通過日志記錄和警報識別異常設(shè)備行為

隨著越來越多的嵌入式設(shè)備被添加到已經(jīng)擁擠的網(wǎng)絡(luò)中，發(fā)現(xiàn)攻擊者變得越來越困難。在這篇博客中，我們將探討一些可用的技術(shù)，這些技術(shù)可以讓防御者在檢測攻擊者方面具有優(yōu)勢，以及您作為系統(tǒng)設(shè)計者或?qū)嵤┱呖梢宰鲂┦裁磥韼椭瓿蛇@些工作。我們將從查看典型的入侵檢測系統(tǒng) (IDS) 開始，然后查看更復雜的安全信息事件管理 (SIEM) 系統(tǒng)，以及您作為設(shè)備開發(fā)人員如何幫助支持這些控制。

使用傳統(tǒng)入侵檢測系統(tǒng)進行日志記錄和警報

傳統(tǒng)的 IDS 試圖通過攻擊者的行為來發(fā)現(xiàn)他們。IDS 可能在網(wǎng)絡(luò)或主機上運行，??并將它看到的流量與它自己的簽名庫進行比較，以識別可能是更大攻擊的一部分的事件。在許多情況下，這些系統(tǒng)只能對它們自己看到的內(nèi)容發(fā)出警報。根據(jù)其簽名和配置的質(zhì)量，IDS 可能容易出現(xiàn)更高的誤報率，或與簽名匹配但不表示真正攻擊的事件。為您的網(wǎng)絡(luò)調(diào)整 IDS 是減少誤報數(shù)量的重要步驟。調(diào)整過程受簽名質(zhì)量、簽名更新頻率、IDS 系統(tǒng)對其環(huán)境的了解程度以及 IDS 傳感器所在位置的影響。例如，在防火墻外部安裝網(wǎng)絡(luò) IDS 傳感器會非常嘈雜，并且在檢測已成功滲透您的網(wǎng)絡(luò)的攻擊者時不一定有用。但是，在防火墻外部安裝網(wǎng)絡(luò) IDS 傳感器可能會從 Internet 中獲取有趣的數(shù)據(jù)，或者有助于創(chuàng)建特定攻擊起源地的人口統(tǒng)計數(shù)據(jù)。

規(guī)避傳統(tǒng)入侵檢測系統(tǒng)的檢測

老練的攻擊者了解 IDS 的工作原理，并將構(gòu)建試圖逃避檢測的攻擊。攻擊者可能使用的一種技術(shù)是使用合法訪問點簡單地訪問您的網(wǎng)絡(luò)。攻擊者使用來自毫無戒心的用戶的釣魚（竊?。┯脩裘兔艽a登錄 VPN 集中器，在 IDS 系統(tǒng)看來可能是合法的。然而，雖然單個登錄事件可能不會觸發(fā)警報，但攻擊者采取的后續(xù)行動可能會被另一種類型的監(jiān)控系統(tǒng)檢測到。因此，單獨的 IDS 通常不足以檢測所有類型的攻擊。成功的攻擊檢測需要共享來自各種日志和事件的良好信息，這些日志和事件可以關(guān)聯(lián)和過濾，以提供防御者可以調(diào)查的高質(zhì)量警報。

以這兩個動作為例：

首先，在財務(wù)組工作的員工遠程登錄到網(wǎng)絡(luò)并分配了一個 IP 地址。

然后，幾分鐘后該 IP 地址訪問工程數(shù)據(jù)庫服務(wù)器。

單獨來看，這些事件可能看起來很正常。但是，將這些事件關(guān)聯(lián)在一起可能會引發(fā)一個問題，說明財務(wù)用戶為什么要訪問工程系統(tǒng)。將多個事件源與針對特定環(huán)境定制的強大分析和規(guī)則相結(jié)合，可以實現(xiàn)關(guān)聯(lián)?？捎脭?shù)據(jù)越多，可以創(chuàng)建的相關(guān)性就越強。

關(guān)聯(lián)引擎攝取的日志數(shù)據(jù)應(yīng)來自各種系統(tǒng)和跨業(yè)務(wù)組。例如，用戶是否在其人力資源系統(tǒng)記錄被禁用后登錄到 IT 管理的 VPN 集中器？該答案可能需要來自 VPN 集中器的身份驗證日志以及 HR 系統(tǒng)數(shù)據(jù)查詢。再舉一個例子，將來自另一個國家的同一用戶遠程登錄后幾小時內(nèi)發(fā)生的個人對建筑物的物理訪問關(guān)聯(lián)起來，可能需要房東和 IT 團隊之間的合作。

使用 SIEM 系統(tǒng)進行日志記錄和警報

SIEM 系統(tǒng)為關(guān)聯(lián)和事件警報提供平臺。SIEM 平臺提供強大的防御層，幫助防御者從日常噪音和活動中辨別出攻擊者留下的真實信號和線索。請記住，開箱即用的規(guī)則很少是足夠的，并且確定和構(gòu)建用于構(gòu)建關(guān)聯(lián)規(guī)則的正確用例需要時間和對網(wǎng)絡(luò)環(huán)境的深入了解。

您的設(shè)備必須生成適當?shù)氖录⑴c其他監(jiān)控和 SIEM 系統(tǒng)共享這些日志以確保安全。大多數(shù)現(xiàn)代嵌入式設(shè)備都具有將事件日志轉(zhuǎn)發(fā)到遠程服務(wù)器的功能。為嵌入式設(shè)備提供支持的特定操作系統(tǒng)和固件可能有助于日志記錄，您可以使用自己的特定于應(yīng)用程序的事件進行擴充。許多設(shè)備都支持 syslog，這是一種消息記錄標準。作為支持系統(tǒng)日志的設(shè)備的最終用戶，您通常能夠配置將任何事件轉(zhuǎn)發(fā)到哪里以及指定發(fā)送多少信息——例如，一個關(guān)鍵事件或只是一個警告。

在 SIEM 系統(tǒng)中管理事件

作為設(shè)備的設(shè)計者，您將擁有更多的控制權(quán)。您可以啟用應(yīng)發(fā)送哪些事件以及如何格式化事件。在設(shè)計新的嵌入式設(shè)備時，請考慮您的設(shè)備將如何駐留在網(wǎng)絡(luò)上，以及它生成的事件如何增強現(xiàn)有的更廣泛的監(jiān)控系統(tǒng)。問問自己，您可以將哪些事件和警報添加到您的設(shè)備以幫助防御者發(fā)現(xiàn)異常行為，即使它不在您的設(shè)備上。將您的設(shè)備配置為在您的設(shè)備上發(fā)生有趣的活動時記錄事件。這些活動可能包括用戶何時登錄、何時用戶提升其權(quán)限（例如sudo或啟用)，當用戶編寫配置時，或當用戶重新啟動系統(tǒng)時。這些事件單獨來看可能并不重要，但與其他事件結(jié)合起來可能會證實一個更大的故事。通過提供此類信息，防御者可以使用您的設(shè)備活動以及其他數(shù)據(jù)來增強他們的檢測過程。

除了定義和記錄特定事件之外，請確保包含足夠的關(guān)于事件的元數(shù)據(jù)，以便對防御者有用。例如，用戶登錄事件可能帶有 TCP/IP 地址和時間戳，但在事件消息中包含其他數(shù)據(jù)（如用戶名、設(shè)備品牌和型號等）會更有幫助登錄是成功還是失敗。機器將讀取您的事件，而人們將使用商業(yè)智能工具和切片器來分析您的數(shù)據(jù)，因此創(chuàng)建易于解析的事件非常重要。

為了幫助運營中心將您的設(shè)備納入他們的系統(tǒng)，請務(wù)必清楚地記錄您將支持的事件的結(jié)構(gòu)和性質(zhì)。包括對事件及其模式的描述也會讓防御者了解您的設(shè)備如何運行以及他們在觀察其在網(wǎng)絡(luò)上的行為時應(yīng)該期待什么。此外，記錄您的設(shè)備將使用哪些網(wǎng)絡(luò)協(xié)議以及它通常與哪些系統(tǒng)通信。此信息是描述您的設(shè)備將如何與其他系統(tǒng)通信的數(shù)據(jù)流圖的一部分。

結(jié)論

日志記錄和警報是基本工具，不僅可以檢測錯誤和創(chuàng)建維護票據(jù)，還可以通過將單個事件拼湊成一個更大的畫面來幫助防御者檢測攻擊者。使用聯(lián)網(wǎng)的嵌入式設(shè)備時，無論您的設(shè)備多么不重要，它仍然是網(wǎng)絡(luò)上的另一個節(jié)點。無論您的設(shè)備是攻擊者還是旁觀者的目標，它創(chuàng)建和記錄然后與其他安全系統(tǒng)共享的事件對于發(fā)現(xiàn)和阻止攻擊者都至關(guān)重要。

請參閱我的其他安全博客條目，包括通過基于主機和網(wǎng)絡(luò)的防火墻對嵌入式設(shè)備進行表面區(qū)域管理，以了解更多安全最佳實踐。

審核編輯：湯梓紅