在前面对应 VMware 网络安全方案介绍的推文内大家应该可以感觉到,现行的防御机制不仅是对于已知的攻击手法要能够及时阻挡,而就新的、未知的攻击手段也希望能快速侦查,即使无法第一时间阻挡,至少能够提供警告。比如说前篇推文《虚拟云网络专辑|VMware 网络安全新方案简述(二)》内我们讨论恶意档案侦测的机制,已知的档案透过 Hash 值对比马上能知道,而未知的档案可透过本地分析,甚至进一步送到 VMware 云端沙箱模拟器确认档案是否有恶意行为。
本篇要谈到的网络流分析 (Network Traffic Analysis) 则是用来搭配防火墙与 IDPS,除了原有已知的网络流进行连线政策控制以及特征值对比外,更进一步判断是否有可疑的未知攻击。通常我们讲「网络流分析」时的范围比较大,在原本 Lastline 的定义内大概可以分成下列几种: 信誉资讯 (Reputation Information): 针对 Internet 连线的 IP 地址、FQDN 网域、URL 等与信誉数据库进行确认。 封包特征值对比 (Payload Signatures): 针对连线封包是否符合恶意特征值进行对比,这里就是 IDPS 的天下。 协议异常 (Protocol Anomalies): 协议本身传输不正常,比如说在 DNS 协议内偷偷进行资料传输 (DNS tunneling)。 网络流异常 (Traffic Anomalies): 网络流与正常的行为模式不相同,像是突然有大量的 port scanning 扫描行为。 系统网络异常 (Host Anomalies): 单一主机的网络行为与正常模式不相同,比如说突然有大量的下载流量,突然有极少用的网络埠连线。
透过整合信誉数据库、以 IDPS 进行封包特征值对比等可以解决网络流分析的部分要求,但其他的异常状况可能就要透过进一步的手法,包含: 在 IDPS 内加上行为分析机制,透过客制化脚本对网络流触动特定可疑行为提出警告。 借由与日常系统网络流进行比较,对于与标准模式不同的异常行为发出警告。 前面的手法在 NSX-T 3.2 后透过 IDPS 内特征值由 VMware 安全专家进行优化,并透过 LUA Script 进行异常行为对比达成。而后面的这个手法,在 NSX 内叫做 Suspicious Traffic。 Suspicious Traffic 功能是 NSX Intelligence 方案的延伸。当我们建立了 NSX Application Platform 并且启用 Intelligence 功能,NSX 会将所有纳管之虚机网络流资讯统一收集到 NAPP 平台内。这代表了 NAPP 平台内储存了整个 NSX 环境内的网络流资讯,此时管理者就可以依据需求来进行想要的行为对比了。 Suspicious Traffic 功能预设为关闭,管理者可以选择要启用哪些对比模组。目前于 NSX-T 3.2 支援的模组包含下面这 14 种。
当管理者启用相关模组后,异常模式对比便会在 NAPP 平台内开始运算,并可由 Security 内的 Suspicious Traffic 页面进行检视。下图内我们列出了一个月内被标注为可疑的网络流,里面的一个 Vertical Port Scan 嫌疑事件。点击可发现有多个来源在对 VDI-4 这台机器的不同网络埠进行连线尝试,很像可疑的网络扫描行为。 另一个有嫌疑的行为是有虚机往 DNS 询问了大量奇怪的网域,很可能遭受到具备 Domain Generation Algorithm 攻击手法的恶意程式感染。 因为 Suspicious Traffic 功能主要仅是用来提醒管理者可能有一些异常行为需要注意,当然也有可能误判,因此这边即使有警告,也不会进行连线阻挡的作业。基本上此处运作的重点就是透过 Intelligence 所收集的大量网络流,针对特定可疑的行为或是与一般连线模式不同之处发出提醒,提供管理者进一步相关资讯。
前面几篇推文我们讨论了现有的网络安全新功能,管理者一定想要讨论一个问题:看起来从网络流、档案、无论已知或未知,NSX 能够透过多种机制来进行事件侦测甚至阻挡。但要怎么做?难道要从海量的资料里面慢慢找吗?下篇我们讨论最重要的一个机制:透过 Network Detection and Response 界面,进行安全事件的统合查找分析。
本文转载自VMware公众号