探讨了网络入侵检测系统(NIDS)在检测异常网络行为时的局限性,特别是对于异常连接行为的后续调查和确认问题。提出通过与主机入侵检测系统(HIDS)联动,收集更多上下文信息,如进程、日志、用户活动等,以增强安全事件的分析和响应能力。
最近一直在做NIDS,已有雏形,甚是欣慰,但是还是有很多问题.
NIDS的本质是通过流量中发现异常行为,可能是明显的webshell通讯,恶意软件通讯,可能是奇奇怪怪的对外/对内连接.在这个层面上的确可以发现非加密的各种安全问题,但是我们会发现一些NIDS本身很难优化的地方.
1.发现了异常连接(如DB Server主动的对外HTTP请求,且该Web Server非公司资产)
2.发现了外部对内的异常连接行为,但是无法确定其是否为恶意/威胁
3.发现了恶意的连接,但是登陆可能出现安全问题的服务器并不能发现什么(连接状态持续时间很短,登陆调查时已结束)
以上的问题的确需要调查,也的确是异常现象,但是仅从NIDS获取的信息太少,仅仅能发现异常,后续的调查/取证/确认问题都异常困难,如果以上情况每天出现几十甚至几百次就很难高效的解决了,他不是误报,也没有漏报,但是无法判断,难以溯源.
这个问题通过NIDS很难解决,无论是优化算法还是如何,这是因为NIDS的数据源仅仅有网络流量,从底层限制了它的安全能力.
这个时候如果有一款HIDS联动那么就可以很好的解决问题,当然前提是这款HIDS可以支持二次开发或者本身就是自研.
1.NIDS发现异常网络连接行为,联动HIDS确认相关进程信息,收集相关LOG,用户,可执行文件创建信息,SHA,相关进程等等,哪怕不能做到自动确认异常,简单的SHA威胁情报,确认是否提权,如果是代码,静态检测静态代码等很多重要信息可以作为安全工程师判断的依据.
这种联动的思想在日益复杂的架构/业务场景下,还可以有很多利用的点:
1.联动WAF/FW阻断
2.联动威胁情报平台
3.联动WAF/FW读取配置的策略,自动加入白名单,减少误报
4.联动CMDB读取IP详细信息,帮助安全工程师高效定位问题/业务/owner
其实这样就逐渐从架构上将HIDS和NIDS的IDS部分进行了聚合,所谓的H(Host)或者N(Network)都只是不同生命周期的数据阶段而已,有了这样的思路,所谓的纵深防御也可以发挥其更大的作用,帮助安全工程师更加精准的发现问题,定位问题,解决问题.
- Post author: E_Bwill
扫一扫
5769
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
