虚拟云网络专辑|VMware 网络安全新方案简述(四)
奇正资讯 > VMware资讯 更新时间:2022/10/13坊间被认为是 NDR (Network Detection and Response) 的产品相当多,基本上各个资料安全大厂小厂都宣称自己有 NDR 产品。可是一个 NDR 方案到底应该包含什么机制,则莫衷一是。Lastline 原本就已经是 NDR 方案的领导厂商,而目前 VMware 对 NDR 方案的定义则如下图所示:
在前面几篇推文我们已经各自讨论了 IDPS 的新机制、搭配云端沙箱进行恶意软件侦测、以及针对大量网络流进行异常行为分析。这些不同的机制都是 Network Detection and Response 进行网络安全事件侦测与阻挡的一部分,但更重要的是,资料安全管理者如何在海量的事件与资料内,能够很容易地检视安全事件的历程、影响范围与规模呢? 因此当我们在讨论 NSX 内的 NDR 功能时,其实着重的是在整合上述安全机制的事件仪表板。当 NDR 相关机制部署完成并开始检测,由 NSX Manager 右上方我们可以将 NSX Network Detection and Response 这个仪表板叫出来,如下图:
左边的工作列可以各自开启安全单一事件 (Events)、资料安全事故 (Incidents)、异常资料下载…的列表。但本篇内我只想要谈 NDR 介面最强大的功能叫做攻击链 (Campaign)。NSX NDR 透过对来自 IDPS / Malware / Network Traffic Analysis 等的海量安全事件进行关联分析,找出彼此间相关的活动,能够将这些事件串联在一起,显示出攻击的阶段、前后关系、以及整体受影响的范围,让资安人员可以快速检视一目了然。 下图是一个小型的 Campaign:
在 Overview 内首先看到的是这串攻击链内影响的范围(两台内部的主机)以及相关侦测到的威胁事件,下方的蓝图则以图示方式绘出受影响的机器以及对应事件。更进一步,我们可以点击上方的 Timeline,将这个攻击链内的安全事件依据时间序先后列出: 此时资料安全管理者可以非常清晰地看到一个攻击链的全貌,以及每个单一事件的影响范围、侦测的证据等。如上图,我们可以看到整个事件的开端在 192.168.100.157 这台机器下载了 darkside.exe 这个恶意程式,同时此程式在执行并自动连往 Internet 让骇客取得控制权,也触动了 IDPS 的警告。 若我们要深究单一事件的细节,点击后即可在右方的 Evidence Summary 看到相关的资讯,比如说上图内当我们点选黄色的 ETERNALBLUE 事件,右方即显示了由 192.168.100.157 主机横向透过 ETERNALBLUE 弱点,感染了 192.168.20.67 这台机器。 此时若我们进一步选择右下角的 More details,针对此攻击方式的相关细节、对应的弱点等也能完整显示出来: 同样的如果我们选择上方的 History,一个更简单的整体事件摘要可以显示如下。整理整个攻击链事件: 第一台机器下载 Darkside 恶意程式后被取得控制权; 横向透过 ETERNALBLUE 弱点取得第二台机器控制权; 第二台机器也下载了 Darkside 程式; 第二台机器借由 DNSCAT (一种 DNS Tunnelling 机制),借由 DNS 协议将资料送往 Internet。
这里想让大家看到的重点是 NDR 仪表板汇集了来自 IDPS / Malware Prevention / Network Traffic Analysis 等不同的来源事件,优化并梳理出一个易于检视、查询的事件全貌。这里的网络事件集合本身就已经相当于一个小型的 SIEM 系统了,而且资安管理者不需要自行写规则、自己作正规化判断、在海量资料内进行搜寻。在受 NSX NDR 相关机制保护的领域内,所有网络相关事件可以非常容易地统合进行查找分析。 相关由 NSX-T 3.2 起发布的网络安全新功能就暂时介绍到这。下一篇我们同样以 Q&A 的方式,回应在介绍 NDR 相关功能时常被客户与经销伙伴询问的问题。
本文转载自VMware公众号
关注奇正科技公众号