传感器日志:企业内部通常会部署一些蜜罐系统、流量传感器等,这些设备一方面可以有攻击预警和反横向渗透的效果,但是里面也会存在一些攻击者的行为,比如SSH蜜罐会存下攻击者在这台机器上的操作,流量传感器会对数据包进行DPI解析方便流量分析,这些数据中肯定残存着一些有用的信息可以帮助我们确定攻击者的行为、技能点,甚至可以进一步判断该攻击者的能力,是脚本小子还是大黑阔。
外部日志:一些常用服务的日志,比如说邮件、DNS等日常服务的日志,这些日志可以帮我们确定攻击者是否是一种APT攻击,或者是是否是来种植Botnet的。同样可以确定攻击者的动机。
说完了日志,我们紧接着可以说一下攻击者的动机判定,攻击者想要入侵一个系统肯定会对这个系统进行侦查,诸如端口扫描、脆弱性检测、exp测试等手段,这里面很容易和安全部门的安全常规巡检的日志起冲突,大多数公司都会把扫描机群放到白名单里。这样产生了类似的日志就会触发报警,我们可以进一步分析这些日志提取出一些攻击者的行为、动机等等,以及他的目的甚至他的技能点,我们都可以初步判断。
通过对以上日志的分析,我们可以基本上确定攻击者是什么途径进来的,用何种攻击方式拿到机器权限,有没有执行什么敏感的操作,是否有进一步渗透的趋势,是不是在尝试提权之类的操作等等,这样我们就对攻击者有一个大概的了解。
接下来我们就需要借助外部威胁情报的力量来获取攻击者的身份,我个人比较喜欢国内的微步在线和国外的PassiveTotal这两个平台,尤其是后者,数据比较全而且覆盖度很广。当然不差钱的各位可以选择去买威胁情报服务,更专业。
简单说一下威胁情报可以帮我们干什么,威胁情报其实就是根据上面获得残破的攻击者画像变得完整,威胁情报一般可以获得这个攻击者有哪些常用的IP,这些IP分别都是干什么的,有没有什么社交信息,社交信息又有什么关联。举个不恰当的例子就是相当于你知道一个人的身份证号,然后警察用这个身份证号去查这个人有多少钱,资产有多少等等。这样你就可以获得一个较为完整的攻击者画像。
到了这里其实我们知道了攻击者的信息,就可以选择怎么解决,拉倒办公室弹jj10分钟是一个解决方案,扭送到警察蜀黍那里也是解决方案,但是需要提醒大家注意执法力度和执法手段,不要知法犯法(逃。
说到以上大家会觉得我偏题了,你娃不是说要讲天眼么,怎么扯了一大堆安全运营上的事儿,这跟天眼有什么关系。那么接下来的事情就和天眼有关系了:
在电影中,飞车家族只需要输入一个名字就可以去找到这个人,确定他的位置,然后上门送温暖喝热茶。但是现实当中,重名的你懂得,所以我们现在从其他的地方下手:
Part 1:长相,这里无非就是涉及到人脸识别技术,没什么好说的(其实是我不懂)
Part 2:身份证号码,这个就比较重要了,身份证号码对于广大人民群众来说,变的机会基本为0,很多企业不管是干什么的也好都喜欢玩实名制,尤其是一些小的金融公司和P2P公司,总喜欢没事问你身份证号。鉴于我国信息泄露这个问题还是挺严重的,所以我们不能保证别人没有我们的身份证号。我们来说有了身份证号能干什么:先来造一张假的身份证,然后利用这张身份证(照片或者扫描件)去搞一些不需要实体身份证的东西,比如你懂得。这样我们就能把这个人的一些账户劫持了,能干啥你现在应该明白了。
Part 3:手机号码,一般我们通信都用手机号码,手机号码泄露更是屡见不鲜,和身份证号一样,许多企业都是动不动就跟你要。手机号码泄露更是一件蛋疼的事情,骚扰电话短信不说,由于现在很多手机号码和业务是绑定的,也就是用手机号码就可以登录相关的业务,这样的话手机号码的泄露很有可能就会联系到相对应的身份,举个最简单的例子:手机号码绑定QQ号码,然后QQ号码可以查询群关系,之后通过群关系能搞出很多信息,后果你懂的
Part 4:QQ号码,其实上面已经说了,QQ号码相当于虚拟版本的身份证号,很多东西都和QQ有关系,比如iCloud账号、游戏账号、甚至是一些信用卡账单啊什么的绑定的邮箱都是QQ的。QQ号码能查的东西那就太多了,上面就是个例子。