14、账号异常相关安全分析场景
转载公众号《微言晓意》,仅用于个人学习
网络设备、安全设备、操作系统、中间件、应用系统都具有账号,只要有账号就会涉及到异常账号(状态)与账号异常(行为)的安全监控与分析。从风险类型来说,账号异常涉及到内部违规、暴力破解、账号失陷以及程序错误等类型,在安全日常监控与态势感知中都起到非常大的作用。
账号异常与UEBA有很大的关系,UEBA也是围绕着用户(账号)与行为(操作)进行分析,不同的是UEBA除了会用到关联分析方法外,还可能会用到机器学习算法,或者将二者进行有机的结合。本文主要是针对与账号异常相关的关联分析场景进行总结。
▼▼场景一:绕过堡垒机违规登陆服务器行为检测- 场景描述:用户登陆系统的源IP不属于堡垒机IP范围,判定系统管理员违规登陆系统
- 分析方法:登陆服务器源IP地址与堡垒集IP地址不匹配
- 数据源:操作系统日志,堡垒机IP列表
-
解决方案:配置访问控制策略,仅允许从堡垒机登陆服务器
- 场景描述:服务器被安全攻击告警后发生账号创建事件,判定服务器已经失陷被控制
- 分析方法:特定时间内(1天),发生服务器遭受安全攻击,同一目的IP发生账号创建事件
- 数据源:安全设备告警(IDS、IPS等),操作系统日志
-
解决方案:检查被攻击服务器是否被控制,确认账号创建是否异常
- 场景描述:设备/系统/应用发生大量账号登陆失败事件,判定设备/系统/应用正在遭受暴力破解攻击
- 分析方法:特定时间内(10分钟),同一设备/系统/应用发生大量(大于10次)登陆失败事件
- 数据源:设备/系统/应用登陆日志
-
解决方案:排查登陆失败事件属于安全攻击还是管理员行为
针对账号登陆失败事件分析场景,除了需要特别关注安全设备,还需要特别关注暴露在互联网上的设备、系统与应用,暴露在互联网上的安全设备尤其要特别关注。
当然发生多次账号登陆失败事件,也不见得一定就是暴力破解攻击,也可能是管理员人为输错了口令而已。这时候需要综合安全设备告警,以及账号登陆失败事件的源地址和目的地址,来进行综合判断。
还有一个情况需要注意,如果账号登陆失败事件发生的特别有规律,比如每个一个小时,每次都是整点,每次事件次数相同,则有可能是由于程序配置错误引起,需要由运维人员进行排查。
每个账号异常安全分析场景,都可以从同一源地址、同一目的地址、同一账号来分别建立分析规则,还可以更近一步细化出外网地址、内网地址。
并且账号异常各事件之间还可以再进行关联,这样就可以扩展出非常多的分析场景来。下面就以账号登陆失败事件为基础,列举部分典型的分析场景。
▼▼通用账号异常关联分析拓展场景- 拓展场景1:多次发生账号登陆失败事件后,发生账号登陆成功事件,可能暴力破解成功。
- 拓展场景2:发生暴力破解成功(拓展场景1)后,发生创建新账号/修改权限/修改口令等行为事件,可能入侵后提权或进行破坏。
-
拓展场景3:发生暴力破解成功并新建账号(拓展场景2)后,发生删除账号行为事件,可能入侵结束后消除入侵痕迹。
- 拓展场景1:多次发生账号登陆失败事件后,发生账号登陆成功事件,可能暴力破解成功。
- 拓展场景2:发生暴力破解成功(拓展场景1)后,账号发生下载文件数据行为,入侵成功后窃取数据。
-
拓展场景3:发生暴力破解成功(拓展场景1)后,账号发生上传文件数据行为,入侵成功后篡改数据。
▼▼账号状态异常关联分析拓展场景
- 拓展场景1:特定时间内,同一账号在超过2个不同地点登陆,可能发生账号失陷行为。
- 拓展场景2:特定时间内,同一账号在超过2个不同设备登陆,可能发生账号串用行为。
-
拓展场景3:高价值账号(如VPN账号)在非可信地点(如境外地址)发生登陆行为,可能已经失陷。
总结:由于网络设备、安全设备、操作系统、中间件以及应用系统的日志,在安全分析的数据源中都属于高置信数据,因此账号异常相关安全分析场景效果都非常好。并且相关的安全分析场景还可以进一步深度挖掘,这样可以发现很多安全设备告警看不到的风险。
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 微软正式发布.NET 10 Preview 1:开启下一代开发框架新篇章
· 没有源码,如何修改代码逻辑?
· NetPad:一个.NET开源、跨平台的C#编辑器
· PowerShell开发游戏 · 打蜜蜂
· 凌晨三点救火实录:Java内存泄漏的七个神坑,你至少踩过三个!