隨著越來越多的嵌入式設備被添加到已經擁擠的網絡中,發現攻擊者變得越來越困難。在這篇博客中,我們將探討一些可用的技術,這些技術可以讓防御者在檢測攻擊者方面具有優勢,以及您作為系統設計者或實施者可以做些什么來幫助完成這些工作。我們將從查看典型的入侵檢測系統 (IDS) 開始,然后查看更復雜的安全信息事件管理 (SIEM) 系統,以及您作為設備開發人員如何幫助支持這些控制。
使用傳統入侵檢測系統進行日志記錄和警報
傳統的 IDS 試圖通過攻擊者的行為來發現他們。IDS 可能在網絡或主機上運行,??并將它看到的流量與它自己的簽名庫進行比較,以識別可能是更大攻擊的一部分的事件。在許多情況下,這些系統只能對它們自己看到的內容發出警報。根據其簽名和配置的質量,IDS 可能容易出現更高的誤報率,或與簽名匹配但不表示真正攻擊的事件。為您的網絡調整 IDS 是減少誤報數量的重要步驟。調整過程受簽名質量、簽名更新頻率、IDS 系統對其環境的了解程度以及 IDS 傳感器所在位置的影響。例如,在防火墻外部安裝網絡 IDS 傳感器會非常嘈雜,并且在檢測已成功滲透您的網絡的攻擊者時不一定有用。但是,在防火墻外部安裝網絡 IDS 傳感器可能會從 Internet 中獲取有趣的數據,或者有助于創建特定攻擊起源地的人口統計數據。
規避傳統入侵檢測系統的檢測
老練的攻擊者了解 IDS 的工作原理,并將構建試圖逃避檢測的攻擊。攻擊者可能使用的一種技術是使用合法訪問點簡單地訪問您的網絡。攻擊者使用來自毫無戒心的用戶的釣魚(竊取)用戶名和密碼登錄 VPN 集中器,在 IDS 系統看來可能是合法的。然而,雖然單個登錄事件可能不會觸發警報,但攻擊者采取的后續行動可能會被另一種類型的監控系統檢測到。因此,單獨的 IDS 通常不足以檢測所有類型的攻擊。成功的攻擊檢測需要共享來自各種日志和事件的良好信息,這些日志和事件可以關聯和過濾,以提供防御者可以調查的高質量警報。
以這兩個動作為例:
首先,在財務組工作的員工遠程登錄到網絡并分配了一個 IP 地址。
然后,幾分鐘后該 IP 地址訪問工程數據庫服務器。
單獨來看,這些事件可能看起來很正常。但是,將這些事件關聯在一起可能會引發一個問題,說明財務用戶為什么要訪問工程系統。將多個事件源與針對特定環境定制的強大分析和規則相結合,可以實現關聯??捎脭祿蕉?,可以創建的相關性就越強。
關聯引擎攝取的日志數據應來自各種系統和跨業務組。例如,用戶是否在其人力資源系統記錄被禁用后登錄到 IT 管理的 VPN 集中器?該答案可能需要來自 VPN 集中器的身份驗證日志以及 HR 系統數據查詢。再舉一個例子,將來自另一個國家的同一用戶遠程登錄后幾小時內發生的個人對建筑物的物理訪問關聯起來,可能需要房東和 IT 團隊之間的合作。
使用 SIEM 系統進行日志記錄和警報
SIEM 系統為關聯和事件警報提供平臺。SIEM 平臺提供強大的防御層,幫助防御者從日常噪音和活動中辨別出攻擊者留下的真實信號和線索。請記住,開箱即用的規則很少是足夠的,并且確定和構建用于構建關聯規則的正確用例需要時間和對網絡環境的深入了解。
您的設備必須生成適當的事件并與其他監控和 SIEM 系統共享這些日志以確保安全。大多數現代嵌入式設備都具有將事件日志轉發到遠程服務器的功能。為嵌入式設備提供支持的特定操作系統和固件可能有助于日志記錄,您可以使用自己的特定于應用程序的事件進行擴充。許多設備都支持 syslog,這是一種消息記錄標準。作為支持系統日志的設備的最終用戶,您通常能夠配置將任何事件轉發到哪里以及指定發送多少信息——例如,一個關鍵事件或只是一個警告。
在 SIEM 系統中管理事件
作為設備的設計者,您將擁有更多的控制權。您可以啟用應發送哪些事件以及如何格式化事件。在設計新的嵌入式設備時,請考慮您的設備將如何駐留在網絡上,以及它生成的事件如何增強現有的更廣泛的監控系統。問問自己,您可以將哪些事件和警報添加到您的設備以幫助防御者發現異常行為,即使它不在您的設備上。將您的設備配置為在您的設備上發生有趣的活動時記錄事件。這些活動可能包括用戶何時登錄、何時用戶提升其權限(例如sudo或啟用),當用戶編寫配置時,或當用戶重新啟動系統時。這些事件單獨來看可能并不重要,但與其他事件結合起來可能會證實一個更大的故事。通過提供此類信息,防御者可以使用您的設備活動以及其他數據來增強他們的檢測過程。
除了定義和記錄特定事件之外,請確保包含足夠的關于事件的元數據,以便對防御者有用。例如,用戶登錄事件可能帶有 TCP/IP 地址和時間戳,但在事件消息中包含其他數據(如用戶名、設備品牌和型號等)會更有幫助登錄是成功還是失敗。機器將讀取您的事件,而人們將使用商業智能工具和切片器來分析您的數據,因此創建易于解析的事件非常重要。
為了幫助運營中心將您的設備納入他們的系統,請務必清楚地記錄您將支持的事件的結構和性質。包括對事件及其模式的描述也會讓防御者了解您的設備如何運行以及他們在觀察其在網絡上的行為時應該期待什么。此外,記錄您的設備將使用哪些網絡協議以及它通常與哪些系統通信。此信息是描述您的設備將如何與其他系統通信的數據流圖的一部分。
結論
日志記錄和警報是基本工具,不僅可以檢測錯誤和創建維護票據,還可以通過將單個事件拼湊成一個更大的畫面來幫助防御者檢測攻擊者。使用聯網的嵌入式設備時,無論您的設備多么不重要,它仍然是網絡上的另一個節點。無論您的設備是攻擊者還是旁觀者的目標,它創建和記錄然后與其他安全系統共享的事件對于發現和阻止攻擊者都至關重要。
請參閱我的其他安全博客條目,包括通過基于主機和網絡的防火墻對嵌入式設備進行表面區域管理,以了解更多安全最佳實踐。
審核編輯:湯梓紅
-
IDS
+關注
關注
0文章
27瀏覽量
16154 -
嵌入式設備
+關注
關注
0文章
110瀏覽量
16955 -
日志
+關注
關注
0文章
138瀏覽量
10639
發布評論請先 登錄
相關推薦
評論