本文探讨了网络遥测和端点遥测在检测横向移动攻击中的依赖性,重点分析了MITRE ATT&CK框架下远程服务技术的检测效果,强调通过异常行为分析提升检测能力的重要性。
一、研究背景
研究问题:研究旨在解决复杂网络环境中检测横向移动攻击的难题。横向移动是网络攻击中的关键阶段,允许攻击者在网络中穿越、提升权限并窃取敏感数据。然而,由于攻击者常使用合法工具和流程规避基于签名数据库的检测,识别这些行为变得极为困难。因此,如何优化网络和端点遥测的使用以提高检测准确率并缩短检测时间(MTTD),成为网络安全领域的重要课题。
研究难点:研究面临的主要挑战包括:1)遥测数据源的数量和复杂性增加,导致数据流与组织需求和网络结构难以对齐;2)过多的非优先遥测数据引发噪音干扰,增加了误报率(FP)并延迟响应时间;3)缺乏针对特定攻击类型的遥测源优先级指导,使得资源分配不当,可能忽略关键威胁指标。此外,实验环境无法模拟长时间的真实流量模式,限制了工具异常检测引擎的全面评估。
文献综述:现有研究已探索多种横向移动攻击的检测方法(如Almond, 2024),但关于哪些遥测类型能增强检测能力的指导仍然有限。VMware报告(Ortolani & Vigna, 2022)指出,攻击者常利用“T1021.002: SMB/Windows管理共享”、“T1550.002: Pass the Hash”等技术进行横向移动。本研究基于CALDERA平台模拟MITRE ATT&CK框架中的远程服务技术,填补了关于最优遥测源选择的实证数据空白,为更全面和数据驱动的网络安全方法提供支持。
二、研究方法
网络和端点遥测的影响评估:研究通过模拟MITRE ATT&CK框架中的远程服务技术,使用CALDERA平台在实验室环境中进行攻击模拟。实验配置包括域控制器、邮件服务器、Web服务器和文件服务器,所有设备都故意设置漏洞以便收集遥测数据。研究采用了多种MITRE ATT&CK技术,如Nmap扫描、SMB/Windows管理共享、SSH等,以检测横向移动攻击的准确性和平均检测时间(MTTD)。
攻击场景设计:攻击从UserNet中的PC-JDoe发起,目标是DMZNet中的邮件服务器,并最终到达InternalNet中的文件服务器。攻击链中包括Nmap IP和端口扫描、WinRM服务利用以及通过CALDERA模块进行的服务创建攻击。实验中详细记录了每次攻击的时间戳和操作步骤。
测试组与测量:研究设计了两个测试组,分别基于网络日志和端点日志,以评估检测横向移动攻击的效果。网络日志使用Cisco Secure Cloud Analytics (SCA)生成警报,而端点日志则通过部署在相关设备上的Cisco Secure Endpoint代理监控。通过测量从攻击启动到警报生成的时间来计算MTTD。
三、实验结果
Nmap扫描结果:网络日志成功检测到Nmap扫描活动,MTTD为4小时28分钟,而端点日志未触发任何警报。这表明网络遥测在检测大规模扫描活动方面具有优势。
CALDERA模块横向移动:通过服务创建技术,网络日志和端点日志均成功检测到攻击,但网络日志的MTTD为4小时26分钟,而端点日志仅为2分钟。这显示了端点遥测在检测已知恶意文件执行方面的快速响应能力。
远程服务SSH和WinRM:在这两种技术中,网络日志均成功检测到攻击,MTTD分别为29分56秒和29分42秒,而端点日志未产生任何警报。这进一步验证了网络遥测在检测利用合法服务进行横向移动攻击方面的有效性。
四、结果分析
网络遥测的优势:研究发现,网络遥测在检测所有测试的横向移动技术时均能提供准确的真阳性(TP)检测。网络遥测能够识别利用合法进程进行恶意活动的行为,如PowerShell远程管理和SMB。尽管网络警报的MTTD较长,但这并不反映工具本身的局限性,而是由于需要收集足够的观测数据来满足异常阈值。
端点遥测的局限性:端点遥测在检测已知IOC时表现出显著较短的MTTD,但在识别利用合法进程或服务的横向移动活动时面临挑战。例如,在涉及SSH和WinRM的场景中,端点日志未能触发警报。这突显了结合网络监控以实现全面威胁可见性和关联的重要性。
综合防御策略:研究强调了依赖网络遥测作为检测横向移动攻击的有效机制,特别是在攻击者利用合法工具和服务规避端点防御的情况下。虽然端点遥测在基于IOC的威胁检测中提供了更快的响应速度,但其有限的范围需要通过深度防御策略来弥补,其中网络和端点遥测协同工作以减少检测盲区。
五、建议与未来研究方向
实践建议:建议加强网络可见性工具的使用,通过网络日志检测异常通信模式来识别横向移动攻击。部署强大的EDR解决方案,建立行为基线以检测偏差并触发基于异常的警报。整合扩展检测和响应(XDR)平台,将网络、端点和其他遥测源相关联,以获得攻击链的整体视图。
未来研究方向:未来研究可以扩大范围,包括更多横向移动技术和攻击场景,如内部鱼叉式网络钓鱼、远程服务会话劫持和使用替代认证材料。此外,可以通过模拟对手初始访问活动来生成更全面的端点遥测数据,从而提升检测准确性并缩短MTTD。
六、总体结论
关键发现:研究表明,检测横向移动攻击主要依赖于网络日志而非端点遥测。网络遥测在识别利用加密流量或规避技术进行的恶意活动方面具有更广泛的可见性。
网络可见性工具的重要性:网络可见性工具在识别横向移动方面发挥着不可或缺的作用。与端点日志不同,网络遥测能够检测到异常通信模式和流量异常,这些往往是恶意行为的标志。
未来工作方向:未来的研究应在此基础上整合更多遥测源,如认证日志,以增强检测能力和深入了解与横向移动攻击相关的敌对行为。扩展攻击模拟范围,包括商业工具和手动渗透测试,有助于更全面地评估检测机制。此外,执行更广泛的横向移动技术将进一步深化分析和研究结果。
扫码加入知识星球:网络安全运营运维
下载本篇和全套资料
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...