■ 河南 許紅軍

編者按：根據(jù)統(tǒng)計(jì)分析，對(duì)于76%的攻擊行為來(lái)說(shuō)，主要以竊取數(shù)據(jù)敏感信息（例如密碼，憑據(jù)等）作為主要目標(biāo)，當(dāng)黑客掌握了用戶的憑據(jù)信息后，就可以進(jìn)行諸如竊取用戶郵件，盜取銀行資金等行為，給用戶數(shù)據(jù)安全造成很大的威脅。黑客除了利用惡意程序等方式獲取憑據(jù)外，還可能利用一些看似合規(guī)的程序來(lái)達(dá)到目的。

高級(jí)攻擊檢測(cè)的作用

為了防御日益嚴(yán)重的安全威脅，很多企業(yè)都會(huì)部署各種類(lèi)型的安全解決方案。但是常規(guī)的安全解決方法往往存在一些不足，比如部署繁瑣、成本較高等。為了抗擊不同的入侵行為，需要配置復(fù)雜的安全規(guī)則，為了滿足實(shí)際的需要，往往要進(jìn)行各種調(diào)優(yōu)操作，這常常需要較長(zhǎng)的適應(yīng)過(guò)程方可實(shí)現(xiàn)。

針對(duì)上述情況，微軟在Windows Server 2016中提供了高級(jí)的網(wǎng)絡(luò)攻擊分析解決方案（Advanced Therat Analytics，ATA）。其核心是以用戶的憑據(jù)作為監(jiān)控對(duì)象，圍繞用戶憑據(jù)在網(wǎng)絡(luò)中的活動(dòng)作為基本立足點(diǎn)，通過(guò)監(jiān)控用戶憑據(jù)在日常使用情況來(lái)發(fā)現(xiàn)異常行為。

例如某個(gè)用戶日常只是使用自己的憑據(jù)信息登錄郵箱，如果突然有試圖使用該憑據(jù)來(lái)查看其他信息（如DNS記錄等），就會(huì)被系統(tǒng)判定為異常攻擊行為。通過(guò)將憑據(jù)日常使用和異常使用對(duì)比分析，就可以判斷用戶的哪些行為是不合規(guī)的，并生成報(bào)告信息發(fā)送給管理員。不管用戶使用平板、手機(jī)等移動(dòng)設(shè)備，還是傳統(tǒng)的PC，只要涉及到憑據(jù)的登錄行為，都會(huì)處于ATA的檢測(cè)范圍內(nèi)。

對(duì)于ATA來(lái)說(shuō)，完全可以和傳統(tǒng)的安全檢測(cè)產(chǎn)品進(jìn)行結(jié)合，傳統(tǒng)的安全檢測(cè)產(chǎn)品獲取的監(jiān)控信息，可以作為ATA的監(jiān)本數(shù)據(jù)源使用。

對(duì)于ATA來(lái)說(shuō)，部署起來(lái)很簡(jiǎn)單。當(dāng)部署完成后，無(wú)需進(jìn)行復(fù)雜的規(guī)則配置，TAT會(huì)使用機(jī)器學(xué)習(xí)的方式，自動(dòng)分析活動(dòng)目錄日志以及其他的監(jiān)控信息，該過(guò)程是完全自動(dòng)化的。

ATA可以幫助用戶檢測(cè)安全風(fēng)險(xiǎn)和漏洞，例如當(dāng)用戶計(jì)算機(jī)和活動(dòng)目錄的信任關(guān)系丟失，計(jì)算機(jī)密碼被重置等，都會(huì)被ATA自動(dòng)檢測(cè)到。因?yàn)楹诳头欠ǐ@取用戶憑據(jù)的方法（如暴力破解等）有很多，當(dāng)這些攻擊行為發(fā)生時(shí)，就會(huì)被ATA檢測(cè)到，并形成相應(yīng)的報(bào)告，記錄諸如哪臺(tái)主機(jī)試圖通過(guò)何種方式來(lái)獲取憑據(jù)，攻擊的目標(biāo)主機(jī)等信息。其他違規(guī)行為如非法登錄、遠(yuǎn)程執(zhí)行、未知威脅、可疑行為，密碼共享等，也完全處于ATA監(jiān)控之下。

ATA的工作方式

當(dāng)部署了ATA之后，其工作方式分為四個(gè)階段，第一個(gè)階段是對(duì)現(xiàn)有信息（如活動(dòng)目錄安全日志、用戶活動(dòng)信息、Radius日志、syslog日志等）進(jìn)行收集和分析；第二階段可以利用上述信息來(lái)了解不同用戶正常的活動(dòng)行為特征，例如經(jīng)常訪問(wèn)哪些設(shè)備等，來(lái)探索不同用戶正常的使用邊界；在第三階段可以根據(jù)以上信息來(lái)檢測(cè)用戶的異常行為，例如某用戶試圖獲取高權(quán)限的賬戶密碼，訪問(wèn)不經(jīng)常使用的設(shè)備等；第四個(gè)階段就會(huì)生成警告信息，創(chuàng)建相應(yīng)的報(bào)告，讓管理員可以及時(shí)了解到基本的安全威脅信息。

ATA主要包含ATA Gateway和ATA Center組件，對(duì)于前者來(lái)說(shuō)，可以直接部署在活動(dòng)目錄服務(wù)器中，來(lái)自動(dòng)收集在活動(dòng)目錄中由用戶憑據(jù)所產(chǎn)生的所有活動(dòng)信息。當(dāng)然，也可以將其部署到普通的Windows Server 2012/2016服務(wù)器，這需要利用端口鏡像技術(shù)，在交換機(jī)上進(jìn)行相應(yīng)的配置。例如配置一個(gè)端口連接DC，另一個(gè)端口連接ATA Gateway主機(jī)，將兩者配置為端口鏡像模式。這樣，就可以將域控的數(shù)據(jù)鏡像到Gateway組件中。ATA Gateway還可以集成現(xiàn)有的安全解決方案，收集相應(yīng)的日志信息。

對(duì)于后者來(lái)說(shuō)，主要將收集到的數(shù)據(jù)存儲(chǔ)到數(shù)據(jù)庫(kù)中，這里使用的是MongoDB數(shù)據(jù)庫(kù)。利用ATA Center，可以對(duì)ATA進(jìn)行相應(yīng)的配置，并且可以查看生成的警告信息。

ATA的部署實(shí)例

在本例中，采用的是端口鏡像的方式，將ATA的兩個(gè)組件分別部署在兩臺(tái)Windows Server 2012 R2/2016服務(wù)器上。

圖1 ATA Center配置頁(yè)面

首先需要準(zhǔn)備好所需的域賬戶，在域控上打開(kāi)ActiveDirectory用戶和計(jì)算機(jī)窗口，在其中創(chuàng)建一個(gè)域賬戶（例如“Atauser”），該賬戶僅僅是一個(gè)普通的域賬戶，無(wú)需擁有額外的權(quán)限。因?yàn)槠胀ǖ挠蛸~戶是有權(quán)限讀取Active Directory中相關(guān)的信息的。在ATA Center主機(jī)上運(yùn)行Microsoft ATA Center Setup安裝程序，在其安裝界面中可以更改安裝路徑和數(shù)據(jù)庫(kù)存儲(chǔ)目錄，默認(rèn)使用自簽名證書(shū)認(rèn)證。

如果已經(jīng)配置了證書(shū)，可以取消“Create selfsigned certificate”項(xiàng)，在“Center service SSL certificate”欄中選擇對(duì)應(yīng)的證書(shū)。安裝之后自動(dòng)打開(kāi)ATA配置頁(yè)面，在“Directory Services”面板中輸入上述域賬戶和密碼以及域名信息（如圖1所示）。利用該域賬戶，ATA就可以發(fā)現(xiàn)和同步域中的所有的賬戶信息，了解在域中有哪些用戶的憑據(jù)，通過(guò)各種數(shù)據(jù)的來(lái)源來(lái)分析用戶的正常行為，進(jìn)而發(fā)現(xiàn)和判斷用戶的異常行為，從而形成報(bào)告信息。點(diǎn)擊“Test connection”按鈕進(jìn)行連接測(cè)試。

圖2 配置ATA Gateway組件

點(diǎn)擊“Save”按鈕，ATA就可以發(fā)現(xiàn)域中的所有賬戶信息。ATA要想判斷這些賬戶的正常行為，必須擁有合適的數(shù)據(jù)樣本，樣本信息需要通過(guò)Gateway組件來(lái)收集。在ATA Gateway主機(jī)上打開(kāi)瀏覽器，訪問(wèn)ATA Center主機(jī)，例如輸入“https://atacenter.xxx.com”，在彈出的認(rèn)證窗口中合適的域賬戶和密碼來(lái)訪問(wèn)ATA Center，其中的“atacenter.xxx.com”為ATA Center主機(jī)的域名。在打開(kāi)頁(yè)面中點(diǎn)擊“Download Gateway Setup”鏈接，點(diǎn)擊“Gateway Setup”按鈕，執(zhí)行下載和安裝操作。

在上述ATA Center配置界面左側(cè)選擇“Gateways”項(xiàng)，在右側(cè)顯示已經(jīng)存在的ATA Gateway服務(wù)器信息，包括其名稱(chēng)、類(lèi)型、版本、服務(wù)狀態(tài)、健康狀態(tài)等。點(diǎn)擊該ATA Center項(xiàng)目，在打開(kāi)窗口中輸入如描述信息（如圖1），在“Port Mirrored Domain Controllers(FQDN)”欄中輸入與之形成端口鏡像的域控名稱(chēng)，例如“dc1.xxx.com”等，ATA Gateway從該DC上獲取相應(yīng)的流量數(shù)據(jù)。

在“Capture network adapter”欄中選擇配置了端口鏡像的網(wǎng)卡。在“Domain synchroniz”欄中確保選擇“On”項(xiàng)，來(lái)執(zhí)行數(shù)據(jù)同步操作，ATA Gateway可以從目標(biāo)域名上捕獲所需的信息，并將其存儲(chǔ)到ATA Center的數(shù)據(jù)庫(kù)，從而形成數(shù)據(jù)樣本。

在右側(cè)的“Entities recently learning”欄中顯示收集的信息提示，包括域的數(shù)量、域控制器的數(shù)量、域中用戶的數(shù)量、域中計(jì)算機(jī)的數(shù)量、域中組的數(shù)量等。

如果企業(yè)已經(jīng)部署了其他的安全檢測(cè)分析工具，也可以將其監(jiān)控信息導(dǎo)入進(jìn)來(lái)。在ATA Center配置頁(yè)面左側(cè)選擇“Syslog Server”項(xiàng)，在右側(cè)的“Syslog server endpoint”欄中輸入對(duì)應(yīng)產(chǎn)品的Syslog的服務(wù)的入口地址。之后在左側(cè)選擇“SIEM”項(xiàng)，在右側(cè)的“syslog”欄中選擇“On”項(xiàng)，可以通過(guò)ATA Gateway收集相關(guān)的數(shù)據(jù)。

如果存在VPN用戶，可以在左側(cè)選擇“VPN”項(xiàng)，在右側(cè) 的“Radius Accounting”欄中選擇“On”項(xiàng)，那么ATA Gateway就會(huì)從Radius服務(wù)器中收集日志信息。

利用ATA檢測(cè)可疑行為

經(jīng)過(guò)以上操作，就已經(jīng)完成了對(duì)ATA的配置操作?？梢钥闯觯芾韱T不需要進(jìn)行復(fù)雜的規(guī)則的配置，就可以對(duì)域中用戶的行為進(jìn)行判斷和分析。

例如，當(dāng)某個(gè)用戶想了解目標(biāo)服務(wù)器的域名，就可以執(zhí)行“nslookup”命令，對(duì)目標(biāo)服務(wù)器進(jìn)行域名解析。而如果僅僅是對(duì)單臺(tái)的服務(wù)器進(jìn)行域名解析，則可以視作正常的操作行為。如果該用戶是出于某種目的（例如探測(cè)可以攻擊的服務(wù)器），就可能會(huì)在“nslookup”命令提示符下執(zhí)行“l(fā)s -d xxx.com”命令，來(lái)獲取指定域中所集成的所有域名信息，進(jìn)而得到網(wǎng)絡(luò)中的計(jì)算機(jī)的列表。

之后就會(huì)針對(duì)不同的主機(jī)執(zhí)行諸如探測(cè)漏洞、掃描甚至是攻擊操作。這些行為已經(jīng)遠(yuǎn)遠(yuǎn)超出了正常操作的范圍。

實(shí)際上，管理員也會(huì)在DNS服務(wù)器上配置相關(guān)的安全項(xiàng)目，來(lái)拒絕這種批量的探測(cè)行為。用戶的上述可疑行為實(shí)際上已經(jīng)被ATA捕獲并記錄下來(lái)，在ATA管理頁(yè)面右側(cè)的“Suspicious activity”欄中已經(jīng)顯示探測(cè)到的異常行為，例如點(diǎn)擊其中的“Reconnaissan using DNS”項(xiàng)，在左側(cè)顯示圖形化的檢測(cè)畫(huà)面，顯示究竟是哪臺(tái)客戶機(jī)發(fā)起的該可疑的探測(cè)行為。

選擇該客戶機(jī)，在打開(kāi)面板中有顯示其安裝的操作版本、所述的域、發(fā)起探測(cè)的時(shí)間、賬戶名等參數(shù)，并且還會(huì)顯示該探測(cè)行為執(zhí)行的次數(shù)、是否被拒絕等信息。在該事件報(bào)告窗口中點(diǎn)擊“Open”按鈕，在彈出窗口中點(diǎn)擊“Download Details”項(xiàng)，可以下載包含更加詳細(xì)的檢測(cè)信息的XLSX文件，讓管理員可以對(duì)其進(jìn)行更加深入的解讀。

點(diǎn)擊“Close”項(xiàng)，可以關(guān)閉該探測(cè)項(xiàng)目，但是如果其再次發(fā)生就繼續(xù)警告，選擇“Suppress”項(xiàng)，表示對(duì)其進(jìn)行忽略處理，但是如果在7天之內(nèi)連續(xù)出現(xiàn)則繼續(xù)警告。選擇“Close and exclude CLT”項(xiàng)，表示僅僅關(guān)閉并忽略。

點(diǎn)擊工具欄中的“配置”按鈕，在配置界面左側(cè)選擇“Exclusions”項(xiàng)，在右側(cè)提供了很多的排除項(xiàng)目，可以根據(jù)實(shí)際需要進(jìn)行選用，以便于執(zhí)行一些安全測(cè)試之類(lèi)的操作。