安全洋蔥(Security Onion)是一個免費的開源平臺,用于網絡、主機和企業安全監控和日志管理(收集和后續分析)。
憑借可用的軟件包集合,Security Onion為高需求的事件響應和取證用例提供了一個最佳的、高度可擴展的解決方案。
安全洋蔥有豐富的數據收集,安全分析,數據分析和可視化組件。它包括TheHive、Playbook、Fleet、osquery、CyberChef、Elasticsearch、Logstash、Kibana、Suricata、Zeek、Wazuh和許多其他工具。
Security Onion已被下載超過 200萬次,并被世界各地的安全團隊用于監控和保護他們的企業。
在傳統企業網絡中,我們可以使用 Security Onion:
1.監控南北流量,以檢測外部人員侵入內部環境。
2.監控內部數據流動以檢測異常的橫向滲透攻擊。
3.僅靠網絡數據分析并不充分,因為越來越多的應用使用加密的方式傳輸數據,SecurityOnion通過終端遙測形式的來彌補這些盲點。
4.Security Onion還可以收集來自您的服務器和工作站的日志,以便發現網絡中的異常。
如果要在企業網絡內部署 Security Onion,我們首先需要根據企業網絡狀況和功能需求選擇部署架構。
SecurityOnion提供了導入模式,評估模式,獨立模式,分布式4種部署架構。
一般情況下,小型的辦公網絡或實驗室可以使用獨立模式,對于大型的企業網絡,建議使用分布式部署架構。
3.1.導入架構,這是最簡單的架構,只有1個Import節點。
在節點上可以使用so-import-pcap導入pcap捕捉的數據,再使用Suricata和Zeek進行分析,分析結果導入Elasticsearch,然后通過安全洋蔥控制臺(SOC)來查看。
3.2.評估架構,主要用于快速安裝臨時測試評估SecurityOnion,并不適用于正式的網絡環境。
比導入架構稍微復雜,可以直接從TAP(網絡分流器)抓取并分析數據包。
3.3.獨立模式,不具擴展性,一般用于測試,實驗室,POC或網絡流量非常小的環境。
在評估模式下增加了2個LogStash管道,可以將多種來源的數據轉換后存儲到Redis以及從Redis提取數據到Elasticsearch。
3.4.分布式,官方推薦的部署模式,可擴展性強,性能更高。
由1個管理節點,多個轉發節點和多個搜索節點組成(另外一種重負載節點的分布式方式因性能不高,不在本文內介紹)
3.4.1.管理節點:
管理員或分析人員從自己的電腦通過Web或者SSH連接到管理器節點以執行查詢和檢索數據。
管理節點的主要處理數據存儲,搜索,分析,顯示及預警。
3.4.2.轉發節點:
相當于網絡中的傳感器,利用FileBeat或WinLogBeat將所有日志轉發到管理節點上的Logstash。
3.4.3.搜索節點:
使用Elasticsearch的跨集群搜索實現分布式部署。它會創建一個本地Elasticsearch實例,然后配置管理器節點以查詢該實例。
搜索節點從管理器節點上的Redis隊列中提取日志,然后解析這些日志并建立索引。當用戶查詢管理節點時,管理節點再查詢存儲節點,并返回搜索結果。
4.1.硬件要求
導入模式(最低要求):
其他模式:
建議雙網卡,其中一個專用于管理網絡,一個用于網絡嗅探。
4.2.安裝鏡像建議從SecurityOnion官網下載,最新版本2.3,官網ISO鏡像包含了CentOS7X64和SecurityOnion相關組件。
SecurityOnion目前僅支持在CentOS 7X64和Ubuntu 18.04上運行。
最后我們看看Security Onion可視化界面
對于進一步的安裝,配置,操作及數據分析有興趣可以關注我。
勒索軟件最常見的“商業模式”就是感染用戶設備后加密重要數據,并以業務中斷和數據泄露來勒索受害者,要求支付贖金以換取解密密鑰。
因此,對于勒索軟件防御者來說,了解不同勒索軟件的加密速度很重要,因為檢測的越快,造成的損失就越少,并且需要恢復的數據量也能減少。那么,不同勒索軟件的加密速度到底有多大區別呢?近日Splunk對當下主流的勒索軟件族群和樣本進行了大范圍的“橫向評測”。
加密速度排行榜
Splunk的研究人員從10個不同勒索軟件家族各采集了10個樣本進行了400次加密測試。測試平臺則使用了四種不同性能規格的主機配置,以全面反映勒索軟件在不同企業客戶環境中的真實加密速度。
測試數據為98561個文件(總計53GB)。研究人員使用各種工具(例如本機Windows日志記錄、Windows Perfmon統計信息、Microsoft Sysmon、Zeek和stoQ)對勒索軟件樣本的加密速度進行了測試。
由于企業的主機系統硬件和操作系統配置各不相同,為了反映真實的公司網絡設置,分析師測量了所有樣本的加密時間并得出了每個樣本的加密速度中值。
測試結果顯示,10個勒索軟件家族的所有100個樣本的總平均加密時間為42分52秒。
然而,如下表所示,不同勒索軟件樣本的加密速度差異極大,很多都明顯偏離中值:
勒索軟件樣本的加密速度測試排名 數據來源:Splunk
評測結果顯示,LockBit是加密速度之王,Babuk以微弱優勢緊隨其后。LockBit加密測試數據的平均時間只有5分50秒,每分鐘可加密25000個文件。
曾經多產的勒索軟件Avaddon(排名第三)平均加密時間只用了13分鐘多一點,REvil(排名第四)耗時大約24分鐘,BlackMatter和Darkside在45分鐘內完成了加密。
令人驚訝的是,“戰績輝煌”的Conti(第八名)和Maze(第九名)的加密速度排名墊底,Conti需要將近一個小時來加密54GB的測試數據,而Maze和最后一名PYSA則需要近兩個小時才能完成。
LockBit長期在其會員推廣頁面上吹噓他們是加密文件最快的的勒索軟件,并針對30多種不同的勒索軟件發布了自己的基準測試(下圖)。參考Splunk的測試結果來看LockBit并非自吹自擂。
LockBit發布的30種勒索軟件加密速度評測
速度并非第一要素
雖然加密速度對于勒索軟件攻擊來說是一個重要因素,但加密階段并非勒索軟件攻擊的唯一檢測機會,完整的勒索軟件生命周期(下圖)涉及偵察期、橫向移動、憑據竊取、特權升級、數據泄露、禁用備份鏡像副本等:
此外,真正決定勒索軟件攻擊持久性或可控性的是加密強度,后者比加密速度更重要。
報告顯示,勒索軟件事件的響應時間窗口很短,這表明一點:過于依賴某種勒索軟件檢測和緩解方案是不現實的,也是錯誤的選擇。
正如Splunk報告中所指出的,這項研究表明組織需要將重點從事件響應轉移到勒索軟件感染預防。
業界之前的研究發現,企業對網絡攻擊的平均檢測時間(MTTD)是三天,而勒索軟件留給企業網絡防御者的檢測時間窗口平均只有43分鐘,這意味著絕大多數企業都無法及時檢測到勒索軟件攻擊。
而且,由于大多數勒索軟件組織選擇在企業IT團隊人手不足的周末攻擊,大多數加密嘗試都能成功完成,因此加密時間(速度)不應成為防御者的重要考慮因素。
最好的防御是預防
總之,對于勒索軟件來說,最好的防御就是預防。在勒索軟件攻擊的偵察階段及早檢測異常活動,在勒索軟件部署之前采取措施。
企業要重點檢測和查找可疑網絡活動、異常帳戶活動,以及勒索軟件組織實施攻擊前常用的偵察工具,例如Cobalt Strike、ADFind、Mimikatz、PsExec、Metasploit和Rclone。