洞察内部漩涡:检测无文件攻击技术
长期被忽视的网络基础设施威胁表面正引起越来越多组织的关注,攻击者利用这些设备结合无文件攻击技术来实现各种恶意目标。今年早些时候被称为"Salt Typhoon"的攻击者就将这一常被忽视的威胁表面推到了公众视野的前沿。
思科Talos对Salt Typhoon的分析发现,这些威胁行为者经常使用有效的被盗凭证访问核心网络基础设施,然后利用无文件攻击技术收集各种信息。一些检测和/或保护环境的建议包括:
- 监控环境中行为或配置的异常变化
- 通过NetFlow和端口扫描对网络设备进行特征分析,检测表面视图的变化
- 开发NetFlow可见性以识别异常流量变化
- 加密所有监控和配置流量
- 防止和监控管理或不常见接口的暴露
下面我们将研究如何通过思科安全网络分析实现这些监控和检测操作。
使用思科安全网络分析进行网络威胁检测
通过收集网络元数据(主要是NetFlow/IPFIX),思科SNA提供企业级网络可见性和行为分析,以检测威胁行为者活动的异常迹象。通过一些调整和定制,可以使分析和威胁检测可靠地识别滥用网络设备的威胁行为者。
在调整SNA进行此类检测时,我们需要完成三个主要任务:
1. 配置基础设施主机组
在SNA中定义主机组,对路由器、交换机和跳板机等网络基础设施设备进行分类。这种分组允许集中监控并更容易识别涉及关键基础设施的可疑通信。
2. 创建自定义安全事件和角色策略
利用思科Talos的威胁情报,创建自定义安全事件来检测可疑或禁止的通信模式。定义角色策略进一步调整核心事件,以更好地检测可能表明横向移动、数据囤积和/或外泄的可疑活动。
3. 开发监控网络图
使用SNA的网络图功能创建网络拓扑可视化,模拟基础设施主机及其通信路径的详细图表。这种视觉辅助有助于快速发现涉及跳板主机或基础设施设备的异常横向移动或意外数据流。
监控威胁行为者活动
完成检测系统的部分配置后,我们开始主动监控。当警报发生时,您可以在主机页面查看它们:在下面的示例中,属于Catalyst交换机主机组的主机[10.1.1.1]表现出多次策略违规,表明恶意行为者正在远程访问此设备并使用其管理平面下载和转发流量。
深入查看与上述交换机相关的安全事件的流记录,确认它从灌装线下载了大量数据并将其上传到未监控的管理桌面。
结论
通过巧妙的工具配置,思科SNA可以有效地用于监控基础设施,并通过网络行为分析检测环境中的复杂威胁行为者。SNA可以有效检测的基础设施无文件攻击技术类型包括:
- 对网络设备的未经授权或可疑登录
- 基础设施主机之间的可疑横向移动
- 数据囤积、转发和其他异常数据流
- 通过网络中未监控主机进行的数据外泄尝试
SNA生成的警报丰富了上下文信息,使安全团队能够有效调查和响应。