作者:(美)贝特利奇(Bejtlich,R.)
出版社:机械工业出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
网络安全监控实战:深入理解事件检测与响应试读:
前言
网络安全监控(Network Security Monitoring,NSM)是关于收集、分析和增强预警(Indications and Warnings,I&W)以检测和响应入侵的技术。[1]——Richard Bejtlich和Bamm Visscher
欢迎阅读本书。本书旨在帮助你使用以网络为中心的操作、工具和技术检测并响应数字入侵。我已试图使背景知识及理论需求保持最低水平,而且结合以往实践撰写此书。我希望本书改变你看待计算机安全或者力图影响的对象的方式。我的焦点不在于安全周期的规划和防御阶段,而在于处理已经被攻陷的或者处于被攻陷边缘的系统所采取的行动。
本书是我之前关于NSM作品的续篇和补充。
·《The Tao of Network Security Monitoring:Beyond Intrusion Detection》(Addison-Wesley,2005;832页)。Tao提供了背景、理论、历史以及案例研究来指导你的NSM操作。
·《Extrusion Detection:Security Monitoring for Internal Intrusions》(Addison-Wesley,2006;416页)。在阅读Tao之后,你会发现《Extrusion Detection》扩展了NSM架构(抵御客户端的攻击)的概念以及网络取证。
·《Real Digital Forensics:Computer Security and Incident Response》与Keith J.Jones和Curtis W.Rose合著(Addison-Wesley,2006;688页)。最后,RDF说明了如何将NSM与以主机和内存为中心的取证整合,这可以使审查者调查绑定在计算机上的DVD中的犯罪证据。
本书会激发你的NSM行动,而且我的方法已经经过时间的检验。2004年,我的第一本书就包含了我提倡的“以检测为中心”的哲学核心思想:防护终将失败。一些读者质疑这种结论,他们认为如果“恰当地”综合应用防护、软件安全或者网络架构,阻止所有入侵还是有潜在可能性的。他们认为,如果你能够阻止攻击者对网络的非授权访问,那么检测就不必要。那些仍然信奉这种哲学的人很可能遭受某种长期、系统化的入侵,就如我们每周在媒体上看到的那样。
几乎在十年之后,安全行业和更加广泛的信息技术(IT)社区开始认识到,有决心的入侵者总能够找到危害其目标的方法。成熟的组织现在不仅试图阻止攻击者,还开始寻求快速检测攻击者,通过调查事件的影响程度来进行有效响应,同时,彻底牵制入侵者以限制其可能产生的危害。
殚精竭虑地看待企业安全是明智之举。事件响应不再是一件罕见、特别的事情,相反,它应当是具有确定度量和目标的持续商业过程。本书会提供一组数据、工具和使用网络的程序以便于你使用,同时它们可帮助你将安全操作转化成应对频繁遭受危害的利器。如果不知道上季度有多少次入侵使你的企业遭受折磨,或者不知道你能够多快地检测和控制这些入侵,本书将会向你展示如何实施这些活动并且跟踪这两种关键度量。读者对象
本书面向不熟悉NSM的安全专业人士,也适用于更高级的事件处理人员、架构师以及需要向管理层、初级分析师或者其他不擅长技术的人讲解NSM的工程师。也许熟练的NSM实践者不能从本书中学到令人惊讶的新技术细节,但是我相信今天的安全专业人士很少有人已经学会如何恰当地实施NSM。对入侵检测系统或防护系统(Intrusion Detection/Prevention System,IDS/IPS)仅提供报警感到泄气的读者,你会发现使用NSM将是一种令人愉悦的体验。预备知识
我尽量避免重复其他作者已经讲解透彻的知识。我假定你理解Linux和Windows操作系统的基本使用方法,掌握TCP/IP网络及其他网络攻击和防御的基本知识。如果你对TCP/IP或网络攻击和防御的知识掌握不够,请考虑参考下面的这些书籍:
·《The Internet and Its Protocols:A Comparative Approach》,Adrian Farrel著(Morgan Kaufmann,2004;840页)。Farrel的书不是最新的,但是它涵盖了广泛的协议范围——包括应用协议和IPv6,对于每一种它都具有位级的图表和动人的描述。
·《Wireshark Network Analysis》(第2版),Laura Chappell和Gerald Combs著(Laura Chappell University,2012;986页)。所有的网络和安全分析人员都需要理解和使用Wireshark,本书涵盖描述、屏幕快照、实际案例研究、复习题(附答案)、动手实践以及几十个网络追踪(联网获取)。
·《Hacking Exposed》,第7版,Stuart McClure等著(McGraw-Hill Osborne Media,2012;768页)。在攻击与防御IT类的书中,《Hacking Exposed》保持着单册销量最佳的记录。感谢它新颖的介绍方法:①介绍一种技术;②破坏方法;③修复方法。
对这些书中的核心概念感到满意的读者或许想考虑下列书籍来更深入地理解:
·《Network Forensics:Tracking Hackers through Cyberspace》,Sherri Davidoff和Jonathan Ham著(Addison-Wesley,2012;592页)。《Network Forensics》采取以证据为中心的方法,使用网络流量(有线和无线的)、网络设备(IDS/IPS、交换机、路由器、防火墙和Web代理)、计算机(系统日志)和应用程序来调查事件。
·《Metasploit:The Penetration Tester’s Guide》,David Kennedy、Jim O’Gorman、Devon Kearns和Mati Aharoni著(No Starch Press,2011;328页)。Metasploit是一个利用目标应用程序和系统的开源平台,本书说明了如何有效地使用它。关于软件和协议的声明
本书中的例子都是以SO(Security Onion,安全洋葱)发行版(http://securityonion.blogspot.com/)中集成的软件为依托。Doug Burks创建了SO,这可以使管理员和分析人员使用类似Snort、Suricata、Bro、Sguil、Squert、Snorby、Xplico以及NetworkMiner这样的工具执行NSM更容易一些。SO是免费的,可通过可引导的Xubuntu ISO映像或者通过向你喜爱的Ubuntu添加SO Personal Package Archive(PPA)并安装。尽管FreeBSD仍然是一个强大的操作系统,然而Doug为SO所做的工作,连同Scott Runnels的贡献,使得Ubuntu Linux分支成为我的NSM工具的首选。
我主要使用在SO中集成的软件,而且本书中的例子均使用开源工具来演示攻击和防御,而不是商业工具。尽管商业工具提供了许多有益的特征、付费支持以及推卸责任给开发商的可能,但我还是建议读者考虑首先使用开源工具来看看它们的功能。毕竟,几乎很少有组织为购置商业软件提供大量的预算来启动NSM行动。
本书主要关注IPv4流量。一些用SO打包的工具支持IPv6,但有一些则不支持。当IPv6在生产网络中的应用变得更加广泛时,我期望SO中更多的工具可集成IPv6能力。因此,本书的未来版本或许会讨论IPv6。本书内容
本书由下列部分和章节组成。
第一部分——介绍NSM及如何放置传感器。
第1章 解释了为什么NSM会奏效,以获得在环境中部署NSM的必要性支持。
第2章 论述了围绕从物理访问到网络流量带来的挑战和解决方案。
第二部分——主要讨论了如何在硬件上有效安装SO并进行配置。
第3章 介绍了SO并说明了如何以较低的成本或零成本在备用硬件上安装软件以具备基本的NSM能力。
第4章 扩展了第3章的内容,进一步描述了如何安装分布式SO系统。
第5章 讨论了顺利安装SO所进行的维护活动。
第三部分——主要讨论了SO中的关键软件及如何使用这些应用。
第6章 解释了SO中的Tcpdump、Tshark、Dumpcap及Argus工具的关键特征。
第7章 补充介绍了NSM工具链中基于GUI的软件,涵盖Wireshark、Xplico和Network-Miner。
第8章 说明了如Sguil、Squert、Snorby及ELSA这样的NSM套件如何启动检测和响应流程。
第四部分——讨论了如何使用NSM程序和数据检测及响应入侵。
第9章 分享了笔者创建和领导全球计算机事件响应团队(Global Computer Incident Response Team,CIRT)的经验。
第10章 给出第一个NSM案例研究,你将会学到如何应用NSM原理识别和验证连接到因特网的应用程序遭受到的攻击。
第11章 给出第二个NSM案例研究,本章提供了一个因客户端攻击而遭受侵害的用户案例。
第12章 用所讲过的工具和技术来扩展SO的能力。
第13章 讲解如何克服两种挑战来执行NSM。
结论 提供了一些关于未来NSM的思想,尤其考虑到了云环境。
附录包含了SO开发人员Doug Burks关于核心SO配置文件和控制脚本的信息。致谢
首先,必须感谢我可爱的妻子Amy,感谢她对我工作的支持,包括写作文章、博客及其他在我们结婚之前就已开始创作的作品。自从在2004年年中出版了我的第一本书以来,我们有了两个可爱的女儿。Elise和Vivian激发我启动这项计划,因为你们三个人,我每天都感谢上帝。我的父母和姐妹也一直在支持我,而且我还要感激Michael Macaris(我的第一任功夫导师)向我浇灌的智慧之水。
除了在我第一本书中感谢过的NSM专家以外,我还必须补充感谢通用电气计算机事件响应团队(General Electric Computer Incident Response Team,GE-CIRT)成员,他们陪同我从2007年到2011年走过难以置信的安全之旅。我们拥有世界上最好的NSM实践(operation)。Bamm Visscher、David Bianco、Ken Bradley、Tyler Hudak、Tim Crothers、Aaron Wade、Sandy Selby、Brad Nottle以及30多位其他GE-CIRT成员,与你们共事令我非常快乐。还感谢Grady Summers——我们当时的首席信息安全官(Chief Information Security Officer),感谢他创建了我们的团队,还感谢Jennifer Ayers和Maurice Hampton,感谢他们使我们具备了唐·吉诃德式的想象力。
我要感谢Mandiant(曼迪昂特)的同事的支持,包括首席执行官Kevin Mandia和主席Travis Reese,他们早在2011年就雇用了我,但是首次对我展示信任分别是在2002年的Foundstone和2004年的ManTech。感谢曼迪昂特的销售团队和我们的合作伙伴,因为他们为我们提供了一个向世界分享信息的平台和机会。感谢在撰写此书时防护曼迪昂特自身安全的那些坚强灵魂——Doug Burks、Dani Jackson、Derek Coulson以及Scott Runnels,赞赏你们的奉献、专业水准和出色的职业道德。特别感谢Doug Burks和Scott Runnels,感谢他们对SO项目的辛勤工作,这个项目把强大的NSM工具带到了想要试用它们的任何人身边。我还要感谢SO中的所有开源软件开发人员的辛勤努力:你们的帮助使我们所有的网络更加安全。
感谢那些通过对话、新颖的项目以及合作方式质疑我对NSM理解的人们,他们包括Doug Steelman、Jason Meller、Dustin Webber和Seth Hall。那些自2003年阅读我博客(http://taosecurity.blogspot.com/)或者自2008年阅读我推特动态的人鼓励我进行创作。也感谢Black Hat(黑帽大会)的安全专业人士,我自2002年就开始随他们一起授课:前领导人Jeff Moss和Ping Look以及现领导人Trey Ford。还需要特别地提及Steve Andres和Joe Klein,无论何时,当我的学生数量变得太多而难以独自应对时,他们都会帮助我授课。
最后,感谢帮助我创作本书的令人惊讶的团队。首先是来自No Starch出版社的创始人Bill Pollock、产品经理Serena Yang以及宣传人员Jessica Miller。Marilyn Smith和Julianne Jigour编辑了本书,Tina Salameh绘制了优美的封面。Susan Glinert Stevens是排版师,Ward Webber对本书进行了校对。技术编辑David Bianco、Doug Burks及Brad Shoop提供了无与伦比的评论,Brad的妻子Renee Shoop志愿进行了另一个层面的审阅。Doug Burks、Scott Runnels、Martin Holste和Brad Shoop也从文字编辑方面为本书提供了有价值的借鉴。最后同样重要的是,Todd Heberlein为本书作序。感谢Todd开发了网络安全监控软件,这款软件使NSM概念在20世纪90年代早期就进入了人们的生活。[1] SearchSecurity webcast,December 4,2002(slides archived at http://www.taosecurity.com/bijtlic visscher techtarget webcast 4 dec 02.ppt)。第一部分 准备开始
·第1章 网络安全监控基本原理
·第2章 收集网络流量:访问、存储和管理第1章 网络安全监控基本原理
本章介绍了网络安全监控(Network Security Monitoring,NSM)的原理,即收集、分析并增强预警以检测与响应入侵的技术。NSM是一种在你的网络上发现入侵者,并在他们危害你的企业之前对其采取行动的方法。
1988年Todd Heberlein开发了NSM(Network Security Monitor),这使得NSM开始成为一个非正式学科。NSM是第一个使用网络流量作为产生警报的主要数据源的入侵检测系统,而且空军计算机紧急响应小组(Air Force Computer Emergency Response Team,AFCERT)是第一个遵循NSM原理的组织。
1993年,AFCERT与Heberlein合作将Network Security Monitor的一个版本作为自动化安全事件评估(Automated Security Incident Measurement,ASIM)系统进行部署。1998年我加入了AFCERT,我在那里与事件处理人员Bamm Visscher一起为2002年末SearchSecurity的网络直播整理了NSM的定义。作为一个案例研究,我在《黑客大曝光》(第四版)(Hacking Exposed,Fourth Edition)[1]中以书的形式最先发布了这一定义。自那时起,我的目标已是倡导将NSM作为一个战略和战术行动,以在入侵者使你的组织成为明天报纸的头条之前终结他们。
本书的关键在于向读者提供技能、工具和过程,至少可以开始发现对手的旅程。我们必须认识到,应急响应从广义上讲应当是一个持续的事务过程,而非临时的、间歇的、以信息技术(information technology,IT)为中心的活动。对于检测、响应以及控制入侵者的问题,虽然NSM不是唯一或者甚至不是最广泛的解决方法,但它是从零防御发展到具备一定防御能力的最好方法。构建初始操作能力可以为组织的入侵响应者提供动力,证明公司能够发现入侵者并能够采取措施破坏他们的任务。[1] Stuart McClure,Joel Scambray和George Kurtz,《黑客大曝光:网络安全机密与解决方案(第4版)》(McGraw-Hill Osborne Media)。1.1 NSM简介
为应对数字威胁,一些有安全意识的组织建立了计算机事件响应小组(Computer Incident Response Team,CIRT)。这些单位可能由独立的个人、小组或许多安全专业人士组成。如果你的组织中没有人负责处理计算机入侵,在不久的将来,你将很有可能遭受破坏。不管你的组织规模有多大,投资至少一位安全专业人士完全抵得上你将支付的薪水。
本书假定你的组织至少有由一人组成的CIRT,他有充分的积极性和资源以对你企业中的入侵者采取行动。如果你是负责组织安全的唯一人选,恭喜!你就是正式的CIRT。谢天谢地,如果你在寻找一种代价不高或者费时较少且能为入侵者制造困难的方法,那么NSM无疑是一种起步的强有力方法。
当CIRT使用NSM原理进行操作时,他们将受益于以下能力:
·CIRT收集大量源于网络的数据,很可能超过由传统安全系统收集的数据种类。
·CIRT分析这些数据以发现被攻陷的资产(例如笔记本电脑、个人计算机、服务器等),然后告知资产所有者。
·CIRT与计算设备的所有者合作以控制和挫败对手。
·CIRT与计算机所有者使用NSM数据来进行危害评估,评估事件的损失和起因。
考虑一下NSM在企业安全进程中的角色。例如,图1-1展示了各安全能力彼此间的差异,但不必展示它们如何与入侵者的过程相抗衡。图1-1 企业安全周期1.1.1 NSM阻止入侵吗
NSM并不涉及阻止入侵,因为阻止终将失败。这个哲理的另一个版本是“安全漏洞不可避免”。实际上,任何网络化组织都可能遭受不定时发生的或持续不断的危害。(你自己的经历可以很好地证实这个来之不易的格言。)
但是如果NSM不阻止对手,还有什么意义呢?那就是:改变你看待入侵的方式,防御者终将挫败入侵者。换句话说,坚定的对手不可避免地会破坏你的防御,但是他们可能无法实现他们的目标。[1]
时间是这种策略中的关键因素,因为入侵者很少能在几分钟甚至几小时的过程中执行他们的整个任务。实际上,最狡猾的入侵者力图在目标网络中获得持久性胜利,即一次驻留几个月甚至几年。更何况几乎没有高级的入侵者能花费几分钟、几小时甚至几天就达成他们的目标。关键在于从最初未授权访问到最终任务完成的时间窗,它在入侵者能够完成他们来执行的任务之前,这种时间窗给了防御者发现、响应和控制入侵者的机会。
试想,如果入侵者可以获得对某个组织中进行计算机未授权的访问,但是在还未取得他们需要的数据之前就被防御者发现了,那么他们真正达到了什么目的呢?
我希望你因这样的想法而激动,是的,对手能够攻陷系统,但是如果CIRT在入侵者完成他们的任务之前发现、响应并控制入侵者,CIRT就能“获胜”。但如果你能发现入侵,为什么不能阻止它呢?
简单的答案是系统和旨在保护我们的程序并不完美。保护机制能阻止一些恶意活动,但是随着对手采取更加复杂的策略,组织进行自身防御就愈加困难了。团队能够挫败或抵抗入侵,但是时间和认知经常成为限制因素。时间的重要性:案例学习
现实世界的一个例子说明了在防御入侵者时时间的重要性。2012年11月,美国南卡罗来纳州的地方长官发布了公开版的[2]Mandiant事件响应报告。Mandiant是一家安全公司,它专门经营事件检测和响应的服务及软件。地方长官雇用Mandiant帮助南卡罗来纳州处理这方面的情况。2012年早些时候,一名攻击者攻陷了该州税务局(Department of Revenue,DoR)运营的数据库。上述报告提供了这次事件的细节,以下的缩略时间表有助于强调时间的重要性。这个例子只基于公开的Mandiant报告中的细节。
·2012年8月13日,入侵者向多名DoR雇员发送恶意(钓鱼)电子邮件消息。至少一名雇员点击了消息中的链接,不知不觉中执行了恶意软件,从而在此过程中被攻陷。有效的证据表明,恶意软件窃取了用户的用户名和口令。
·2012年8月27日,攻击者使用窃取的DoR用户凭证登入Citrix远程访问服务。攻击者使用Citrxi门户登录进入用户的工作站,然后有效利用用户的访问权来访问其他DoR系统和数据库。
·2012年8月29日~9月11日,攻击者与多种DoR系统交互,包括域控制器、Web服务器以及用户系统。他获取了所有Windows用户账户使用的口令,并在很多系统上安装了恶意软件。至关重要的是他设法访问到存储DoR支付费用信息的服务器。
注意自2012年8月13日通过钓鱼电子邮件消息进行最初攻陷后的四周。入侵者访问了多个系统,安装了恶意软件,并对其他目标进行了侦察,但是迄今为止尚未窃取任何数据。时间表继续:
·2012年9月12日,攻击者将数据库备份文件复制到一个过程[3](staging)目录。
·2012年9月13日和14日,攻击者将数据库备份文件压缩到(总计15个中的)14个加密的7-Zip档案文件中。然后,攻击者将这些7-Zip档案文件从数据库服务器转移到另一台服务器,并将数据发送到因特网上的系统。最终,攻击者删除备份文件和7-Zip档案文件。(Mandiant并未报告入侵者将文件从过程服务器复制到因特网所需的时间量。)
从9月12日到14日,入侵者完成了他的任务。在花费一天时间为窃取数据做准备之后,入侵者用接下来的两天时间转移数据。
·2012年9月15日,攻击者使用被攻陷的账户与10个系统交互并进行侦察。
·2012年8月16日~10月16日,并没有攻击者活动的迹象,但是在2012年10月10日这一天,执法机构用三个人中已遭窃的个人验证信息(Personally Identifiable Information,PII)这一证据与DoR进行了联系。DoR对数据进行了检查并判定它已从其数据库中被窃取。在2012年10月12日,DoR联系Mandiant以寻求事件响应援助。
在入侵者窃取数据,然后州相关人员从第三方得知并雇用一个专业的事件响应团队之后,大约四周的时间已经过去。然而,故事还没有结束。
·2012年10月17日,攻击者使用2012年9月1日安装的后门检查到服务器的连接,没有额外活动的迹象。
·2012年10月19日和20日,DoR试图基于Mandiant的建议为攻击进行补救。补救的目标是清除攻击者的访问,并检测任何新的攻陷迹象。
·2012年10月21日~11月20日,补救之后没有恶意的活动迹象。DoR发布了Mandiant关于此次事件的报告。
Mandiant顾问、政府工作人员以及执法机构最终能够控制入侵者,图1-2概述了此次事件。
从这个案例研究中汲取的主要思想在于最初的入侵并不是安全过程的结束;它只是开始。如果DoR在这次攻击前4周内的任何时间能够控制攻击者,就意味着攻击者的失败。尽管DoR失去了对多个系统的控制,但他阻止了对个人信息的盗窃,在此过程中至少为政府挽救[4]了1200万美元。
很容易将一个独立事件作为一个数据点而不予理会,但是最近的[5]统计数据证实了案例研究的关键要素。举例来说,从入侵开始到事件响应的中值时间超过240天;也就是说,大部分情况下,受害者在有人注意到之前保持被攻陷的状态很长时间。在与Mandiant联系寻求帮助的组织中,只有1/3的组织自己发现了入侵。图1-2 编辑后的美国南卡罗来纳州税务局事件的时间轴1.1.2 NSM和持续监控的区别
持续监控(Continuous Monitoring,CM)在美国联邦政府圈子中是一个热门话题。安全专业人士常常混淆CM和NSM。他们认为如果他们的组织实行了CM,NSM就是不必要的。
不幸的是,CM几乎与NSM没有任何关系,甚至与试图检测和响应入侵无关。NSM以威胁为中心(threat-centric),这意味着对手是NSM操作的焦点。CM以脆弱性为中心(vulnerability-centric),它重点关注配置和软件缺陷。
美国国土安全部(Department of Homeland Security,DHS)和国家标准技术研究院(National Institute of Standards and Technology,NIST)是负责在联邦政府各处促进CM的两个机构。他们被CM触动,而且将其视为对认证和认可(Certification and Accreditation,C&A)活动的一种改进,C&A大约每三年对系统配置进行一次审计。对于CM的倡导者而言,“持续”意味着更频繁地检查系统配置,通常至少每月一次,相对于以前的方法,这是一个巨大的进步。“监控”部分意味着确定系统是否服从控制,即确定系统较标准偏离的程度。
虽然这些是值得赞赏的目标,但CM应当被看作是对NSM的补充,而不是NSM的替代品或NSM的变体。CM能够帮助你提供更好的数字防护,但它绝对是不够的。
考虑CM和NSM实现方式的差异:
·CM操作力图找到组织的计算机,确定脆弱性,并且尽可能为那些漏洞打上补丁。
·NSM操作旨在检测对手,响应他们的活动,并在他们能够完成任务前控制他们。注意 要了解更多关于CM的细节,请访问NIST的网站(http:www.nist.gov/)。你会发现有益的资料,譬如2012年1月24日发表的“NIST Publishes Draft Implementation Guidance for Continuously Monitoring an Organization’s IT System Security”一文(http://www.nist.gov/itl/csd/monitoring-012412.cfm)。我还在TaoSecurity博客上就此话题发表了几篇博文(http://taosecurity.blogspot.com/);例如,发表于2009年11月23日的《Control‘Monitoring’is Not Threat Monitoring》(http://taosecurity.blogspot.com/2009/11/control-monitoring-is-not-threat.html)。1.1.3 NSM与其他方法相比如何呢
如果你正在阅读本书,我怀疑你运营的网络根本没有应用任何安全措施。你可能想知道自己的防火墙、入侵保护系统(Intrusion Prevention System,IPS)、反病毒(antivirus,AV)软件、白名单、数据泄露/损失保护/预防(DLP)系统、数字权限管理(Digital Rights Management,DRM)系统如何运作以试图阻止入侵者。这么大量的安全措施是如何保护你免受攻击者攻击的呢?
这些平台中的每一种都是阻塞、过滤或拒绝机制。它们的职责在于即使是在入侵生命周期的不同阶段,也要尽量识别恶意活动并阻止其发生。图1-3显示了在入侵者试图访问并从企业系统窃取敏感信息的情况下,每种方法可能的协作方式。图1-3 阻止、过滤及拒绝机制
这些工具针对不同类型的攻击者有不同的成功率。通常,尽管很多组织只部署这些技术中的一部分,但每种工具都在企业中扮演某一种角色,它们共同的目标是控制企业中发生的事件。当配置得当时,它们不需要人工交互就能够运行。它们只是工作。
与这些工具不同,NSM不是阻塞、过滤或拒绝技术。它是一种关注可见性(visibility)的战略而非控制。用户期望网络安全,而且他们期望其安全团队留意安全控制何时失效。不幸的是,失效的安全工具通常不报告它们自身的弱点或缺陷。NSM是一种可以使安全控制失效更“显而易见”的方法。1.1.4 NSM为什么有效
作为一个系统(意味着基于战略和战术的操作)NSM赋予了我们检测、响应及控制入侵者的能力。然而,入侵者能够规避阻塞、过滤和拒绝恶意活动的控制措施。究竟是什么技术使NSM如此特殊?
为理解这个悖论,请从防御者的视角出发。网络运营者必须实现完美防御以阻止入侵者进入。如果入侵者发现并利用系统中的脆弱性,企业就面临着事件的发生。当一只守卫数百只羊的牧羊犬面对一群狼时,至少有一些羊将看不到第二天。对手“胜利”。
现在从入侵者的视角出发。假定对手不是针对从因特网可访问的脆弱数据库入手,追求快击快退的入侵者。更确切地说,他想攻陷网络,建立持久入侵机制,可以在不被发现的情况下而不受约束地随意收集信息。这样的入侵者就像隐藏在一群羊中的狼一样,希望羊群发现不了它,日复一日,周复一周,以此类推。
对于赋予可见性优先权的组织而言(它由能够利用那种可见性的人员操纵)可能对持久性的对手非常不利。但如果利用了恰当类型的数据、工具或技巧,那么对手最终会失败。只要CIRT能够在入侵者完成其任务之前瓦解他,企业就赢了。1.1.5 如何配置NSM
NSM从网络开始,如果你运行一个网络,你可以使用NSM来防护它。虽然NSM的一些变体需要在计算机上安装软件代理,但本书重点在于收集和解析网络流量。为实现这些活动,你需要了解自己的网络架构,并对哪里最需要可见性做出决策。
考虑一个简单的NSM部署案例。在网络支持团队的帮助下,CIRT决定实现NSM操作,以防护组织中连接到因特网的办公室。CIRT和网络团队协作,选择合适的位置以实现网络可见性。CIRT要求工程师配置一个专用网络交换机,导出穿过交换机的流量副本(见图1-4)。(在图1-4中,DMZ在概念上是指一个在因特网和内部网络“之间”的网络,它是一个“非军事化区”,这里允许外部对系统进行访问,但是访问受到严格控制)。然后,CIRT部署一个专用服务器作为NSM平台,将网络交换机用一条电缆连接到新的NSM服务器,并配置软件以分析交换机导出的网络流量。第2章解释了如何选择监控位置,因此如果你想知道怎样将这个概念应用到自己的组织,敬请继续关注。图1-4 简单网络图及NSM平台
安装窃听器
网络和安全专业人员扩大可见性的一个更好的方法是安装专用硬件以访问网络流量,这种硬件称为窃听器(tap)。例如,图1-5展示了我实验室中的几个Net Optics窃听器。上面的3个设备是网络窃听器,但只有左上角的硬件传输流量。其他两个窃听器处于闲置状态。窃听器下面的设备是Cisco交换机。图1-5 网络窃听器和交换机
Net Optics(http://www.netoptics.com)和其他公司提供了多种多样的窃听器与相关产品,以满足很多不同类型组织的需求。1.1.6 NSM何时无效
不管在网络中放置多少硬件,如果你观察不到你关心的流量,NSM就无法奏效。例如,因为源自无线节点的流量可能被加密,这致使NSM不太有效,所以大多数组织不在企业的无线流量(譬如802.11无线局域网络,或称WLAN)上实施NSM。
这意味着当笔记本电脑、平板电脑和其他通过Wi-Fi连接的设备直接互相通信时,它们不会受制于NSM。CIRT将放任无线网段而转入有线网段观察网络流量。例如,当一个平板电脑用户使用Wi-Fi连接访问Web页面时,NSM操作将会看到这种活动。然而,大部分点对点活动没有在网络层被注意到。
类似的是,CIRT通常不对移动电话流量实施NSM,因为对大多数组织而言,观察手机活动在技术和法律许可的范围之外。然而,与无线系统一样,当智能电话和支持移动电话功能的平板电脑与WLAN有联系时,CIRT将会观察到它们的活动。
在云或宿主环境中,因为服务提供者拥有基础设施,所以NSM需要面对独特的挑战。虽然服务提供者可能为NSM部署软件和硬件,但服务提供者通常将收集到的数据用于自身。这种情况对ISP和电信提供商也是一样的。1.1.7 NSM合法吗
对于NSM是否合法这个问题没有简单的答案,你应该向律师核实。无论如何,在没有获得合法授权通知时不要开始任何NSM行动。
在美国,网络和安全团队受联邦和州法律管制,譬如美国法典第18篇2511节所谓的“窃听法”。这包括一个关键条款,它出现在2511(2)(a)(i)中,表明了对网络监控的许可:
本章规定,接线总机的操作者,或者为无线或有线通信传输提供设备的有线或者无线通信服务提供商的官员、工作人员或者机构,当出于任何提供服务所必需的或者保护服务提供商的权利或财产的目的而拦截、公开或者在工作期间使用此类通信,不构成犯罪行为,但是向公众提供有线通信服务的提供商不应将服务用于出于机械或服务质[6]量控制检查之外的观察或者随意监视的目的。
似乎许可监控的例外就是成为通话当事人或者获得准许。它们出现于2511节(2)(d):
本章规定中,如果个人是通信的当事人,或者通信的当事人之一已事先同意拦截行为,则个人不在法律许可的前提下拦截无线电、口头或者电子通信,不构成犯罪行为,除非这些通信出于进行违反美国[7]宪法或者任何州的法律的犯罪或者侵权行为的目的。
证明经“当事人同意”的例外情况是合法的要比人们的预期更加困难,但是它们比“必要事件”这个例外更有力量。
作为州议会立法的一个例子,考虑一下弗吉尼亚州法典。标题卷19.2的刑事诉讼程序(Criminal Procedure)包含第6章,有线、电子或口头通信窃听(Interception of Wire,Electronic or Oral Communications)。本章的19.2-62节使用非常类似于联邦法规的语言风格,它看似允许监控:
在本章规定,对于任何人……(f)如果他是电子通信服务的提供商,为保护该提供商以及另一个为有线或电子通信实现而提供服务的提供商或服务用户免受上述服务的欺诈性使用、非法使用或滥用,而对有线或电子通信开始或完成的事实进行记录,其做法将不是犯罪行
[8]为。注意 如果这些法律看起来很费力,从NSM的角度来看,欧盟(European Union,EU)的处境往往更糟。虽然保护网络用户的权益不仅重要而且恰当,但是EU的法律看似给安全团队放置了一个沉重的负担。以我个人的经验看,CIRT能够在EU中部署NSM作业,但是需要与劳资委员会和隐私团队进行漫长而复杂的讨论。在高度注重隐私的领域内部署计划需要延迟6~12个月。1.1.8 在NSM作业期间如何保护用户隐私
鉴于保护用户隐私的需要,管理NSM作业很重要,以便它们聚焦对手而非授权用户的活动。基于这个原因,你应该将CIRT的工作与取证专家的工作区分开来:
·CIRT应当进行分析、监视恶意活动,并保护授权用户和组织。
·取证专家应当进行调查、观察欺诈,并监控授权用户的滥用行为以保护组织。
试读结束[说明:试读内容隐藏了图片]