入侵分析十誡

這些年來，筆者一直積極參與入侵檢測分析師的培訓和發展工做，同時還擔任了 SANS 信息安全課程《深刻入侵檢測》（編號503）的授課導師。筆者發現本身一直在不斷改變對有效入侵檢測的哲學認識。然而，不論該哲學如何演化，有些主題老是保持不變。

經過這些經歷，筆者創做了「入侵分析十誡」，這十誡所突出的核心主題不只是筆者想要灌輸給接受培訓的分析師的，也是但願在自身的入侵分析工做中能融會貫通的。這十誡不是命令大家作什麼，不過由於剛好有十條，因此取了「十誡」 這個還算切合的標題。入侵分析十誡可能不適合你或你所在公司的目標，或者不符合你的我的風格，可是它們對筆者的確用處匪淺！

一、分析師，分析師，分析師！

對分析師來講最重要的是深入認識到他們自身的重要性。分析師是安全防禦的第一道防線——他們在電腦前時刻關注着安全威脅的存在。分析師能阻擋攻擊，也能防止被攻擊後的狀況惡化。在大多數信息安全事件的開始，分析師會根據入侵檢測系統的告警給出解決提示；在事件的結尾，分析師會輸入新的簽名並基於已知安全事件的信息開發新的工具。從信息安全事件的開始到結束，分析師從始至終無處不在。好吧，也許是有點戲劇性，但入侵分析師的重要性是不可低估的。

二、除非是你本身建立的數據包，不然沒有絕對的安全。

假設是分析的前提，記住這點很是重要。你在將來作出的大多數決定將基於一個數據包或者一條日誌項，而後根據在研究中積累的經驗對其反覆斟酌。事實是，網絡數據流並非分析師生成的，所以咱們所作的每一個決定只是基於部分數據作出的假設。不過別擔憂，這沒有什麼不對的。問問你在化學界和物理界的同僚們，他們的絕大部分工做也都是在假設的基礎上開展的，然而他們也取得了巨大成功。重點是沒有什麼是絕對的。這個 IP 地址真的對應一個已知的合法主機麼？這個域名真的屬於 XYZ 公司嗎？這臺 DNS 服務器真的應該和那個數據庫服務器進行交互嗎？沒有什麼是絕對的，有的只是假設，正由於如此，請記住假設的東西是能夠改變的。老是懷疑本身，並保持警覺。

三、留意你從數據中抽取的信息是否準確。

分析師須要依賴數據來採起行動。這些數據可能來源於 PCAP 文件、IIS 日誌文件或者系統日誌文件。因爲你會花大量時間經過各類工具與這些數據進行交互，所以知曉這些工具如何和數據交互相當重要。你是否知道運行 Tcpdump 時若是不對參數另作規定，它將只能捕捉一個數據包中前 68 個字節的數據?是否知道 Wireshark 顯示 TCP 數據包中的序列號和應答號時默認顯示的是相對值而非真實值?工具是人開發的，然而有時候工具的「功能特徵」會模糊數據並阻礙正確的分析。剛剛舉例的兩個「功能特徵」實際上是很好用的，可是也應該對它們保持警覺，才能夠在須要時獲取全部的包數據，或查看真實的序列號和應答號。當咱們從事一份依賴數據且數據至上的工做時，必需要理解工具和數據是如何進行交互的。

四、兩我的的審視好過只有一人的審視。

做者配有編輯，警察配有搭檔，核武器庫裏總安排兩我的，這都是有緣由的。無論你多麼富有經驗或者表現得多好，你總會遺漏掉什麼。之因此須要兩我的是由於不一樣的人背景相異。筆者在政府部門工做，所以在檢查網絡流量時，第一件事就是查看其來源國和目的國。筆者曾和擁有系統管理背景的人共事，所以，他會在檢查網絡流量時最早查看端口號。筆者甚至和從事數值計算處理的人共事過，他就會先查看包的大小。這代表咱們的不一樣經歷塑造了差別化的策略。這意味着作數值處理的人能發現作系統管理員的人沒發現的信息，而爲政府部門工做的人能發現作數字處理的人沒有發現的信息。無論何時，有另我的來審視你面臨的問題老是一個不錯的主意。

五、不要邀請攻擊者共舞

這是我在最初啓動一臺 Snort（輕量級網絡入侵檢測系統）傳感器主機那天就深信不疑的事情。後來我在大師 Mike Poor 的 SANS 課程上聽到了他更爲精妙的表述——永遠不要邀請攻擊者共舞。對分析師來講，採用一些超出常規的手段來偵查惡意 IP 地址是件極具誘惑的事情。相信我，有不少次我都想對給我發送大量明顯刻意製做的 UDP 數據包的惡意 IP 進行端口掃描。每次有人試圖對筆者防禦的網絡進行 DoS 攻擊時，除了拿他們可憐的毫無戒備的 DSL 鏈接發泄憤怒以外別無他求。這裏的問題是，99% 的時候咱們都不知道面臨的是誰或者是什麼工具。雖然你可能看到他們的掃描活動，可是產生這些網絡流量的主機有可能被一個龐大組織甚至是另外一個國家的軍事部門操縱。即便一個簡單的 ping 命令都會讓攻擊者知道你發現了他們的存在，從而促使他們改變攻擊策略，切換源主機，甚至增強攻擊力度。你不知道你的對手是誰，亦不知他們的動機或具有怎樣的能力，因此在網絡防禦時永遠不要挑釁他們。

六、情境很重要！

網絡情境能夠完全改變你的監控和檢測能力。爲了有效防護，必須具有你所防禦的網絡的上下文。網絡圖、服務器列表及其做用、IP 地址的分配故障等等都會是你最好的夥伴。基本上，一切能夠記錄網絡資產、它們如何運做以及它們和其餘網絡資產如何關聯的文檔都會在處理異常事件時派上用場。也許以你在公司中的職位，沒法獲取這些信息，或者這些信息如今仍未整理出來，那麼你將會花很長時間讓同事下大力氣把這些文檔整理出來。雖然這會很困難，但仍然值得你的爭取和堅持。無論你作出的努力是硬着頭皮向首席信息官提出你的依據和要求，亦或只是請你的網絡工程師們喝一杯他們最愛的酒精飲料，你終將得到回報。

七、總的來講，數據包是合法的。

人生的終極爭論是人之初性本善仍是性本惡。對於數據包來講，這個爭論一樣存在。做爲分析師，你能夠認爲全部的數據包都是惡意的，也能夠認爲全部的數據包都是合法的。筆者注意到，大多數分析師在職業生涯的初期都抱着前一種觀點，而後很快就過渡到了後一種觀點。那是由於把網絡流量中的全部數據都當成潛在的根級別入侵危害來處理是根本不可行的。若是你那樣作，你會由於花了整整一天卻只處理了一個告警而被解僱，或者被你本身折騰得精疲力竭。有些事要說清楚，數據包有合法的有惡意的，但事實的真相是網絡流量中的絕大部分數據包都不是惡意的，所以在數據包被證明是惡意的以前，應當視做合法數據包來處理。

八、tcpdump 工具之於入侵分析猶如望遠鏡之於天文學

每當面試入門級以上的入侵分析師時，筆者都會讓他們描述下如何研究一個典型的入侵檢測系統告警。然而讓筆者感到沮喪的是這些人老是回答「我會使用 tcpdump、Wireshark Network Miner、 Netwitness、Arcsight、 Xeyes 等工具研究告警」，而不作進一步的具體解釋。雖然它們是進行入侵分析的工具和技術，可是入侵分析自己不是工具和技術，而是藝術。若是不是這樣的話，那麼在入侵分析的過程當中人的存在就不是必要的了。一個高效的分析師應該明白，即便使用這些工具是工做最重要的部分，但它們也只是拼圖中的一塊塊碎片。就像天文學家的望遠鏡只是其工具庫中幫助他發現行星圍繞太陽運轉原理的一個工具同樣，Wireshark 也只是分析師的工具庫中幫助他找出是什麼讓一個數據包繞過防火牆規則的一個工具。從技術開始，加上一些工具和軟件，統觀大局，留意細節，再結合你從過往經歷中獲取的經驗，你將創造出一套屬於本身的入侵分析哲學。至此，你纔將本身的分析上升到藝術的層面，從而使你極具價值，沒法被機器取代。

九、有時候，咱們會失敗。

無論你多麼努力阻止攻擊，總會出現你防禦的網絡被成功攻擊和入侵的狀況。在現代信息安全格局中，這是不可避免的，你能作的事情也頗有限。這些時候，分析師極可能由於攻擊事件而受到批評。所以，你須要爲防禦失敗的發生作好準備。成功入侵事件不會由於如何發生而被記住，但會由於如何被應對、宕機時長、丟失的信息量以及其最終形成了公司多少財產損失而被記住。你能給管理者什麼建議以保證此類事件再也不發生？你怎麼給本身的上司解釋此次入侵攻擊爲何沒被成功檢測？你使用的工具備什麼缺陷？在發生入侵事件以前，這些問題都是沒法獲得充分的解答。可是你如今絕對能夠開始考慮這些問題，並制定向關鍵人物回答以上問題的方案。你會措手不及，遭遇偷襲，但重要的是你不會表現出來並保持堅決嚴肅的姿態。這是決定你將得到晉升仍是被解僱的關鍵。

十、深度挖掘

到你光榮退休的那天，你須要表明榮譽的桂冠來證實你的功勳，而你的功勳應該是你盡職盡責並拼盡全力的事實。筆者在入侵分析方面的「座右銘」是「深度挖掘」。網絡防禦人員必須控制 65535 個端口，而攻擊者只需入侵一個就足夠了。網絡防禦人員必須保護一萬名用戶，而攻擊者只須要欺騙一個用戶就足夠了。網絡防禦人員必須檢查成百上千萬的數據包，而攻擊者只須要在一個數據包中隱藏好惡意數據就足夠了。你要怎麼樣作才能對數據有更敏銳的感知？你要鍛鍊什麼樣的能力，才能與攻擊者相抗衡？你有一種預感，事情並不像看到的那麼簡單，你要怎麼樣作才能深度挖掘？

原文連接：http://chrissanders.org/2011/01/the-10-commandments-of-intrusion-analysis/

現在，多樣化的攻擊手段層出不窮，傳統安全解決方案愈來愈難以應對網絡安全攻擊。OneRASP 實時應用自我保護技術,能夠爲軟件產品提供精準的實時保護，使其免受漏洞所累。想閱讀更多技術文章，請訪問 OneAPM 官方技術博客。

本文轉自 OneAPM 官方博客