由于网络安全数据种类繁多,能采集到的网络安全数据量巨大,数据包括各类资产数据、流量数据、安全防御设备产生的数据等,因此使得如何采集合适的网络安全数据成为网络安全态势提取过程中的难题。
资产维度
目标系统包含的与各类软件和硬件、运行任务相关的资产数据,可以将资产数据分为静态资产信息和动态资源信息。
-
静态资产信息:
- 硬件数据:包括磁盘、内存、CPU(Central Processing Unit,中央处理器)等硬件设备的型号、版本号等基础信息
- 操作系统数据:包括操作系统的型号、版本号等基础信息
- 软件数据:包括不同软件的类别、型号、版本号等基础信息
-
动态资源信息:运行的程序信息、配置信息、身份信息、资源状态信息
- 运行的程序信息:系统调用、进程、端口、服务
- 配置信息:注册表
- 身份信息:所有者信息
- 资源状态信息:CPU、内存、磁盘、磁盘IO占用率、网络状态
资产维度数据一般会与执行业务相关联,对网络系统的防御目的也是为了保证业务的正常运行,因此与业务运行相关的信息也被划分为资产维度数据。
采集方式
对于大规模网络系统,如果采集所有的资产数据,就会影响系统的运行状况。因此,对关注的重要资产数据进行采集,而非采集所有的数据,以下是一些可以常用的采集工具和技术:
- WMI 是一种用于管理 Windows 系统的标准接口
- SNMP 协议则是用于监控网络设备的标准协议
- 端口扫描技术则可以帮助您识别网络上开放的端口,以便您更好地了解网络拓扑和安全状况。
将采集到的结果可以通过网络拓扑图将资产可视化。
漏洞维度
目前系统中可能存在的与各种漏洞相关的信息。漏洞一般可以分为
- 软件漏洞:是指计算机、服务器上运行软件存在的脆弱性,可以看作是系统或软件的脆弱性。
- 配置漏洞:在网络、软件和硬件环境发生变化以后,未及时将安全配置进行调整,导致资产安全未得到保障而造成漏洞。
- 结构漏洞:是指由于网络系统没有采取有效的安全措施导致网络系统处于不设防的状态。
从漏洞的威胁程度而言,漏洞数据可以分为低危漏洞、中危漏洞、高危漏洞
从漏洞被利用的方式而言,漏洞维度数据可以分为
- 本地漏洞数据:指攻击者需要登录到本地系统时才能利用的漏洞数据
- 远程漏洞数据:是指攻击者可以通过远程访问目标网络进行攻击和利用的漏洞数据
采集方式
定期更新漏洞数据库转为合适的格式,常用的漏洞数据库有CNNVD(China National Vulnearability Database of Information Security,国家信息安全漏洞库)、CVE(Common Vulnerabilities and Exposures,通用漏洞披露)、NVD(National Vulnearability Database,美国国家漏洞数据库)。
基于已有漏洞信息,进行漏洞扫描,通过漏洞扫描可以对指定的远程或本地终端系统进行安全性检测。
威胁维度
攻击者对系统进行攻击时留下的与威胁行为相关的数据。威胁维度数据一般分为
- 终端数据:单个计算机、服务器等终端设备的有关数据
- 终端资产数据:同资产维度,如果资产数据发生异常时,便可以采集相关的威胁维度数据。
- 终端日志数据:主要用于了解具体哪个用户、在什么时间、对哪台设备、哪个软件、做了具体什么操作。
- 操作系统日志
- 浏览日志
- 文件日志
- 应用程序
- 网络日志
- 终端告警数据:在终端部署EDR,主动监控终端,及时发现与记录终端的各种安全事件检测告警数据.
- 流量数据:
- 完整内容数据: 在网络中传输过的没有被过滤、没有被筛选过的原始数据,具有完整的内容描述
- 提取内容数据: 从包捕获数据导出来的数据
- 会话数据: 流数据,即两个网络设备之间通信行为的汇总
- 统计数据: 对网络流量数据进行组织、分析等形成的统计性数据
- 告警数据: 当各类型检测系统检测出某些量超过了所规定的界限,或者数据出现异常情况时,系统自动产生的告警信息
采集方式
终端数据:
- 终端资产数据采集方式同资产维度
- 终端日志数据:可以使用 Flume 将不同数据源、Syslog 终端将数据采集进来
- 终端告警数据:EDR设备可以外发数据
流量数据:
- 安装安全设备:IDS、IPS设备配置外发日志
- 没有安装安全设备:通过抓包工具、Wireshark、Sniffer、Tcpdump 等工具
