2017年3月6日APACHE最新报出了CVE-2017-5638“Struts 2 -045”高危漏洞。针对此漏洞,泰合北斗服务团队依托泰合安全管理平台在用户现场进行了应急保障服务。在服务过程中,根据获悉的漏洞信息,团队分析师迅速完善了泰合安全管理平台对利用“Struts2 -045漏洞”进行攻击的关联分析检测场景。通过对安全设备日志的收集与分析,在安全管理平台上发现了与此漏洞相关的攻击入侵事件。使用泰合安全管理平台的事件查询与统计功能,帮助用户及时发现和掌握安全攻击事件的整过程,方便用户了解最新网络安全态势。
泰合安管平台安全事件分析过程
泰合安全管理平台的核心功能是收集用户网络环境中不同厂商和不同品牌的设备(资产)上产生的安全日志,对日志进行范式化处理,并对范式化后的日志进行自动化、智能化的安全事件关联分析,帮助用户发现真正的安全事件产生告警,协助运维人员对安全告警进行处置。
1、安全日志的采集
泰合安全管理平台收集了用户网络环境中重要业务服务器、核心网络设备、全部安全设备和重要安全系统的安全日志数据。用户的互联网边界部署了入侵防护系统(IPS)、web应用防火墙(WAF)和边界防火墙,重点保护对互联网开放并提供服务的门户网站。
在安全管理平台收集到的IPS上产生的与Struts2-045相关的日志样本如下(本案例中已对敏感信息进行了处理)
在安全管理平台收集到的WAF上产生与Struts2-045相关的日志样本如下(本案例中已对敏感信息进行了处理)
2、安全日志的解析
泰合安全管理平台对接收到的日志进行了范式化解析,对原始日志中的重要字段进行提取,对日志中缺少的关键信息进行了补全,并配合平台的资产模块将资产相关信息写入到范化后的事件中进行展示和分析。在对日志进行范式化的同时,平台自动保存一份完整的原始日志,保证原始日志的完整性。
●对原始日志关键信息的提取:
对原始日志中的源地址、源端口、目的地址、目的端口、目的对象、操作、结果、响应信息进行了提取,如下图所示:
●对范式化事件信息的补全:
根据泰合北斗服务人员对现场业务的了解,对日志中没有体现出来的信息进行了补全,如对事件分类、报送日志的设备地址、设备类型、设备厂商、设备型号、网络区域、网络位置等日志中没有体现出来的信息在范化过程中进行补全,如下图所示:
●将事件中的IP地址与资产关联:
用户网络环境的资产作为泰合安全管理平台的管理对象,服务人员已将资产的名称、责任人、联系方式的关键信息进行了维护,平台自动根据事件中的目的IP地址与资产名称归属进行关联,并在事件分析模块中展示出来,如下图所示:
3关联分析场景
泰合北斗服务人员在泰合安全管理平台上根据S2-45的特征完善了之前针对Strusts2漏洞监控的规则——“L3_Struts2_远程命令执行漏洞”关联分析规则,关联规则分析场景的可视化条件编辑界面如图所示:
在本案例中,北斗服务人员建立关联分析场景思路如下:先建立网络扫描的规则,通过对边界防火墙和IPS报送出来的网络扫描日志进行分析,编写网络扫描的关联规则,由规则自动将恶意扫描源IP地址加入到灰名单(观察列表)保存和观察。然后再在“L3_Struts2_远程命令执行漏洞”关联分析规则条件中,引用观察列表的信息,如果后续恶意网络扫描IP再发起利于Struts2-045漏洞或其他Strust2已知漏洞对目标进行攻击,泰合安全管理平台接收到相关日志后就会触发高等级的安全告警。
4、产生告警
范式化后的事件流在安全管理平台的内存中进行实时分析,匹配规则后泰合安管平台就会产生关联分析场景所定义的告警。告警包括告警名称、告警等级及告警的详细描述等关键信息。泰合安管平台产生的“L3_Struts2_远程命令执行漏洞”告警如下图所示:
平台可设置告警产生时所触发的动作,可给安全管理员、安全运维人员、资产负责人等不同角色的人员发送告警邮件。泰合安管平台还支持与用户的短信平台联动,可给指定的角色和人员发送告警短信。
5、安全事件追溯与取证
安全管理员接收到邮件或短信提醒后,在泰合安管平台上,可对产生告警的过程进行追溯,验证告警的真实准确性。
根据用户对安全事件的处理要求,用户往往需要追溯和查询该安全事件产生的时间和受影响的目标资产,泰合安管平台事件模块中的事件统计与查询功能,完全符合用户的实际需求,可快速便捷查询用户网络环境中所有安全设备产生的Struts2-045事件。
安全告警响应与处置
安全管理员一旦确认告警真实可靠,可根据告警等级和告警描述中受影响资产,将告警生成工单并指派给对应的资产负责人进行处理,不同的告警等级对应工单处理的时限不同。
完成派单后,系统会给工单处理人发送邮件和短信提醒。工单处理人根据工单信息进行安全事件的处置。本案例中,针对平台产生的“L3_Struts2_远程命令执行漏洞”告警和工单,泰合北斗服务人员给用户告警的处置方案如下:
1)在互联网边界防护设备上,启用防护策略。对利于Struts2-045漏洞进行扫描的源地址进行封堵,对利于Struts2-045漏洞进行攻击的事件进行阻断。
2)对受影响的业务系统进行全面的安全评估;
3)按APACHE官方发布的修补方案结合自身单位的安全补丁管理规定对受影响的系统进行漏洞修复。
(来源:启明星辰)
Copyright © 启明星辰 版权所有 京ICP备05032414号 
京公网安备11010802024551号
