本节书摘来自异步社区《请君入瓮——APT攻防指南之兵不厌诈》一书中的第8章8.2节基于主机的工具,作者【美】Sean Bodmer , Max Kilger , Gregory Carpenter , Jade Jones,更多章节内容可以访问云栖社区“异步社区”公众号查看。
8.2 基于主机的工具
请君入瓮——APT攻防指南之兵不厌诈
最简单形式的基于主机安全的控制措施是监控独立主机(应用程序)的运行状态。通过对系统监控可以发现是否有恶意文件执行,是否有应用程序尝试修改某些文件,以及发现许多可能属于恶意类别的行为。高级一些的措施则是使用基于主机的安全控制手段,包括使用高级应用程序白名单,其本质是告诉计算机哪些程序可以运行。
如果能够合理设计和部署,这些工具可以用于防御持续性威胁。但一个不能忽略的重要因素是,基于主机的安全技术并不是消除网络顽疾的灵丹妙药。它们只是提升网络整体安全状况的第一步而已,使您在面对持续性威胁时占据较有利的位置。
我们将讲解以下几种有助于改善主机安全现状的工具:
反病毒;
数字取证;
安全管理。
8.2.1 反病毒
各种反病毒解决方案已经广泛应用10余年,它们亟待快速发展方能追上日新月异的安全威胁。不过,与基于网络的安全系统相比,这类解决方案总归是更容易被绕过。这些解决方案已然捕获和阻止了数量可观的恶意行为发生,但遇到高级的或者有组织的威胁时,这些系统则有很大可能被绕过。
引人思考
以下是加倍提升反病毒能力的小技巧。
您需要了解反病毒软件客户端的哪些数据?确定软件已被启用的数据,确定软件正在检测的数据,确定软件已经更新的数据。您还需要知道查看检测结果的数据,并查看活动日志。
反病毒软件被禁用失去反应时,识别方法之一是什么?在其被禁用后,很多人不会意识到关于该信息的选项和日志。
哪类恶意软件会被检测出?您可能更想了解这类数据。只有投放器(dropper)、广告件(adware)、cookies这类的恶意软件能被检测出吗?如果是这样的话,那么不能被检测出的恶意软件都是哪类呢?
8.2.2 数字取证
有很多基于客户端的解决方案都提供主机数字取证工具,分为软件和硬件两种形态。这类工具通过监视系统行为实现数字取证功能,例如:访问磁盘驱动器、对于进程的操作、内存监控操作、函数挂钩操作、对于虚拟机的操作、对于沙箱的操作,以及更多这类行为。
这类工具的效果与操作系统提供的安全策略相当,如反病毒解决方案一样,可以被恶意软件快速发现及禁用。然而,它们依然是深度防御策略的重要组成部分。
有时,这类工具可以捕获用来鉴定某个特殊威胁的所需信息。只要这些工具未被禁用,您可以通过它们发现犯罪活动进行期间所表现的行为模式。
引人思考
以下是加倍提升数字取证系统能力的小技巧。
怎样充分利用该技术?这种技术的最佳应用是基于硬件的解决方案,它独立于操作系统,监视硬件活动。Grand Idea Studios的Tribble(www.grandideastudio.com/portfolio/tribble/)就是一个很好的例子。Komoku(www.microsoft.com/security/portal/komoku/)开发的Copilot是另一个例子,该产品已被微软收购,其功能已被加入微软安全产品线。
如何对主机隐藏数字取证进程?这需要取证平台自身提供带外连接功能。
取证方案是如何发挥作用的?这些数据有怎样的价值?此外,较之近乎实时的持续威胁信息采集而言,您的取证小组多久陷入一次随机威胁困境?
8.2.3 安全管理工具
安全管理工具目前占有最大的市场份额,包括资产管理工具、文件监控工具,及通过运行代理监控每一个客户端的企业级安全解决方案。
过去的五、六年里,这类解决方案受到的关注越来越少,但仍一直沿用至今。它们与系统中运行的其他安全代理(如反病毒代理)相似,区别在于,当有未授权的程序或压缩包安装到系统时,它们会及时发出通知。它们还可以监控试图修改特定文件的行为,并且进行定期的安全检查,发现对已知“良性”文件的任何未授权修改。
为了让这类工具运转正常,需要使用更高级权限或者管理员权限。这在提升它们监控系统状态的能力的同时,也会带来安全隐患。一旦攻击者掌握了入侵安全代理程序的方法,或入侵其信息上报服务器,就等于为持续威胁开通了进入系统的另一条通道。尽管如此,这些工具在“归因游戏”(attribution game)中还会起到一定作用,作为一种提升系统安全性的工具,它们不容忽视。
引人思考
以下是加倍提升安全管理平台能力的小技巧。
您需要知道关于主机的哪些重要信息?当前已经安装了哪些程序?最近安装的程序是哪个?该程序是否导致安全监控失效?系统文件是否发生了改变?如果是,哪些系统文件被改变?(这有助于识别情报类威胁的级别。)
是否为各项监控设立心跳?有必要这样做。它们可能会在日志和网络检测系统中产生干扰,但与其为这类通信调整入侵检测系统(IDS)和入侵防御系统(IPS)设置,还不如合理地管理日志。此功能通常处于禁用状态。
您的用户拥有哪种权限级别?确保您的用户不具备管理员权限,也不具备提升账户权限的能力,这是判定未授权行为的初始指标之一。
您用安全代理监控哪些行为?员工手册的风格各异,您应该确保员工理解并签署雇佣协议,协议中规定办公电脑是用于工作的,且仅能于工作,任何其他用途都要接受公司审查。
本文仅用于学习和交流目的,不代表异步社区观点。非商业转载请注明作译者、出处,并保留本文的原始链接。
