在你不知情的情況下,你網(wǎng)內(nèi)的主機(jī)被境外控制,那將意味著什么?是否會有機(jī)密失竊?是否會有重要系統(tǒng)失靈?啟明星辰安全服務(wù)團(tuán)隊在執(zhí)行安全檢查的任務(wù)時,時常會發(fā)現(xiàn)用戶網(wǎng)內(nèi)的主機(jī)IP與境外IP有互相訪問的痕跡,有些甚至是內(nèi)網(wǎng)主機(jī)主動發(fā)起控制請求,而主機(jī)所在的網(wǎng)絡(luò)通常是被禁止與互聯(lián)網(wǎng)連接的。
境外的連接究竟是做什么的?
經(jīng)分析,在多數(shù)情況下,發(fā)起這些連接的是被植入主機(jī)的木馬軟件。木馬軟件或是請求境外主機(jī)的控制,或是在網(wǎng)內(nèi)搜集信息,加密后向外部發(fā)送。另外,網(wǎng)內(nèi)的主機(jī)也有被人為用作一些違規(guī)的事件的可能,例如內(nèi)網(wǎng)主機(jī)曾被發(fā)現(xiàn)用做比特幣挖礦運算。綜合來看,多數(shù)與境外的連接已經(jīng)破壞了整個網(wǎng)絡(luò)的邊界,甚至已經(jīng)造成了不可挽回的損失。
如何能監(jiān)控到這些非法連接?
內(nèi)網(wǎng)的主機(jī)違規(guī)與網(wǎng)外主機(jī)互聯(lián),這種行為叫做非授權(quán)外聯(lián)或非法外聯(lián)。針對非法外聯(lián)行為,目前主流的監(jiān)控技術(shù)路線有兩種:一種是在被監(jiān)控的主機(jī)上安裝客戶端軟件,另一種是利用內(nèi)網(wǎng)發(fā)數(shù)據(jù)包,靠返回的包用于定位非授權(quán)外聯(lián)主機(jī)。兩種方案在實現(xiàn)上均會受到一定的局限。
有沒有更簡便易行的方案?
啟明星辰安全服務(wù)團(tuán)隊采用FlowEye產(chǎn)品用于發(fā)現(xiàn)非法外聯(lián)。FlowEye的技術(shù)原理是:基于在網(wǎng)絡(luò)中偵聽到的數(shù)據(jù)流,對流中所體現(xiàn)的訪問關(guān)系進(jìn)行解析,并對比系統(tǒng)內(nèi)置的關(guān)系黑白名單,即可發(fā)現(xiàn)不合規(guī)的互聯(lián)關(guān)系。FlowEye對流的分析,沒有局限于對協(xié)議、流量等分析的呈現(xiàn),而是側(cè)重于對流中所體現(xiàn)的網(wǎng)絡(luò)訪問秩序進(jìn)行梳理。網(wǎng)內(nèi)與境外的違規(guī)連接默認(rèn)即被定義為黑名單。無論主機(jī)是被植入木馬或是人為的違規(guī)外聯(lián),一旦有外聯(lián)數(shù)據(jù)流產(chǎn)生即可被FlowEye識別并告警。
FlowEye產(chǎn)品融合了流分析技術(shù)和傳統(tǒng)的審計技術(shù),以硬件設(shè)備形態(tài)出現(xiàn)。設(shè)備采用旁路部署方式,這種部署方式不要求用戶改變網(wǎng)絡(luò)結(jié)構(gòu)。經(jīng)歷不斷完善后的FlowEye,已不僅僅局限于發(fā)現(xiàn)內(nèi)網(wǎng)與境外的違規(guī)連接,還可實現(xiàn)梳理內(nèi)部安全域之間的互相訪問關(guān)系;發(fā)現(xiàn)內(nèi)網(wǎng)未登記的IP資產(chǎn);審計并梳理防火墻策略等重要功能。
![D)5K565F_T]V~8V4OMW]`_A](https://hfnxjk.com/uploadfile/2015/0724/20150724050821338.png)
結(jié)語
隨著用戶對FlowEye產(chǎn)品認(rèn)知程度的加深,越來越多的用戶將其納入自身安全體系。另外,F(xiàn)lowEye產(chǎn)品還贏得了測評機(jī)構(gòu)的青睞,在被當(dāng)做測評工具頻繁用于等級保護(hù)測評等項目中,已為用戶挖掘出不少安全隱患,并提供了有價值的安全建議。
古人云:叩其兩端,而執(zhí)其中。意思是說:了解事物的本質(zhì)與全貌,通常也就找到解決問題最合適的方法。FlowEye從安全秩序的角度對數(shù)據(jù)流進(jìn)行分析,在為用戶提供安全參考依據(jù)中發(fā)揮著重要作用。
京公網(wǎng)安備 11010502049343號