基於OSSIM系統的APT***檢測實踐

0.背景

不少網絡安全防護體系比較弱的計算機都遭受過APT，其中不乏一些重要領域的計算機，雖然一些被的目標早已安裝了防病毒或者其餘安全檢測軟件，但依然遭受APT的持續威脅，這種威脅可能持續一段很長時間不被發現。爲了解決這些這種APT問題，本人曾經在計算機節點、接入層交換機、服務器、核心交換機和網絡邊緣的安全設備上提出了多種解決方案，可收效甚微，關鍵在於缺少一種高效的檢測技術，下文中提出的一種OSSIM平臺（開源SIEM）的APT檢測方法，經過這種解決方案可以實時檢測APT***，爲安全人員迅速作出響應，提高網絡安全防禦能力。

1. APT的顯著特徵

APT全稱高級持續性威脅，經過長期潛伏找到有價值的特定目標，利用網絡中存在的應用程序漏洞，發起持續性網絡，帶有很強的隱蔽性，不易發現。APT有如下3個特色：

隱蔽性：者一般潛伏在目標網絡中進行數月甚至更長時間，收集用戶信息，掌握目標的狀況。
目標專注：在完全掌握目標的精確信息後，尋找系統或者軟件的漏洞，構造專門代碼，對鎖定的目標發送惡意連接、郵件等程序，時只針對一個目標，這一點和之前遇到的蠕蟲病毒不一樣。
持續性：在不被察覺的狀況下，者會不斷嘗試各類手段，甚至被阻斷後，還會採用全新的方式再次發起。

**2. APT*的主要階段

典型的APT***主要包括下列5個階段：

情報收集：者有針對性地蒐集特定組織的網絡系統和人員信息。
突破：者在收集了足夠的情報信息以後，開始採用惡意代碼、漏洞等方式組織目標的終端設備。
控制通道：者在控制終端設備以後，會建立從被控終端到控制服務器之間的命令控制通道，以得到進一步指令，在維護該通道正常訪問的基礎上，還要不斷提高訪問權限，以獲取更大的系統操做權限。
內部：者會優先攻陷普通PC（防護體系最差），做爲跳板，利用口令竊聽和漏洞等方法，在系統內部進行橫向，從而獲取組織內部其它包含重要資產的服務器的控制權限。
數據收集：者在過程當中，會不斷將蒐集到的各服務器上的重要數據資產，進行壓縮、加密和打包，而後經過控制通道將數據回傳。

**3.APT分層*防護策略

者一般會針對特定目標建立一系列的鏈，即便裝有Proxy Server、Firewalls、×××及防病毒軟件等，也沒法獨自抵禦APT。有效的檢測和防護APT的方式是根據網絡層級中***的核心技術環節進行持續監控，並創建一一對應的抑制點。

要監控APT，首先根據APT分層模型，由於任何APT都是基於對OSI協議棧上層或底層的，並且會在棧上多個層次尋找漏洞來實現的最終目的。所以，APT檢測防護體系須要嚴格遵循縱深防護的安全理念，按照網絡安全的分層方法，採起措施在每一層中檢測威脅，對其作出反應並消除威脅，如圖1所示。

圖1中分別從物理層、網絡層、應用層和數據層四個方面對APT***進行檢測和防護，以部署防禦硬件和軟件探針的方式，在網絡結構的不一樣層次監控和生成安全事件，推送至OSSIM數據分析引擎進行存儲檢索和關聯分析。

圖1 檢測分層

4.檢測與防護技術

在圖1所示中專門針對物理層、網絡層、應用層以及數據層進行檢測與防護說明。

物理層，在網絡及終端設備上安裝防病毒軟件，用於掃描流經網絡中各節點上的全部網絡數據包。
網絡層，在網絡邊界處部署網絡防火牆和防護系統，例如在物理網絡層部署透明防火牆，根據攔截規則和默認經過規則，判斷全部的數據包以決定數據包是否容許經過，若是這個數據包容許經過，就被轉發到其餘 網絡接口，能夠限制內部用戶訪問內部的資源。
應用層，實現Web應用防禦、僵屍網絡檢測、沙箱檢測等高級防護功能，以保障應用服務的安全運行。
數據層，對數據庫的用戶操做內部數據的流轉進行審計。
經過對上述4個網絡層次的安全監控，將主機及網絡活動、漏洞信息、資產信息、遠程訪問等信息集中採集，併發送至OSSIM平臺進行分析，不但能對總體網絡安全態勢進行監控，並且還能發現網絡中更多未知的安全威脅，從而有效抵禦APT。 OSSIM中經過動態數據建模技術，將異構數據經過一個關聯數據模型將其集成在一塊兒，造成關聯分析平臺。

OSSIM平臺中還使用了包括深度學習等技術，須要經過累積經驗進行持續監控、不斷適應和學習。所以，還應該考慮基於神經網絡，分別從可擴展的檢測器、主機分類監控、***源監控、網絡流量監控等方面，增強對企業內部數據流轉的監控，從而在正常的網絡流量中尋找異常行爲。

5.複雜網絡環境部署OSSIM

OSSIM的傳感器安放位置，相當重要。不少人曾經都安裝過sniffer嗅探器，在大型網絡中這種作法並不像將主機接入網絡那樣簡單。做爲網絡管理人員，應該清楚所管理網絡環境的具體狀況。如圖 所示的就是一個某企業的網絡拓撲結構。在交換式網絡中採用端口鏡像是捕獲流量最簡單的方法，但所使用的交換機必須支持端口鏡像（Port Mirroring）功能，以及有一個空閒端口，可插入嗅探器。大多數中檔以上的交換機都支持端口鏡像功能，但支持程度不一樣。

圖2 交換式網絡中的Server/Sensor部署

• 注意：千兆網絡環境中，在三層交換機上監控多個VLAN的流量有就有些吃力，交換機設置端口鏡像後一樣會是CPU佔用率上升。具統計，當流量超過800MB/s時，在OSSIM分析數據包時會出現響應遲緩，伴隨丟包現象出現，並且準確性迅速降低。

6.在特殊場景的應用

在一些特殊場合爲了鑑別各類IDS的特性會同時使用多套IDS系統，好比安裝OSSIM而後同時使用HP-Arcsight分析網絡數據包（或IBM QRadar），這時傳統端口鏡像（SPAN）的方法沒法知足。也就是說遇到須要將一個監測數據流傳送給多臺監測設備的狀況採用SPAN沒法知足。凡是須要將多個監測數據流傳送到單臺監測設備的狀況SPAN一樣沒法知足。
• 注意：在網絡核心設備上開啓SPAN需慎重，若是CPU利用率長期超過20%,則不建議開啓，以避免影響網絡性能。
對於這兩種狀況咱們能夠採用網絡分流器的設備解決，它是一個獨立的硬件，支持千兆甚至是萬兆網絡環境（好比Gigamon的方案），並且它不會對已有網絡設備的負載帶來任何影響，這與端口鏡像等方式相比具備極大的優點,它的分流模式，是將被監控的UTP鏈路用TAP分流設備一分爲二，分流出來的數據接入採集接口，爲信息安全監控系統採集數據。

**7.利用OSSIM識別APT*****

許多遭受APT*的受害者所在單位擁有防火牆，防病毒系統，監控系統，但仍未能阻止威脅進入，這些系統未能感知到異常行爲，直到損失被曝光。安全團隊應考慮到當今複雜多變的網絡威脅環境，能夠假設其IT環境已被或間歇性遭受到不明來歷的**，這時咱們須要瞭解*的各個階段的詳細狀況，包括對持續的威脅見識以及快速的檢測。過去使用Cacti、Zabbix等工具，等到在系統中發現問題時已經到了完成階段，者早已得手，並消失的無影無蹤。要提升網絡的可視化、提升對網絡***的敏感性和處理高級威脅的速度，SIEM（安全信息和事件管理）是理想的平臺，適合於目前企業中大規模集中數據安全分析。做爲開源SIEM產品OSSIM具有了3個方面的能力：

（1）可視化-該技術獲知異構的IT環境中，所發生的一切信息須要多種數據源，包括網絡數據包捕獲，和完整會話的重建以及來自網絡設備、服務器、數據庫的日誌文件，須要將這些數據有效組織起來，經過圖形化方式展示給用戶，並且將各類視圖統一的整合到一個位置，如圖3所示。

圖3 OSSIM中展現的各種***報警
（2）可擴展--收集安全數據的平臺必須能在橫向和縱向進行擴展，以處理來自企業內部和外部的海量安全事件，深刻分析網絡流量的同時會產生大量pcap文件，這會使安全分析平臺的數據成倍增長，OSSIM經過分佈式多層存儲體系結構處理了密集型數據。

（3）可關聯分析-具備必定的智能分析是由於內置的關聯分析引擎的緣故。傳統計算機安全機制偏重於靜態的封閉的威脅防禦，因此只能被動應對安全威脅，每每是安全事件發生後才處理，面對**，在過程當中，檢測到掃描、注入、暴力破解和漏洞利用時OSSIM的關聯引擎從多數據源得到數據，經過抓包和多數據源收最大範圍和深度收集有效信息，好比在應用系統日誌中有相關登陸失敗等異常指標，進行主動安全分析，在事件發生階段就發出預警信息，如圖4~圖6所示，經過這些可視化的報警以便管理員實現快速響應。

圖4 發現網絡掃描行爲

圖5 鎖定可疑目標IP

圖6 發現惡意程序

8.小結
雖然使用OSSIM系統可對咱們瞭解發現APT有所幫助，在大型網絡中對於APT防控僅經過一兩套系統是不夠的，檢測和防護APT的研究工做須要長期、深刻了解網絡內部各個安全點之間的綜合信息交換，增強硬件及軟件的安全配置，增強相關安全人員的安全意識和技術培訓，對網絡流量及訪問行爲進行嚴格審計，制定更加詳細的應對方案，並確保全面防禦的高級預防和檢測。