相信大家都能用一个声音来回答——勒索软件。
我们先来盘点一下2020年上半年全球十大典型勒索软件。
1. 勒索软件迷宫; 2.Ryuk勒索软件; 3. 勒索软件/REvil; 4. 勒索软件; 5. 勒索软件; 6.勒索软件CLOP; 7.勒索软件EKANS; 8. 勒索软件; 9. 勒索软件; 10.勒索软件。
那么今天我们就从几个维度来谈谈主机安全!
2.4.1.主机防病毒软件
防病毒软件,也称为反病毒软件或杀毒软件,是用于消除计算机病毒、特洛伊木马、恶意软件等计算机威胁的一类软件。
防病毒软件通常集成了监控识别、病毒扫描清除、自动升级、主动防御等功能。有些杀毒软件还具有数据恢复、防止黑客入侵、网络流量控制等功能。它是一种计算机防御系统(包括防病毒软件、防火墙、木马和恶意软件查杀程序、入侵防御系统等)。
防病毒软件是一种程序工具,可以清除病毒、木马和其他已知对计算机有害的程序代码。 “杀毒软件”是由国内老一代杀毒软件厂商命名的。后来由于与世界反病毒行业接轨,被统称为“杀毒软件”、“安全防护软件”或“安全软件”。用于清除计算机病毒、木马和恶意软件的一类软件,如集成防火墙的“网络安全套件”、“全功能安全套件”等,都属于防病毒软件的范畴。
物理机:乖乖在系统上安装Agent,并定期升级,不管你的服务器是Linux还是Linux!然后一定要定期检查并及时确认发现的病毒威胁。当然这是最基本的。
虚拟机:建议购买轻代理甚至无代理的杀毒软件。传统代理只占用CPU和内存,运行数据库和业务时消耗流量,轻松! !作者放火烧墙,看到了T数据流。
轻量代理:在每台虚拟机主机上安装轻量代理。灯光剂的任务由控制中心统一下发。客户端程序完成病毒扫描任务后,将任务执行状态和病毒文件详细日志发送至控制中心。
无代理:无需安装代理,保护功能由单独的安全虚拟机(或虚拟化系统上的进程)实现。
裸机:一定要购买云防病毒服务。
注:笔者这里推荐几个在线防病毒扫描网站,在购买防病毒软件时一定会有帮助。
1.(它是一个非盈利网站,免费为网民服务。它使用多种不同厂家提供的最新版本的病毒检测引擎来扫描您在线上传的可疑文件,并可以立即显示检测结果。为您提供有关怀疑程度的建议)。
2.(免费的病毒、蠕虫、木马及各种恶意软件分析服务。可以快速检测可疑文件和URL。)
3.(Jotti 的恶意软件扫描程序是一项免费服务,允许您使用多个防病毒程序同时扫描可疑文件。您最多可以同时提交 5 个文件。每个文件的大小限制为 250MB。请注意,没有安全解决方案可以提供100%的保护,甚至使用多个防病毒引擎,所有扫描的文件将与防病毒公司共享,以改进他们的产品并提高他们的检测准确性。)
4.(支持多种文件格式、各种压缩包、文档;普通用户不超过30MB,高级用户不超过100MB。)
笔者在2019年购买新的杀毒软件时,使用了100个病毒样本进行了针对性的比较。总之,你还是需要购买合适的防病毒软件。
2.4.2.主机安全基线检查
安全基线:它借用了“基线”的概念。类比“木桶理论”,安全基线可以认为是安全桶的最短板,或者说是安全要求的最低限度。 (很多公司对这个最低要求视而不见)
安全基线的元素包括: 1. 服务和应用程序设置。 2. 操作系统组件的配置。 3、权限及权限分配。 4、管理规则。
目前常用的基线有很多,例如:常用操作系统基线、数据库基线、Web服务应用基线等,可以参考工信部基线配置要求或者CIS安全基线进行配置和检查。
这里必须强调的是,所有的基线配置表都必须经过业务系统的测试后才能真正上线。笔者曾经花了半年的时间来确认每个策略对业务的影响,最终达到了最终的目标。
如何做好基线配置管理?简要思路如下:
https://s.secrss.com/anquanneican/74e913e95ad050b8d1d69fa72199a914.jpg
1. 建立基线配置管理计划
业务+开发+运维共同制定计划,必要时寻求高层支持。实施情况和实施效果关系到绩效。明确了基线的制定、实施和审查的职责。有检查方法可以确认安全基线未成功部署的原因。奖励和惩罚措施将提高基线执行的有效性。
2. 定制基本操作系统镜像
基础镜像包括选择哪个版本的操作系统、如何分区、如何最小化安装、如何部署必要的工具软件(如杀毒、HIDS等),统一的基础操作系统镜像进行分发到企业。
3. 开发基线配置模板
基线配置模板可以包括运维和安全两部分:运维部分如性能相关配置、稳定性相关配置、个性化配置等。同一应用(、IIS等)可以做成统一的配置模板进行分发;对于安全部分,可以参考两个来源:工信部安全配置建议基线配置要求()。
4. 分发基线配置
基线配置最好和运维一起分发,由运维支撑系统分发,这样可以加快效率。如果现阶段运维没有统一的分发管理系统,用单一的配置脚本就可以完成,效率会非常低。
5. 基线配置检查
买一个主流的扫描仪/HIDS,或者自己使用一些开源工具(比如大佬写的)。最好自动化检查。笔者做了一年多的人工检查,非常不推荐。
6. 基线配置修改
每年检查并根据需要进行升级。
2.4.3. HIDS
HIDS的全称是Host-based,是一种基于主机的入侵检测系统。作为计算机系统监视器和分析器,它不作用于外部接口,而是着眼于系统内部,监视全部或部分系统的动态行为以及整个计算机系统的状态。
由于HIDS会动态检查网络数据包,因此它可以检测哪个程序访问了哪些资源,并确保文字处理器(Word-)不会突然无端启动和修改系统密码数据库。同样,无论信息存储在内存、文件系统、日志文件还是其他地方,HIDS 都会始终监视系统状态并检查它们是否符合预期。
HIDS 的运行原理是,成功的入侵者通常会留下入侵痕迹。这样,计算机管理员可以检测到一些系统修改,HIDS可以检测并报告检测结果。
一般来说,HIDS 使用它们监视的目标系统和文件系统的数据库(可选)。 HIDS 还可以检查未被非法修改的内存区域。对于正在处理的每个目标文件,HIDS 都会记录其属性(例如权限、大小、修改时间等),然后,如果该文件有其文件内容,HIDS 将创建校验和(例如 SHA1、MD5 或类似的) 。该验证码信息将被存储在一个安全的数据库——验证码数据库中,以供将来验证。
主机入侵检测的重点是:动作和成功的恶意行为。
常见的可能的网络攻击
直接上传获取、SQL注入、远程文件包含(RFI)、FTP,甚至使用跨站脚本(XSS)作为攻击的一部分,甚至一些较旧的方法使用后台数据库备份和恢复获取、数据库压缩等。功能包括但不限于shell命令执行、代码执行、数据库枚举和文件管理。
检测
可以监控指定目录下所有文件的创建、修改、重命名等操作。上有这样一个项目:(),之前有大佬写过用机器学习的方法来检测:机器学习检测PHP的初步探索()、入侵检测()
作为传统攻防视角的重要组成部分,HIDS发挥着不可替代的作用,可以有效地检测从网络层面难以检测到的安全问题。
HIDS架构
目前大多数HIDS平台建设主要分为三个部分:终端代理监控组件、控制面板以及与SIEM、运维数据等其他平台对接的接口集合:
1、终端Agent组件:其主要功能包括:监控文件变化、监控服务器状态、发出一些操作指令等;
2.:用于执行一些策略推送和资源管理操作;
3、MQ &&:用于负载均衡和吞吐量数据到数据库;
4.:数据库;
5. SIEM API:用于将HIDS数据与SIEM集成。
通过监控业务IT资产文件,终端代理可以发现一些潜在威胁的文件或受损的后门,还可以记录和发现文件的变化。同时,终端代理负责将日志传输到数据库,方便运维人员检索日志,对终端日志进行统一采集和管理。
开源 HIDS:OSSEC,,-HIDS
https://p9.itc.cn/images01/20231115/874f69809d234946b84745bc9544c1ec.jpeg
2.4.4. EDR
无文件病毒、无文件挖矿、无文件勒索软件……近年来,一种被称为无文件攻击的渗透形式日益增多,其流行给用户的网络安全带来了巨大威胁。因此,在端点保护之战中,EDR(&)占据了C位。
顾名思义,EDR技术专注于高级威胁的检测和响应。填补了传统防病毒产品在高级威胁检测和响应方面的技术空白。 EDR技术本质上是基于行为规则IOA和外部特征库IOC,通过对操作系统行为进行高清记录和长期存储,对漏洞攻击、无文件攻击等高级威胁进行关联、分类和检测。这是通过绘制流程事件树来实现的。攻击可视化、远程遏制和修复可疑威胁主机。
高级威胁的 EDR 管理给出了四个基本定义:检测、遏制、调查和补救能力。
定义EDR的四个基本功能
EDR需要具备对操作系统行为进行高清记录“内核态”和“用户态”的能力,并且行为日志需要保存3个月以上。其次,EDR还需要实现攻击的可视化,提供IOA/IOC来检测无文件攻击和零日漏洞攻击的高级威胁,并提供威胁狩猎( Hunt)服务。
下图可以说明EPP和EDR之间的关系。
笔者认为终端安全EPP+EDR不能缺少。
2.4.5 最终建议
终端安全是保护业务的核心任务。一旦被渗透,后果将十分严重。
1、加强端点保护
及时对终端和服务器进行加固。所有服务器和终端应执行复杂的密码策略并消除弱密码;安装防病毒软件、终端安全管理软件,及时更新病毒库;及时安装漏洞补丁;启用服务器上的关键日志收集功能,为安全事件的追溯提供了基础。
2.关闭不必要的端口和服务
严格控制端口管理,尽量关闭不必要的文件共享权限,关闭不必要的端口。
3.使用多重身份验证(MFA)
使用被盗的员工凭据进入网络并分发勒索软件是一种常见的攻击媒介。这些凭据通常是通过网络钓鱼收集的或从过去的入侵中获取的。为了减少攻击的可能性,请务必在所有技术解决方案中采用多因素身份验证。
4、全面强化资产细粒度准入
增强资产可视性并完善资产访问控制。员工、合作伙伴和客户都以身份和访问管理为中心。合理划分安全域,采取必要的微隔离。实施最小特权原则。
5、威胁态势深度掌控
持续强化威胁监测和发现能力,依托资产可视能力、威胁情报共享和态势感知能力,形成威胁早发现、早隔离、早处置的有效机制。
6. 制定业务连续性计划
加强业务数据备份,及时对业务系统和数据进行备份,并验证备份系统和备份数据的可用性;制定安全灾难恢复计划。同时,保证备份系统与主系统之间的安全隔离,防止主系统和备份系统同时受到攻击,影响业务连续性。业务连续性和灾难恢复 (BCDR) 解决方案应成为在发生攻击时维持运营的策略的一部分。
七、加强安全意识培训教育
员工安全意识缺乏是一个重要问题。必须经常提供网络安全培训,以确保员工能够检测并避免潜在的网络钓鱼电子邮件,这是勒索软件的主要入口点之一。将此培训与网络钓鱼演习结合使用,以了解员工的漏洞。确定最脆弱的员工,并为他们提供额外的支持或安全措施以降低风险。
8、定期检查
每三到六个月对网络卫生实践、威胁态势、业务连续性计划和关键资产访问日志进行一次审查。通过这些措施不断改进您的安全计划。随时了解风险并主动防御勒索软件攻击并减轻其影响。
欢迎大家和我一起讨论实际执行中的各种安全细节。
待续
页:
[1]