隨著越來越多的嵌入式設(shè)備被添加到已經(jīng)擁擠的網(wǎng)絡(luò)中，發(fā)現(xiàn)攻擊者變得越來越困難。在這篇博客中，我們將探討一些可用的技術(shù)，這些技術(shù)可以讓防御者在檢測攻擊者方面具有優(yōu)勢，以及您作為系統(tǒng)設(shè)計(jì)者或?qū)嵤┱呖梢宰鲂┦裁磥韼椭瓿蛇@些工作。我們將從查看典型的入侵檢測系統(tǒng) (IDS) 開始，然后查看更復(fù)雜的安全信息事件管理 (SIEM) 系統(tǒng)，以及您作為設(shè)備開發(fā)人員如何幫助支持這些控制。

使用傳統(tǒng)入侵檢測系統(tǒng)進(jìn)行日志記錄和警報(bào)

傳統(tǒng)的 IDS 試圖通過攻擊者的行為來發(fā)現(xiàn)他們。IDS 可能在網(wǎng)絡(luò)或主機(jī)上運(yùn)行，??并將它看到的流量與它自己的簽名庫進(jìn)行比較，以識(shí)別可能是更大攻擊的一部分的事件。在許多情況下，這些系統(tǒng)只能對它們自己看到的內(nèi)容發(fā)出警報(bào)。根據(jù)其簽名和配置的質(zhì)量，IDS 可能容易出現(xiàn)更高的誤報(bào)率，或與簽名匹配但不表示真正攻擊的事件。為您的網(wǎng)絡(luò)調(diào)整 IDS 是減少誤報(bào)數(shù)量的重要步驟。調(diào)整過程受簽名質(zhì)量、簽名更新頻率、IDS 系統(tǒng)對其環(huán)境的了解程度以及 IDS 傳感器所在位置的影響。例如，在防火墻外部安裝網(wǎng)絡(luò) IDS 傳感器會(huì)非常嘈雜，并且在檢測已成功滲透您的網(wǎng)絡(luò)的攻擊者時(shí)不一定有用。但是，在防火墻外部安裝網(wǎng)絡(luò) IDS 傳感器可能會(huì)從 Internet 中獲取有趣的數(shù)據(jù)，或者有助于創(chuàng)建特定攻擊起源地的人口統(tǒng)計(jì)數(shù)據(jù)。

規(guī)避傳統(tǒng)入侵檢測系統(tǒng)的檢測

老練的攻擊者了解 IDS 的工作原理，并將構(gòu)建試圖逃避檢測的攻擊。攻擊者可能使用的一種技術(shù)是使用合法訪問點(diǎn)簡單地訪問您的網(wǎng)絡(luò)。攻擊者使用來自毫無戒心的用戶的釣魚（竊取）用戶名和密碼登錄 VPN 集中器，在 IDS 系統(tǒng)看來可能是合法的。然而，雖然單個(gè)登錄事件可能不會(huì)觸發(fā)警報(bào)，但攻擊者采取的后續(xù)行動(dòng)可能會(huì)被另一種類型的監(jiān)控系統(tǒng)檢測到。因此，單獨(dú)的 IDS 通常不足以檢測所有類型的攻擊。成功的攻擊檢測需要共享來自各種日志和事件的良好信息，這些日志和事件可以關(guān)聯(lián)和過濾，以提供防御者可以調(diào)查的高質(zhì)量警報(bào)。

以這兩個(gè)動(dòng)作為例：

首先，在財(cái)務(wù)組工作的員工遠(yuǎn)程登錄到網(wǎng)絡(luò)并分配了一個(gè) IP 地址。

然后，幾分鐘后該 IP 地址訪問工程數(shù)據(jù)庫服務(wù)器。

單獨(dú)來看，這些事件可能看起來很正常。但是，將這些事件關(guān)聯(lián)在一起可能會(huì)引發(fā)一個(gè)問題，說明財(cái)務(wù)用戶為什么要訪問工程系統(tǒng)。將多個(gè)事件源與針對特定環(huán)境定制的強(qiáng)大分析和規(guī)則相結(jié)合，可以實(shí)現(xiàn)關(guān)聯(lián)。可用數(shù)據(jù)越多，可以創(chuàng)建的相關(guān)性就越強(qiáng)。

關(guān)聯(lián)引擎攝取的日志數(shù)據(jù)應(yīng)來自各種系統(tǒng)和跨業(yè)務(wù)組。例如，用戶是否在其人力資源系統(tǒng)記錄被禁用后登錄到 IT 管理的 VPN 集中器？該答案可能需要來自 VPN 集中器的身份驗(yàn)證日志以及 HR 系統(tǒng)數(shù)據(jù)查詢。再舉一個(gè)例子，將來自另一個(gè)國家的同一用戶遠(yuǎn)程登錄后幾小時(shí)內(nèi)發(fā)生的個(gè)人對建筑物的物理訪問關(guān)聯(lián)起來，可能需要房東和 IT 團(tuán)隊(duì)之間的合作。

使用 SIEM 系統(tǒng)進(jìn)行日志記錄和警報(bào)

SIEM 系統(tǒng)為關(guān)聯(lián)和事件警報(bào)提供平臺(tái)。SIEM 平臺(tái)提供強(qiáng)大的防御層，幫助防御者從日常噪音和活動(dòng)中辨別出攻擊者留下的真實(shí)信號(hào)和線索。請記住，開箱即用的規(guī)則很少是足夠的，并且確定和構(gòu)建用于構(gòu)建關(guān)聯(lián)規(guī)則的正確用例需要時(shí)間和對網(wǎng)絡(luò)環(huán)境的深入了解。

您的設(shè)備必須生成適當(dāng)?shù)氖录⑴c其他監(jiān)控和 SIEM 系統(tǒng)共享這些日志以確保安全。大多數(shù)現(xiàn)代嵌入式設(shè)備都具有將事件日志轉(zhuǎn)發(fā)到遠(yuǎn)程服務(wù)器的功能。為嵌入式設(shè)備提供支持的特定操作系統(tǒng)和固件可能有助于日志記錄，您可以使用自己的特定于應(yīng)用程序的事件進(jìn)行擴(kuò)充。許多設(shè)備都支持 syslog，這是一種消息記錄標(biāo)準(zhǔn)。作為支持系統(tǒng)日志的設(shè)備的最終用戶，您通常能夠配置將任何事件轉(zhuǎn)發(fā)到哪里以及指定發(fā)送多少信息——例如，一個(gè)關(guān)鍵事件或只是一個(gè)警告。

在 SIEM 系統(tǒng)中管理事件

作為設(shè)備的設(shè)計(jì)者，您將擁有更多的控制權(quán)。您可以啟用應(yīng)發(fā)送哪些事件以及如何格式化事件。在設(shè)計(jì)新的嵌入式設(shè)備時(shí)，請考慮您的設(shè)備將如何駐留在網(wǎng)絡(luò)上，以及它生成的事件如何增強(qiáng)現(xiàn)有的更廣泛的監(jiān)控系統(tǒng)。問問自己，您可以將哪些事件和警報(bào)添加到您的設(shè)備以幫助防御者發(fā)現(xiàn)異常行為，即使它不在您的設(shè)備上。將您的設(shè)備配置為在您的設(shè)備上發(fā)生有趣的活動(dòng)時(shí)記錄事件。這些活動(dòng)可能包括用戶何時(shí)登錄、何時(shí)用戶提升其權(quán)限（例如sudo或啟用)，當(dāng)用戶編寫配置時(shí)，或當(dāng)用戶重新啟動(dòng)系統(tǒng)時(shí)。這些事件單獨(dú)來看可能并不重要，但與其他事件結(jié)合起來可能會(huì)證實(shí)一個(gè)更大的故事。通過提供此類信息，防御者可以使用您的設(shè)備活動(dòng)以及其他數(shù)據(jù)來增強(qiáng)他們的檢測過程。

除了定義和記錄特定事件之外，請確保包含足夠的關(guān)于事件的元數(shù)據(jù)，以便對防御者有用。例如，用戶登錄事件可能帶有 TCP/IP 地址和時(shí)間戳，但在事件消息中包含其他數(shù)據(jù)（如用戶名、設(shè)備品牌和型號(hào)等）會(huì)更有幫助登錄是成功還是失敗。機(jī)器將讀取您的事件，而人們將使用商業(yè)智能工具和切片器來分析您的數(shù)據(jù)，因此創(chuàng)建易于解析的事件非常重要。

為了幫助運(yùn)營中心將您的設(shè)備納入他們的系統(tǒng)，請務(wù)必清楚地記錄您將支持的事件的結(jié)構(gòu)和性質(zhì)。包括對事件及其模式的描述也會(huì)讓防御者了解您的設(shè)備如何運(yùn)行以及他們在觀察其在網(wǎng)絡(luò)上的行為時(shí)應(yīng)該期待什么。此外，記錄您的設(shè)備將使用哪些網(wǎng)絡(luò)協(xié)議以及它通常與哪些系統(tǒng)通信。此信息是描述您的設(shè)備將如何與其他系統(tǒng)通信的數(shù)據(jù)流圖的一部分。

結(jié)論

日志記錄和警報(bào)是基本工具，不僅可以檢測錯(cuò)誤和創(chuàng)建維護(hù)票據(jù)，還可以通過將單個(gè)事件拼湊成一個(gè)更大的畫面來幫助防御者檢測攻擊者。使用聯(lián)網(wǎng)的嵌入式設(shè)備時(shí)，無論您的設(shè)備多么不重要，它仍然是網(wǎng)絡(luò)上的另一個(gè)節(jié)點(diǎn)。無論您的設(shè)備是攻擊者還是旁觀者的目標(biāo)，它創(chuàng)建和記錄然后與其他安全系統(tǒng)共享的事件對于發(fā)現(xiàn)和阻止攻擊者都至關(guān)重要。

請參閱我的其他安全博客條目，包括通過基于主機(jī)和網(wǎng)絡(luò)的防火墻對嵌入式設(shè)備進(jìn)行表面區(qū)域管理，以了解更多安全最佳實(shí)踐。

審核編輯：湯梓紅