声明:
本文的学习内容来源于B站up主"泷羽sec"视频"蓝队基础之网络七层杀伤链"的公开分享,所有内容仅限于网络安全技术的交流学习,不涉及任何侵犯版权或其他侵权意图。如有任何侵权问题,请联系本人,我将立即删除相关内容。
本文旨在帮助网络安全爱好者提升自身安全技能,并严格遵守国家法律法规。任何人利用本文中的信息从事违法活动,均与本文作者和"泷羽sec"无关。请读者自觉遵纪守法,合理合法使用相关知识。
1 SOC管理流程:保障企业信息安全的基石
SOC(Security Operations Center,安全运营中心)是企业信息安全管理的重要组成部分,负责监控、分析并响应网络中的安全事件。为了让SOC与企业的整体信息安全管理体系无缝衔接,理解SOC如何融入ISMS(Information Security Management System,信息安全管理体系)至关重要。
1.1 ISO27001与NIST网络安全框架的标准
ISO27001和NIST网络安全框架是企业安全管理的两大主流标准。ISO27001提供基于控制的审计与认证框架,而NIST网络安全框架则更强调网络攻击的识别、保护、检测、响应和恢复五大阶段。这些标准为企业制定安全策略提供指导,尽管它们并未强制要求建立SOC,因此企业的安全运营方式通常因地制宜。
1.2 信息安全生命周期与管理框架
信息安全的生命周期大体分为安全策略、能力设计、实施和运营 四个阶段。戴明环(PDCA)模型,即计划、执行、检查、行动,早期表现出信息安全管理的基本思路。SABSA框架在此基础上进行了拓展,将生命周期划分为战略规划、设计、实施和管理测量四大阶段。
对于渗透测试,SOC操作重在避免被检测;而从防御视角来看,理解SOC的生命周期有助于确保其高效运作。SOC的核心目标是通过监控与事件响应,为企业基础设施与业务流程提供坚实的安全保障。
1.3 SOC分层:职责划分与响应机制
SOC通常按职责和技术复杂性分为不同层级,每个层级处理特定任务:
- L1层:监控告警、分类事件并处理较小问题。
- L2层:负责日常事件的分析、遏制及解决。
- L3层:应对高级威胁,进行损失控制、深入调查和数字取证分析。
- L4层:管理非事件性流程,例如账户管理、访问权限审核、定期安全报告及其他主动防护任务。
2 日志收集:构建安全监控的基础
日志收集是网络安全监控的基础,它涉及从各种关键日志来源收集数据。这些来源包括但不限于代理服务器、邮件服务器、Web服务器、数据库、身份认证服务器、防火墙、路由器和交换机,以及应用程序服务器和工作站。为了有效地收集这些日志,需要配置日志源以生成日志,并将其转发给日志收集器,然后上传到SIEM(安全信息和事件管理)系统。
在Windows系统中,可以使用事件日志收集和转发机制来获取日志数据。而在Linux系统中,则通常使用syslog来收集和聚合日志,并将其转发到指定的日志收集器。此外,随着物联网技术的发展,楼宇管理和工控网络日志也成为了重要的日志来源,这些系统现在通常连接到企业网络,并可能成为攻击者的主要目标。
3 日志搜索与分析:发现潜在威胁
收集到的日志数据需要进行有效的搜索和分析,以便及时发现潜在的安全威胁。Splunk等日志管理工具提供了强大的日志收集、存储、搜索、分析和可视化功能。此外,SIEM系统能够关联日志与活动,识别可疑内容,而Splunk也可以作为SIEM解决方案之一。
4 监控告警:实时响应网络安全威胁
监控告警是网络安全响应的重要组成部分。告警可以来自SIEM系统,但也可以直接来自安装在系统和网络中的传感器实时告警系统,如IDS(入侵检测系统)设备。此外,事后告警系统,如AIDE(监视系统文件的修改)等,也可以提供重要的安全信息。在某些情况下,事件可能不会从日志或警报中触发,例如攻击者更改了用户密码后,用户可能会直接联系管理员进行通告。
5 事件响应:快速高效的安全事件处置
事件响应是网络安全管理的关键环节。L2级分析师在收到L1级的工单后,会进行分析评估,并进行相应的事件响应流程。数字取证分析是网络安全的一个专门领域,通常由L3级分析师处理。他们会对内存、硬盘等存储设备以合法方式进行取证,以保护数据的完整性。
6 Cyber Hunting(网络狩猎):主动防御新兴威胁
网络狩猎是SOC(安全运营中心)L3级分析师的一门新兴学科。它假设网络已被渗透,通过主动寻找恶意软件(或入侵者),争取在攻击造成损失之前发现。网络狩猎需要寻找一系列指标,以还原网络攻击时间线。MITRE ATT&CK框架是网络威胁猎人的一个关键资源,它提供了攻击者行为方式及其使用工具的信息,有助于发现攻击痕迹。网络威胁搜寻需要非常了解正常状态,并能够识别入侵和异常活动。
7 威胁情报:及时获取新兴威胁信息
威胁情报是网络安全管理的重要组成部分。妥协指标(IOC)是用于识别恶意软件或恶意活动的签名,通常以文件名和哈希值的形式提供。考虑到新威胁信息的规模,手动获取和记录威胁情报已不再可行。因此,自动化威胁管理变得尤为重要。MITRE开发了结构化威胁信息表达(STIX)和可信智能信息自动交换(TAXII)协议,以实现威胁信息的自动提供和摄取。这些协议允许自动获得威胁情报,并将其输入IDS、SIEM等工具,从而实现威胁情报的近乎实时更新,以确保击败已知威胁。此外,AlienVault OTX等开放威胁交换服务也提供了手动访问危害指标的功能。