公有云內網威脅檢測系統
0x00、公有云內網威脅現狀
1.傳統公有云內網防禦手段
在公有云上針對於內網防護有自己的一套邏輯,VPC虛擬專用網路+ACL+安全組,可以很好的防止黑客的入侵。但是這些規則都是預設規則,沒有一個靈活的安全大腦去控制。針對於高階黑客入侵到雲VPC網路後,進一步橫向擴充套件,目前還沒有很好的解決方案,當然NGFW廠商正在推自己的微隔離產品。但是也沒有從根本上解決問題。
2. 基於攻擊混淆與欺騙技術的防禦手段
在黑客必經之路上構建陷阱,精準感知黑客攻擊行為,並且溯源入侵者,形成公有云內網威脅情報。交給使用者做應急響應。
0x01、方案設計
1.技術架構設計
(1)部署形式
首先和大家討論一下公有云企業級蜜罐系統部署形式,Docker、雲主機、雲物理機。個人認為,Docker是最佳的選擇,因為沒有租戶願意為安全基礎設施投資太多,雲主機和雲物理機都太重。
(2)蜜網基礎元件
如何確保惡意流量經過真實網路進入到我們構建的蜜網中呢?
·第一種方式:我們也沒高階的AI演算法直接判斷惡意流量,所以必須映象真實網路流量,在網路入口LB上設定流量匯入。
·第二種形式:同時配合在雲主機上安裝偽裝代理,可以更好誘匯入侵者進入到蜜網。
·第三種形式就是黑客入侵了真實的雲主機,在做網路掃描的時候掃描到例如弱口令的誘餌進入。
既然我們使用Docker做為蜜罐那麼Kubernetes就是最好的蜜網管理工具了。同時充分利用現有公有云基礎架構快速搭建蜜網環境。
為了更好的偵查攻擊路徑建議嵌入網路層的入侵檢測裝置或者WAF等元件。
(3)溯源問題
目前早期的黑客溯源都只是通過IP地址->域名->註冊手機->淘寶或者微信確定其真實身份,但是在這個鏈路中,真正有效的溯源出的黑客身份5%都不到,再加上今年GDPR出現,域名提供商如果向歐洲提供服務就必須隱藏註冊人的資訊,這個規定一出這條路基本無路可走,但是隨著H5技術的誕生和廣泛使用,使得收集裝置指紋技術更加成熟。收集上來資料可以做機器學習相識度匹配。
2.產品功能
根據上述需求,大致把需要的產品功能抽象一下,分享給大家:
(1)虛擬資產
蜜罐管理
a.Web應用沙箱:weblogic、nginx、IIS、Apache httpd、Apache Tomcat/Coyote JSP engine
* 漏洞型別:JSP、PHP、ASP
* 專用漏洞:struts2-045
* 誘餌設定:弱口令
b.資料庫沙箱:mysql、mssql、postgresql、redis、mongodb
* 誘餌設定:弱口令
* 專用漏洞:安全基線配置漏洞
c.遠端管理沙箱:ssh、RDP
* 誘餌設定:弱口令
d.運維類沙箱:Zabbix、Jenkins
* 誘餌設定:弱口令
(2)網站代理
nginx部署設定
(3)主機代理
映象埠設定
(4)安全裝置代理(IDS/WAF)
路由配置
(5)密網管理
Kubernetes組網設定
VPC-link配置
(2)入侵事件
a.威脅概覽
– VPC網路整體安全等級
– APT攻擊分析
– recon 階段
– access 階段
– exploit 階段
– payload drop 階段
– C&C 階段
– Data Loss 階段
– 告警事件發展趨勢
– 虛擬資產拓撲
– Top5入侵人員
– Top5惡意軟體
b.入侵事件詳情
* 事件查詢和展示
(3)入侵人員
黑客畫像
·裝置指紋
·瀏覽器資訊
·ip地址關聯威脅情報
0x02、技術實現
1.架構拓撲
說明:
@1、VPC威脅感知管理系統:負載蜜罐Agent安全事件接收、事件關聯分析、事件統計,租戶管理系統介面呈現。
@2、DockerAgent部署到Kubernetes網路中的Docker上,負責根據部署不同型別的蜜罐發現入侵事件,並且上報。
@3、ECSAgent部署到真實雲主機上的應用程式,負責流量轉發。
@4、ProxyAgent部署到負載均衡上的應用,負載流量轉發。
2.蜜罐技術實現
(1)MariaDB資料庫操作記錄
a.需要實現的功能
* 登陸mysql伺服器日誌
* 獲取資料庫DDL操作日誌
b.實現細節
* 通過patch的方式對MariaDB做劫持改造。獲取我們想樣的資訊。
* 對登陸函式mysql_socket_getfd做劫持,獲取客戶端連線的IP地址,登陸的使用者名稱,生成連線事件。
* 在執行do_command命令的時候,獲取執行的SQL語句。生成連線事件命令執行事件。
(2)ssh操作記錄
* 要獲取到所有的執行命令,其實使用cowrie就可以,但是問題畢竟不是真實的互動。建議使用修改bash的方式實現。
(3)docker獲取到資料後如何與外界互動
* 其實是使用docker unixsocket對外post資料。
0x03、總結
伴隨著,中大型公司的網路逐步遷移到公有云VPC環境中,基於公有云的內網威脅感知系統對這些企業將越來越有價值。對於VPC雲主機規模大約100臺的企業級使用者,本解決方案很好的解決了內部橫向攻擊滲透的安全問題。