FlowEye对“永恒之蓝”事件的感知、防范、追溯、处置方案
发布时间:2017-05-16   作者:启明星辰

“永恒之蓝”事件是黑客利用了微软操作系统的SMB服务的漏洞发动的攻击,攻击是通过445端口进行的。该漏洞早在今年4月份就已被曝出,在漏洞曝出的第一时间,用户应当及时梳理清楚。

 

 

主动感知

 

与基于特征的威胁检测技术不同,FlowEye采用的是基于行为特征的检测技术,通过对攻击行为分类,并为同类攻击行为建立对应的行为模型,实现了不依赖于特征库的威胁检测,可以应对未知威胁。

 

以“永恒之蓝”事件为例,FlowEye可以主动感知并报告针对445端口的扫描行为和蠕虫传播行为。也就是说,只要是扫描行为、蠕虫传播行为,由于其行为上存在共性,因此就可以建立它的行为模型。

 

FlowEye主动感知报告的异常行为以可视化方式展示,如下图所示:

 

 

 

 

防范和追溯

 

安全首要的是做到事前防范和事中、事后的追溯。FlowEye可以帮助用户:

 

◆ 全面、准确、快速掌握网络中真实存在的网络资产有哪些

◆ 网络资产的指纹,包括运行的操作系统、开放的端口情况等

 

解决方案

首先,通过FlowEye对用户网络中的资产进行全面、准备的梳理,具体步骤:

 

第一步:通过FlowEye的资产发现功能全面准确掌握现网中真实存活的资产有哪些

 

技术原理:FlowEye采用旁路嗅探方式,通过分析流量的特征,准确发现哪些流量是真实资产产生的,并将对应的IP地址报告为存活的网络资产,实现了在对网络无干扰的情况下(不同于漏扫设备),全面、准确、自动发现网络资产。

 

第二步:对于发现的网络资产,用户需要人工审核确认哪些是合法的网络资产,哪些是非法接入的网络资产,这可以通过对资产的在线确认完成,如下图:

 

 

第三步:掌握资产的操作系统和开放端口信息,如下图:

 

 

可以查看资产开放的端口信息,如下图:

 

 

可以将开放特定端口的资产导出为excel表,如下图:

 

 

其次,违规互联的监控,以445端口为例,假设我们不允许开放445端口,具体步骤:

 

第一步:建立黑白名单(配置上记录报文)

 

 

第二步:下发监控策略,启动监控

策略下发后系统自动开始监控,当发现违规访问后,自动告警并记录原始报文。不同于常规的五元组策略,FlowEye支持配置区域策略,即IP地址可以直接配置为地理位置,例如可以实现“监控来自境外的对内网445端口的访问行为”。

 

第三步:查看告警

一旦有违规访问出现,在系统的威胁感知页面可以直观地看到,如下图:

 

 

第四步:追溯分析

进入“互联关系”分析页面可以追溯互联关系的历史,如下图所示:

 

 

对于已经检测发现的威胁,FlowEye提供追溯的能力,包括互联的下钻、原始报文的提取等。以上图为例,可以双击代表违规互联的红线,下钻查看相关的整体互联情况,如下图:

 

 

继续下钻可以查看IP之间互联对应的会话信息,包括外网的IP地址、所属地理位置、 访问的内网IP及端口、会话数和流量、对应的原始报文(pcap格式)

 

 

 

 

技术原理:FlowEye通过从网络流量中解析出会话,与互联黑白名单进行比对,如果命中黑名单互联规则,则告警并在页面可视化展示

 

 

处置

 

对于诸如可以通过防火墙进行防护的威胁,如“永恒之蓝”,FlowEye还提供了异构防火墙策略的同台管理功能,用户可以直接在FlowEye上查找

 

◆ 防火墙是否配置了响应的规则

◆ 规则的动作是阻断还是放行

 

操作步骤

第一步:导入防火墙策略

 

 

左侧为被管理的防火墙,右侧为对应的策略

 

第二步:可以条件查询相关的策略,例如查找目的端口为445、动作为阻断的策略有没有被配置

 

 

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号