❶ 如何實現網路流量數據可視化
實現網路流量數據可視化,主要分為以下步驟:
安全TAP:保護流經網路/虛擬TAP的網路流量中的信息,使其避免未授權的訪問。 從物理或虛擬源頭安全地收集流量。
2.流量映射:流量映射使得每個網路埠都能夠以 100% 的埠線速接收流量,同時每個工具埠也能夠以 100% 的埠速率輸出相關流量。
3.深度數據包過濾:對於分布在虛擬化環境中的那些有封裝的、穿隧傳輸的流量,通過使用靈活的模式匹配正則表達式過濾器,令路由決策基於應用層的數據包內容,而不僅僅基於數據包報頭,可以增強該類流量的可視性,實現數據包深度過濾。
4.數據包優化:數據包截短,就是通過消除數據包中無關工具管理功能、分析功能、合規性或安全性的後沿成分,減小數據包的大小。
5.關聯狀態:數據包除重功能,即建立一個時間窗口,在該窗口期間,任何重復數據包進入矩陣都會被消除。去除與正在進行中的分析任務無關的數據包,整個系統就能夠顯著降低帶寬浪費率和存儲容量浪費率,減少對相關工具處理資源的佔用。
6.高性能NetFlow:把NetFlow生成任務從生產網路上的交換機和路由器上轉移出去, 可以提升生產網路的性能,同時也能在數量上、質量上和有效性方面對傳送至工具的精確NetFlow數據。
7.串接:為了對層出不窮的安全威脅作出更敏捷的反應,許多過去被動檢視流量的帶外安全工具正在變身串接部署。然而,串接部署也自然難免有潛在的故障點,只是用旁路技術可以降低這些風險。
❷ 網路安全態勢感知平台總體功能除了平台安全功能及平台介面,還有哪些
網路安全態勢感知平台是一個用於實時監控、分析和預警網路安全威脅的綜合性系統。除了平台安全功能和平台介面,網路安全態勢感知平台還包括以下總體功能:
數據採集與整合:平台需要從各種來源收集大量網路安全數據,包括但不限於網路流量、系統日誌、威脅情報、漏洞信息等。數據採集模塊負責實時監控這些數據源,並將數據整合到統一的數據存儲中心。
數據分析與處理:平台需要對收集到的數據進行深入分析,以識別潛在的安全威脅和漏洞。分析模塊通常包括基於規則的引擎、機器學習演算法、沙箱技術等,以識別惡意行為、異常流量或未知威脅。
威脅評估與情報共享:平台需要評估識別到的威脅的等級和影響,以便優先處理。此外,平台還需要將威脅情報與其他安全組織共享,以提高整個行業的安全防護能力。
可視化與報表:平台需要提供可視化工具和報表功能,以便用戶直觀地了解網路安全狀況。可視化模塊可以包括實時態勢地圖、統計圖表、儀錶板等,方便用戶查看和分析安全事件。
預警與響應:平台需要實時旦攜監控安全事件,對高風險威脅進行預警,並提供自動化或人工響應措施。響應模塊可以包括生成告警信息、阻斷惡意流量、隔離受影響系統等功能。
合規與審計:平台需要提供合規和審計功能,以確保企業遵守相關的法規和政策。審計模塊可以包括日誌管理、配置審查、合規報告等,幫助企業滿足監管要求。
系統管理與維護:平台需要具備系統管理和模薯伏維護功能,以確保平台的穩定運行。管理模塊可以包括用戶權手岩限管理、系統配置、軟體更新、故障排查等功能。
這些功能共同支持網路安全態勢感知平台的有效運行,幫助企業及時發現並應對網路安全威脅。
❸ 大數據可視化設計到底是啥,該怎麼用
大數據可視化是個熱門話題,在信息安全領域,也由於很多企業希望將大數據轉化為信息可視化呈現的各種形式,以便獲得更深的洞察力、更好的決策力以及更強的自動化處理能力,數據可視化已經成為網路安全技術的一個重要趨勢。
文章目錄
一、什麼是網路安全可視化
1.1 故事+數據+設計 =可視化
1.2 可視化設計流程
二、案例一:大規模漏洞感知可視化設計
2.1整體項目分析
2.2分析數據
2.3匹配圖形
2.4確定風格
2.5優化圖形
2.6檢查測試
三、案例二:白環境蟲圖可視化設計
3.1整體項目分析
3.2分析數據
3.3 匹配圖形
3.4優化圖形
3.5檢查測試
一、什麼是網路安全可視化
攻擊從哪裡開始?目的是哪裡?哪些地方遭受的攻擊最頻繁……通過大數據網路安全可視化圖,我們可以在幾秒鍾內回答這些問題,這就是可視化帶給我們的效率 。 大數據網路安全的可視化不僅能讓我們更容易地感知網路數據信息,快速識別風險,還能對事件進行分類,甚至對攻擊趨勢做出預測。可是,該怎麼做呢?
1.1 故事+數據+設計 =可視化
做可視化之前,最好從一個問題開始,你為什麼要做可視化,希望從中了解什麼?是否在找周期性的模式?或者多個變數之間的聯系?異常值?空間關系?比如政府機構,想了解全國各個行業漏洞的分布概況,以及哪個行業、哪個地區的漏洞數量最多;又如企業,想了解內部的訪問情況,是否存在惡意行為,或者企業的資產情況怎麼樣。總之,要弄清楚你進行可視化設計的目的是什麼,你想講什麼樣的故事,以及你打算跟誰講。
有了故事,還需要找到數據,並且具有對數據進行處理的能力,圖1是一個可視化參考模型,它反映的是一系列的數據的轉換過程:
我們有原始數據,通過對原始數據進行標准化、結構化的處理,把它們整理成數據表。
將這些數值轉換成視覺結構(包括形狀、位置、尺寸、值、方向、色彩、紋理等)凱困隱,通過視覺的方式把它表現出來。例如將高中低的風險轉換成紅黃藍等色彩,數值轉換成大小。
將視覺結構進行組合,把它轉換成圖形傳遞給用戶,用戶通過人機交互的方式進行反向轉換,去更好地了解數據背後有什麼問題和規律。
最後,我們還得選擇一些好的可視化的方法。比如要了解關系,建議選擇網狀的圖,或者通過距離,關系近的距離近,關系遠的距離也遠。
總之,有個好的故事,並且有大量的數據進行處理,加上一些設計的方法,就構成了可視化。
1.2 可視化設計流程
一個好的流程可以讓我們事半功倍,可視化的設計流程主要有分析數據、匹配圖形、優化圖形、檢查測試。首先,在了解需求的基礎上分析我們要展示哪些數據,包含元數據、數據維度、查看的視角等;其次,我們利用可視化工具,根據一些已固化的圖表類型快速做出各種圖表;然後優化細節;最後檢查測試。
具體我們通過兩個案例來進行分析。
二、案例一:大規模漏洞感知可視化設計
圖2是全國范圍內,各個行業漏洞的分布和趨勢,橙黃藍分別代表了漏洞數量的高中低。
2.1整體項目分析
我們在拿到項目策劃時,既不要被大量的信息資料所迷惑而感到茫然失措,也不要急於完成項目,不經思考就盲目進行設計。尺仿首先,讓我們認真了解客戶需求,並對整體內容進行關鍵詞的提煉。可視化的核心在於對內容的提煉,內容提煉得越精確,設計出來的圖形結構就越緊湊,傳達的效率就越高。反之,會導致圖形結構臃腫散亂,關鍵信息無法高效地傳達給讀者。
對於大規模漏洞感知的可視化項目,客戶的主要需求是查看全國范圍內,各個行業的漏洞分布和趨勢。我們可以概括為三個關鍵詞:漏洞量、漏洞變化、漏洞級別,這三個關鍵詞就是我們進行數據可視化設計的核心點,整體的圖形結構將圍繞這三個核心點來展開布局。
2.2分析數據
想要清楚地展現數據,就要先了解所要繪制的數據,如元數據、維度、元數據間關系、數據規模等。根據需求,我們需要展現的元數盯廳據是漏洞事件,維度有地理位置、漏洞數量、時間、漏洞類別和級別,查看的視角主要是宏觀和關聯。涉及到的視覺元素有形狀、色彩、尺寸、位置、方向,如圖4。
2.3匹配圖形
2.4確定風格
匹配圖形的同時,還要考慮展示的平台。由於客戶是投放在大屏幕上查看,我們對大屏幕的特點進行了分析,比如面積巨大、深色背景、不可操作等。依據大屏幕的特點,我們對設計風格進行了頭腦風暴:它是實時的,有緊張感;需要新穎的圖標和動效,有科技感;信息層次是豐富的;展示的數據是權威的。
最後根據設計風格進一步確定了深藍為標准色,代表科技與創新;橙紅藍分別代表漏洞數量的高中低,為輔助色;整體的視覺風格與目前主流的扁平化一致。
2.5優化圖形
有了圖形後,嘗試把數據按屬性繪制到各維度上,不斷調整直到合理。雖然這里說的很簡單,但這是最耗時耗力的階段。維度過多時,在信息架構上廣而淺或窄而深都是需要琢磨的,而後再加上交互導航,使圖形更「可視」。
在這個任務中,圖形經過很多次修改,圖7是我們設計的過程稿,深底,高亮的地圖,多顏色的攻擊動畫特效,營造緊張感;地圖中用紅、黃、藍來呈現高、中、低危的漏洞數量分布情況;心理學認為上方和左方易重視,「從上到下」「從左至右」的「Z」字型的視覺呈現,簡潔清晰,重點突出。
完成初稿後,我們進一步優化了維度、動效和數量。維度:每個維度,只用一種表現,清晰易懂;動效:考慮時間和情感的把控,從原來的1.5ms改為3.5ms;數量:考慮了太密或太疏時用戶的感受,對圓的半徑做了統一大小的處理。
2.6檢查測試
最後還需要檢查測試,從頭到尾過一遍是否滿足需求;實地投放大屏幕後,用戶是否方便閱讀;動效能否達到預期,色差是否能接受;最後我們用一句話描述大屏,用戶能否理解。
三、案例二:白環境蟲圖可視化設計
如果手上只有單純的電子表格(左),要想找到其中IP、應用和埠的訪問模式就會很花時間,而用蟲圖(右)呈現之後,雖然增加了很多數據,但讀者的理解程度反而提高了。
3.1整體項目分析
當前,企業內部IT系統復雜多變,存在一些無法精細化控制的、非法惡意的行為,如何精準地處理安全管理問題呢?我們的主要目標是幫助用戶監測訪問內網核心伺服器的異常流量,概括為2個關鍵詞:內網資產和訪問關系,整體的圖形結構將圍繞這兩個核心點來展開布局。
3.2分析數據
接下來分析數據,案例中的元數據是事件,維度有時間、源IP、目的IP和應用,查看的視角主要是關聯和微觀。
3.3 匹配圖形
根據以往的經驗,帶有關系的數據一般使用和弦圖和力導向布局圖。最初我們採用的是和弦圖,圓點內部是主機,用戶要通過3個維度去尋找事件的關聯。通過測試發現,用戶很難理解,因此選擇了力導向布局圖(蟲圖)。第一層級展示全局關系,第二層級通過對IP或埠的鑽取進一步展現相關性。
3.4優化圖形
優化圖形時,我們對很多細節進行了調整: – 考慮太密或太疏時用戶的感受,只展示了TOP N。 – 弧度、配色的優化,與我們UI界面風格相一致。 – IP名稱超長時省略處理。 – 微觀視角中,源和目的分別以藍色和紫色區分,同時在線上增加箭頭,箭頭向內為源,向外是目的,方便用戶理解。 – 交互上,通過單擊鑽取到單個埠和IP的信息;滑鼠滑過時相關信息高亮展示,這樣既能讓畫面更加炫酷,又能讓人方便地識別。
3.5檢查測試
通過調研,用戶對企業內部的流向非常清楚,視覺導向清晰,鑽取信息方便,色彩、動效等細節的優化幫助用戶快速定位問題,提升了安全運維效率。
四、總結
總之,藉助大數據網路安全的可視化設計,人們能夠更加智能地洞悉信息與網路安全的態勢,更加主動、彈性地去應對新型復雜的威脅和未知多變的風險。
可視化設計的過程中,我們還需要注意:1、整體考慮、顧全大局;2、細節的匹配、一致性;3、充滿美感,對稱和諧。
❹ 知識普及-安全態勢
隨著網路規模和復雜性不斷增大,網路的攻擊技術不斷革新,新型攻擊工具大量涌現,傳統的網路安全技術顯得力不從心,網路入侵不可避免,網路安全問題越發嚴峻。
單憑一種或幾種安全技術很難應對復雜的安全問題,網路安全人員的關注點也從單個安全問題的解決,發展到研究整個網路的安全狀態及其變化趨勢。
網路安全態勢感知對影響網路安全的諸多要素進行獲取、理解、評估以及預測未來的發展趨勢,是對網路安全性定量分析的一種手段,是對網路安全性的精細度量,態勢感知成已經為網路安全2.0時代安全技術的焦點,對保障網路安全起著非常重要的作用。
一、態勢感知基本概念
1.1 態勢感知通用定義
隨著網路安全態勢感知研究領域的不同,人們對於態勢感知的定義和理解也有很大的不同,其中認同度較高的是Endsley博士所給出的動態環境中態勢感知的通用定義:
態勢感知是感知大量的時間和空間中的環境要素,理解它們的意義,並預測它們在不久將來的狀態。
在這個定義中,我們可以提煉出態勢感知的三個要素:感知、理解和預測,也就是說態勢感知可以分成感知、理解和預測三個層次的信息處理,即:
感知:感知和獲取環境中的重要線索或元素;
理解:整合感知到的數據和信息,分析其相關性;
預測:基於對環境信息的感知和理解,預測相關知識的未來的發展趨勢。
1.2 網路安全態勢感知概念
目前,對網路安全態勢感知並未有一個統一而全面的定義,我們可以結合態勢感知通用定義來對對網路安全態勢感知給出一個基本描述,即:
網路安全態勢感知是綜合分析網路安全要素,評估網路安全狀況,預測其發展趨勢,並以可視化的方式展現給用戶,並給出相應的報表和應對措施。
根據上述概念模型,網路安全態勢感知過程可以分為一下四個過程:
1)數據採集:通過各種檢測工具,對各種影響系統安全性的要素進行檢測採集獲取,這一步是態勢感知的前提;
2)態勢理解:對各種網路安全要素數據進行分類、歸並、關聯分析等手段進行處理融合,對融合的信息進行綜合分析,得出影響網路的整體安全狀況,這一步是態勢感知基礎;
3)態勢評估:定性、定量分析網路當前的安全狀態和薄弱環節,並給出相應的應對措施,這一步是態勢感知的核心;
4)態勢預測:通過對態勢評估輸出的數據,預測網路安全狀況的發展趨勢,這一步是態勢感知的目標。
網路安全態勢感知要做到深度和廣度兼備,從多層次、多角度、多粒度分析系統的安全性並提供應對措施,以圖、表和安全報表的形式展現給用戶。
二、態勢感知常用分析模型
在網路安全態勢感知的分析過程中,會應用到很多成熟的分析模型,這些模型的分析方法雖各不相同,但多數都包含了感知、理解和預測的三個要素。
2.1 始於感知:Endsley模型
Endsley模型中,態勢感知始於感知。
感知包含對網路環境中重要組成要素的狀態、屬性及動態等信息,以及將其歸類整理的過程。
理解則是對這些重要組成要素的信息的融合與解讀,不僅是對單個分析對象的判斷分析,還包括對多個關聯對象的整合梳理。同時,理解是隨著態勢的變化而不斷更新演變的,不斷將新的信息融合進來形成新的理解。
在了解態勢要素的狀態和變化的基礎上,對態勢中各要素即將呈現的狀態和變化進行預測。
2.2 循環對抗:OODA模型
OODA是指觀察(Oberve)、調整(Orient)、決策(Decide)以及行動(Act),它是信息戰領域的一個概念。OODA是一個不斷收集信息、評估決策和採取行動的過程。
將OODA循環應用在網路安全態勢感知中,攻擊者與分析者都面臨這樣的循環過程:在觀察中感知攻擊與被攻擊,在理解中調整並決策攻擊與防禦方法,預測對手下一個動作並發起行動,同時進入下一輪的觀察。
如果分析者的OODA循環比攻擊者快,那麼分析者有可能「進入」對方的循環中,從而占據優勢。例如通過關注對方正在進行或者可能進行的事情,即分析對手的OODA環,來判斷對手下一步將採取的動作,而先於對方採取行動。
2.3 數據融合:JDL模型
JDL(Joint Directors of Laboratories)模型是信息融合系統中的一種信息處理方式,由美國國防部成立的數據融合聯合指揮實驗室提出。
JDL模型將來自不同數據源的數據和信息進行綜合分析,根據它們之間的相互關系,進行目標識別、身份估計、態勢評估和威脅評估,融合過程會通過不斷的精煉評估結果來提高評估的准確性。
在網路安全態勢感知中,面對來自內外部大量的安全數據,通過JDL模型進行數據的融合分析,能夠實現對分析目標的感知、理解與影響評估,為後續的預測提供重要的分析基礎和支撐。
2.4 假設與推理:RPD模型
RPD(Recognition Primed Decision)模型中定義態勢感知分為兩個階段:感知和評估。
感知階段通過特徵匹配的方式,將現有態勢與過去態勢進行對比,選取相似度高的過去態勢,找出當時採取的哪些行動方案是有效的。評估階段分析過去相似態勢有效的行動方案,推測當前態勢可能的演化過程,並調整行動方案。
以上方式若遇到匹配結果不理想的情況,則採取構造故事的方式,即根據經驗探索潛在的假設,再評估每個假設與實際發生情況的相符度。在RPD模型中對感知、理解和預測三要素的主要體現為:基於假設進行相關信息的收集(感知),特徵匹配和故事構造(理解),假設驅動思維模擬與推測(預測)。
三、態勢感知應用關鍵點
當前,單維度的網路安全防禦技術手段,已經難以應對復雜的網路環境和大量存在的安全問題,對網路安全態勢感知具體模型和技術的研究,已經成為2.0時代網路安全技術的焦點,同時很多機構也已經推出了網路安全態勢感知產品和解決方案。
但是,目前市場上的的相關產品和解決方案,都相對偏重於網路安全態勢的某一個或某幾個方面的感知,網路安全態勢感知的數據分析的深度和廣度還需要進一步加強,同時網路安全態勢感知與其它系統平台的聯動不足,無法將態勢感知與安全運營深入融合。
為此,太極信安認為網路安全態勢感知平台的建設,應著重考慮以下幾個方面的內容:
1、在數據採集方面,網路安全數據來源要盡可能的豐富,應該包括網路結構數據、網路服務數據、漏洞數據、脆弱性數據、威脅與入侵數據、用戶異常行為數據等等,只有這樣態勢評估結果才能准確。
2、在態勢評估方面,態勢感評估要對多個層次、多個角度進行評估,能夠評估網路的業務安全、數據安全、基礎設施安全和整體安全狀況,並且應該針對不同的應用背景和不同的網路規模選擇不同的評估方法。
3、在態勢感知流程方面,態勢感知流程要規范,所採用的演算法要簡單,應該選擇規范化的、易操作的評估模型和預測模型,能夠做到實時准確的評估網路安全態勢。
4、在態勢預測方面,態勢感知要能支持對不同的評估結果預測其發展趨勢,預防大規模安全事件的發生。
5、在態勢感知結果顯示方面,態勢感知能支持多種形式的可視化顯示,支持與用戶的交互,能根據不同的應用需求生成態勢評測報表,並提供相應的改進措施。
四、總結
上述幾種模型和應用關鍵點對網路安全態勢感知來講至關重要,將這些基本概念和關鍵點進行深入理解並付諸於實踐,才能真正幫助決策者獲得網路安全態勢感知能力。
太極信安認為,建設網路安全態勢感知平台,應以「業務+數據定義安全」戰略為核心驅動,基於更廣、更深的數據來源分析,以用戶實際需求為出發點,從綜合安全、業務安全、數據安全、信息基礎設施安全等多個維度為用戶提供全面的安全態勢感知,在認知、理解、預測的基礎上,真正幫助用戶實現看見業務、看懂威脅、看透風險、輔助決策。
摘自 CSDN 道法一自然
❺ 人工智慧在網路安全領域的應用有哪些
近年來,在網路安全防禦中出現了多智能體系統、神經網路、專家系統、機器學習等人工智慧技術。一般來說,AI主要應用於網路安全入侵檢測、惡意軟體檢測、態勢分析等領域。
1、人工智慧在網路安全領域的應用——在網路入侵檢測中。
入侵檢測技術利用各種手段收集、過濾、處理網路異常流量等數據,並為用戶自動生成安全報告,如DDoS檢測、僵屍網路檢測等。目前,神經網路、分布式代理系統和專家系統都是重要的人工智慧入侵檢測技術。2016年4月,麻省理工學院計算機科學與人工智慧實驗室(CSAIL)與人工智慧初創企業PatternEx聯合開發了基於人工智慧的網路安全平台AI2。通過分析挖掘360億條安全相關數據,AI2能夠准確預測、檢測和防範85%的網路攻擊。其他專注於該領域的初創企業包括Vectra Networks、DarkTrace、Exabeam、CyberX和BluVector。
2、人工智慧在網路安全領域的應用——預測惡意軟體防禦。
預測惡意軟體防禦使用機器學習和統計模型來發現惡意軟體家族的特徵,預測進化方向,並提前防禦。目前,隨著惡意病毒的增多和勒索軟體的突然出現,企業對惡意軟體的保護需求日益迫切,市場上出現了大量應用人工智慧技術的產品和系統。2016年9月,安全公司SparkCognition推出了DeepArmor,這是一款由人工智慧驅動的“Cognition”殺毒系統,可以准確地檢測和刪除惡意文件,保護網路免受未知的網路安全威脅。在2017年2月舉行的RSA2017大會上,國內外專家就人工智慧在下一代防病毒領域的應用進行了熱烈討論。預測惡意軟體防禦的公司包括SparkCognition、Cylance、Deep Instinct和Invincea。
3、人工智慧在網路安全領域的應用——在動態感知網路安全方面。
網路安全態勢感知技術利用數據融合、數據挖掘、智能分析和可視化技術,直觀地顯示和預測網路安全態勢,為網路安全預警和防護提供保障,在不斷自我學習的過程中提高系統的防禦水平。美國公司Invincea開發了基於人工智慧的旗艦產品X,以檢測未知的威脅,而英國公司Darktrace開發了一種企業安全免疫系統。國內偉達安防展示了自主研發的“智能動態防禦”技術,以及“人工智慧”與“動態防禦”六大“魔法”系列產品的整合。其他參與此類研究的初創企業包括LogRhythm、SecBI、Avata Intelligence等。
此外,人工智慧應用場景被廣泛應用於網路安全運行管理、網路系統安全風險自評估、物聯網安全問題等方面。一些公司正在使用人工智慧技術來應對物聯網安全挑戰,包括CyberX、network security、PFP、Dojo-Labs等。
以上就是《人工智慧在網路安全領域的應用是什麼?這個領域才是最關鍵的》,近年來,在網路安全防禦中出現了多智能體系統、神經網路、專家系統、機器學習等人工智慧技術,如果你想知道更多的人工智慧安全的發展,可以點擊本站其他文章進行學習。
❻ 網路可視化什麼意思
網路安全可視化是指在網路安全領域中的呈現技術,將網路安全加固、檢測、防禦、響應等過程中的數據和結果轉換成圖形界面,通過C/S或B/S方式呈現在屏幕或其它介質上,並通過人機交互的方式進行搜索、加工、匯總等操作的理論、方法和技術。
網路安全可視化是數據可視化研究中較為廣泛的一個方向,利用人類視覺對模型和結構的獲取能力,將抽象的網路和系統數據以圖形圖像的方式展現出來,協助分析網路狀況,識別網路異常或入侵行為,預測網路安全事件的發展趨勢。
網路態勢可視化技術作為一項新技術,是網路安全態勢感知與可視化技術的結合,將網路中蘊涵的態勢狀況通過可視化圖形方式展示給用戶,並藉助於人在圖形圖像方面強大的處理能力,實現對網路異常行為的分析和檢測。
❼ 網路安全可視化有什麼好處
網路安全可視化之所以重要,可以從現實生活中的安全可視化進行類比。現實世界中,平安城市、雪亮工程等治安防控工程中,關於視頻監控系統的可視化方面建設都十分突出,其意義體現在以下方面:
預警
通過對全局地區的可視化監控,可以進行針對性的人流量分析、人臉識別、信息採集等早期管理手段,通過這些手段能夠進行早期預警,將安全問題控制在萌芽狀態,做到防患於未然。
調度
在可視化平台的支撐下,一旦發生了安全隱患,可以通過多個區域的同時觀測,及時地完成指揮調度和資源調配,對於問題嚴重的區域進行重點布防。
回放
在安全相關案件調查取證過程中,監控錄像回放起到重要的作用,即使犯罪過程沒有被發現或目標對象離開了布防區域,還是可以通過多個監控錄像回放的配合準確定位作案事實和目標移動的路徑,為抓捕和偵破提供了第一手材料。
提高犯罪難度和成本
使用以上全方位的可視化手段,結合經驗豐富的分析人員,將犯罪的難度和成本變得極高,降低了治安事件發生的風險,即使問題發生也有完善的應對方法。
上述道理在網路安全領域也同樣適用,隨著攻擊行為越來越復雜,APT(高級持續性威脅)、勒索病毒等事件頻繁發生,這些攻擊不是單點短時間攻擊,而是持續時間長達十幾個小時甚至幾天,有多個復雜的環節組成,對付這些惡意行為,同樣需要網路安全領域的可視化技術。
通過對安全路徑、流量分析、數據安全、主機安全等多個層面的可視化展現,打造一張網路安全作戰地圖,同樣可以起到以下作用:
攻擊預測
通過設定正常訪問情況下的路徑和流量基線,對發生的異常狀況進行及時發現和告警,並通過多個層面的關聯分析迅速在攻擊的早期解決問題。
路徑和流量調度
發現攻擊現象後,需要盡快通過可視化手段找出導致攻擊的錯誤路徑,並盡快配合流量調度系統將流量通過其它路徑轉發,再及時關閉錯誤路徑,將攻擊者打開的後門盡快關閉。
回溯
對於已經發生了安全事件,就像調取監控錄像一樣,需要調取事發當時的全部數據報文,通過精細化地分析取證,確保100%還原事件現場。通過多個流量採集器的配合,可以分析出攻擊者的軌跡和路徑,為追蹤攻擊者提供了事實依據。
通過網路安全可視化系統的部署,可以縮小攻擊面、延長攻擊時間、提高攻擊者成本和防禦成功率,起到震懾、預測、防禦、處置、追溯的全方位作用。
❽ 紅隊最喜歡的18 種優秀的網路安全滲透工具
Bishop labs用了兩期博客,前後各總結了9個紅隊工具,共計18個紅隊使用的優秀滲透工具,其博客文章也提及,這份清單不是決定性的,也僅用於參考。
創建者: @IAmMandatory
用途:允許 谷歌 Chrome 瀏覽器將受害者的瀏覽器變成測試代理。
優點: CursedChrome 可以很容易地在紅隊參與期間模擬惡意瀏覽器擴展。用來劫持 Chrome 瀏覽器,繞過大多數 2FA 或其他可能存在的安全保護,並利用 cookie 來訪問任何基於網路的目標。
創建者: @symbolcrash1
用途: Universal Loader 是一個 Golang 庫,可以跨多個平台(Linux、Windows 和 OSX)從內存中載入共享庫,而無需CGO。
優點: Universal Loader 可以用在新的 Apple M1 晶元上,值得一提的是,這個 Golang 庫沒有使用 memfd,這使它成為第一個這樣做的 Golang Linux 載入器。由於這兩個原因,Universal Loader 是一個相當令人印象深刻的紅隊工具。
創建者: QSecure Labs
用途: Overlord 是一個基於 Python 的控制台命令行界面,用於自動化紅隊基礎設施。
優點: 在紅隊參與期間能夠根據需要快速啟動安全基礎設施非常重要,該工具可以節省大量時間,然後可以將這些時間用於進行一些實際的黑客攻擊。
創作者: @LittleJoeTables和@rkervell
用途: Sliver是一個用 Golang 編寫的跨平台通用植入框架。
優點: 這個工具是兩位 Bishop Fox 研究人員的創意,所以我們的偏見可能會表現出來。類似於商業工具Cobalt Strike。使 Sliver 值得注意的是諸如使用每個二進制混淆的動態代碼生成、多個和可擴展的出口協議以及支持多個操作員同時控制植入物等功能。此外,它易於使用且運行速度快。
創作者: @tillson_
用途: 使用 Githound 來定位暴露的 API 密鑰和其他圍繞 GitHub 浮動的敏感信息。該工具通過模式匹配、提交 歷史 搜索和「獨特的結果評分系統」工作。
優點: 像 Githound 這樣的秘密竊取工具並不少見,但這並沒有使這個工具(或其他類似工具)的價值降低。Githound 的一些可能用例包括檢測暴露的客戶 API 密鑰以及員工 API 令牌。如果您進行漏洞賞金,此工具可用於添加書簽 - 有些人報告說,由於它,因此獲得了數千美元的賞金。
創作者: @browninfosecguy
用途: 這個工具的名字說明了一切,在 PowerShell 中輕松地為 Microsoft Active Directory 設置實驗室。
優點: 速度很快,效果很好。可以使用此工具來確保您針對 Active Directory 使用的任何漏洞利用都已完善,然後再將其引入客戶端環境。對於只想更輕松地測試 Active Directory 的滲透測試員來說非常有用。
創建者: Microsoft Azure 紅隊
用途: 可以使用 Stormspotter 更好地可視化 Azure 攻擊面;此工具可幫助您繪制 Azure 和 Azure Active Directory 對象。
優點: 類似滲透測試工具BloodHound概念類似,只是該工具是為 Azure 環境設計的。對於任何藍色或紫色團隊成員來說,從防禦的角度來看,Stormspotter 也非常有用。
創建者: @Void_Sec
用途: ECG 實際上是一種商業工具。該工具是靜態源代碼掃描器,能夠分析和檢測 TCL/ADP 源代碼中真實和復雜的安全漏洞。
優點: ECG是一種強大的工具,可以填補令人驚訝的空白。正如 VoidSec 在他們的官方文章中所指出的,TCL代碼相當普遍;所以能夠徹底分析漏洞可能會非常有幫助。沒有很多其他工具可以滿足這種獨特的需求,無論是商業的還是其他的。
創建者: @TryCatchHCF
用途: 可以使用 DumpsterFire 構建「時間觸發的分布式」安全事件來測試紅隊進攻和藍隊防守。
優點: DumpsterFire 將傳統桌面練習提升到一個新的水平,它還使用自動化來在參與期間有效地進行多任務處理(並避開一些更乏味的事情)。DumpsterFire 允許的定製程度令人印象深刻;可以真正定製模擬安全事件來滿足獨一無二的情況。
10.GhostPack
創建者: SpecterOps ( @SpecterOps )
用途: 藉助強大的後開發工具集 GhostPack,可以做各種事情;可以攻擊 KeePass 2.X 資料庫、復制鎖定的文件、篡改 Active Directory 證書等。
優點: GhostPack 是一種滿足黑客需求的「一站式商店」。包含的 13 個工具包括非常有用的 Rubeus、Seatbelt 和 SharpUp。Rubeus 是一個 C# 工具集,直接與 Active Directory 環境中的 Kerberos 協議交互,允許直接與 Kerberos 屬性(例如票證和常規身份驗證)進行通信,然後可以利用這些屬性在網路中移動。Seatbelt 是一個 C# 項目,可用於面向安全的主機「安全檢查」,而 SharpUp 是一個 C# 工具,可識別本地許可權提升路徑。這些工具被無數紅隊和網路滲透測試員使用。
創作者: Benjamin Delpy ( @gentilkiwi )
用途: Mimikatz 可以從 Windows 環境中提取密碼和其他憑據。是一種非常流行的滲透測試工具,已經存在了十多年。但 Mimikatz 會定期維護和更新,以確保仍然是最前沿的工具
優點: 將 Mimikatz 視為網路滲透測試的瑞士軍刀。帶有幾個內置工具,對 Kerberoasting、密碼轉儲很有用,你能想到的,Mimikatz 都可以做到。而且 Mimikatz 不僅適用於那裡的進攻性安全專業人員——防禦性安全團隊也可以從中受益(如果你發現自己處於紫色團隊場景中,這也是個好兆頭)。
創建者: Metasploit 項目 ( @metasploit ),由 Rapid7 與開源社區合作運營
用途: Metasploit 可以說是世界領先的滲透測試框架,由 HD Moore 於 2003 年創建。Metasploit 包括用於滲透測試幾乎每個階段的模塊,這有助於其普及。包括約 250 個後利用模塊,可用於捕獲擊鍵、收集網路信息、顯示操作系統環境變數等。
優點: Metasploit 後開發模塊非常龐大,有一個模塊最突出——Meterpreter 有效載荷。Meterpreter 允許 探索 目標系統並執行代碼,並且由於它通過內存 DLL 注入工作,因此不必冒險留下任何操作證據。Metasploit 後開發功能也非常通用,具有適用於 Windows、Linux 和 OS X 的模塊。
創作者: 阿德里安·沃爾默( @mr_mitm )
用途: 此後利用工具旨在繞過端點檢測和應用程序阻止列表。
優點: 可以使用 PowerHub 傳輸文件,而不會在測試環境中發出任何安全保護警報,這將使下一次滲透測試更加順暢和輕松。使用此工具領先於 Windows Defender。
創建者: LOLBAS 項目和亞利桑那州安全工程與研究小組
用途: LOLBAS 是一個字典,用於在 Windows 機器上使用二進制文件查找可能的許可權提升路徑。LLOLBAS 是與 LOLBAS 協同工作的攝取器。攝取器會在 Windows 機器上的 LOLBAS 列表中查找所有二進制文件,因此無需猜測或對列表進行排序以查找它們(這可能很乏味)。
優點: LOLBAS 項目可搜索機器上可能的許可權提升路徑,而 LLOLBAS 允許針對特定機器定製這些路徑。結合這兩個工具,(幾乎)在參與中勢不可擋。作為一個額外的好處,如果出現需要它們的情況,可以方便地使用離線工具。
創作者: @nil0x42
用途: PHPSploit 充當功能齊全的 C2 框架,通過單行 PHP 後門在 Web 伺服器上靜默地持久化。
優點: PHPSploit 是非安全參與時手頭上的一項了不起的工具——高效、用戶友好且運行安靜。正如其 GitHub 描述所述,PHPSploit 是「由偏執狂,為偏執狂設計的」。
創作者: 塞瓦加斯
用途: 可以使用 swap_digger 在後期開發或取證期間自動進行 Linux 交換分析。
優點: 在 Linux 交換空間中可以找到各種各樣的好東西,從密碼和電子郵件地址到 GPG 私鑰。Swap_digger 可以梳理這些交換空間並找到高影響力的獎杯,這將使評估更加成功。
創建者: RedCode 實驗室
用途: Bashark 是一個後開發工具包,顧名思義,是用編程語言 Bash 編寫的。這是一個可以產生巨大結果的簡單腳本。
優點: Bashark 工作快速而隱蔽,允許通過創建 Bash 函數來添加新命令,並清除在目標環境中使用腳本後可能留下的任何痕跡。
創作者: AlessandroZ
用途: 使用 BeRoot 項目查找可用於在 Windows、Linux 和 OS X 環境中提升許可權的常見錯誤配置。
優點: 識別常見的錯誤配置是在網路中立足的最可靠方法之一,因此找到這些錯誤配置的速度越快越好。BeRoot 項目在這方面提供了極大的幫助。
本文,旨在介紹一些紅隊工具,供大家了解和參考研究之用,不建議任何人利用網路技術從事非法工作,破壞他人計算機等行為。滲透有風險,入坑需謹慎。法網恢恢,疏而不漏。請正確理解滲透含義,正確利用滲透技術,做網路安全服務的踐行者。