启明星辰漏扫产品现已支持Struts2远程代码执行漏洞S2-045
发布时间:2017-03-09   作者:启明星辰

案例背景

 

2017年3月6日APACHE最新报出了CVE-2017-5638“Struts 2 -045”高危漏洞。针对此漏洞,泰合北斗服务团队依托泰合安全管理平台在用户现场进行了应急保障服务。在服务过程中,根据获悉的漏洞信息,团队分析师迅速完善了泰合安全管理平台对利用“Struts2 -045漏洞”进行攻击的关联分析检测场景。通过对安全设备日志的收集与分析,在安全管理平台上发现了与此漏洞相关的攻击入侵事件。使用泰合安全管理平台的事件查询与统计功能,帮助用户及时发现和掌握安全攻击事件的整过程,方便用户了解最新网络安全态势。

 

泰合安管平台安全事件分析过程

 

泰合安全管理平台的核心功能是收集用户网络环境中不同厂商和不同品牌的设备(资产)上产生的安全日志,对日志进行范式化处理,并对范式化后的日志进行自动化、智能化的安全事件关联分析,帮助用户发现真正的安全事件产生告警,协助运维人员对安全告警进行处置。

 

1
安全日志的采集

 

泰合安全管理平台收集了用户网络环境中重要业务服务器、核心网络设备、全部安全设备和重要安全系统的安全日志数据。用户的互联网边界部署了入侵防护系统(IPS)、web应用防火墙(WAF)和边界防火墙,重点保护对互联网开放并提供服务的门户网站。

 

在安全管理平台收集到的IPS上产生的与Struts2-045相关的日志样本如下(本案例中已对敏感信息进行了处理)

 

 

 

 

在安全管理平台收集到的WAF上产生与Struts2-045相关的日志样本如下(本案例中已对敏感信息进行了处理)

 

 

2
安全日志的解析

 

泰合安全管理平台对接收到的日志进行了范式化解析,对原始日志中的重要字段进行提取,对日志中缺少的关键信息进行了补全,并配合平台的资产模块将资产相关信息写入到范化后的事件中进行展示和分析。在对日志进行范式化的同时,平台自动保存一份完整的原始日志,保证原始日志的完整性。


●对原始日志关键信息的提取:
对原始日志中的源地址、源端口、目的地址、目的端口、目的对象、操作、结果、响应信息进行了提取,如下图所示:

 

 

●对范式化事件信息的补全:
根据泰合北斗服务人员对现场业务的了解,对日志中没有体现出来的信息进行了补全,如对事件分类、报送日志的设备地址、设备类型、设备厂商、设备型号、网络区域、网络位置等日志中没有体现出来的信息在范化过程中进行补全,如下图所示:

 

 

●将事件中的IP地址与资产关联:
用户网络环境的资产作为泰合安全管理平台的管理对象,服务人员已将资产的名称、责任人、联系方式的关键信息进行了维护,平台自动根据事件中的目的IP地址与资产名称归属进行关联,并在事件分析模块中展示出来,如下图所示:

 

 

 

3
关联分析场景

 

泰合北斗服务人员在泰合安全管理平台上根据S2-45的特征完善了之前针对Strusts2漏洞监控的规则——“L3_Struts2_远程命令执行漏洞”关联分析规则,关联规则分析场景的可视化条件编辑界面如图所示:

 

 

在本案例中,北斗服务人员建立关联分析场景思路如下:先建立网络扫描的规则,通过对边界防火墙和IPS报送出来的网络扫描日志进行分析,编写网络扫描的关联规则,由规则自动将恶意扫描源IP地址加入到灰名单(观察列表)保存和观察。然后再在“L3_Struts2_远程命令执行漏洞”关联分析规则条件中,引用观察列表的信息,如果后续恶意网络扫描IP再发起利于Struts2-045漏洞或其他Strust2已知漏洞对目标进行攻击,泰合安全管理平台接收到相关日志后就会触发高等级的安全告警。

 

4
产生告警

 

范式化后的事件流在安全管理平台的内存中进行实时分析,匹配规则后泰合安管平台就会产生关联分析场景所定义的告警。告警包括告警名称、告警等级及告警的详细描述等关键信息。泰合安管平台产生的“L3_Struts2_远程命令执行漏洞”告警如下图所示:

 

 

平台可设置告警产生时所触发的动作,可给安全管理员、安全运维人员、资产负责人等不同角色的人员发送告警邮件。泰合安管平台还支持与用户的短信平台联动,可给指定的角色和人员发送告警短信。

 

 

5
安全事件追溯与取证

 

安全管理员接收到邮件或短信提醒后,在泰合安管平台上,可对产生告警的过程进行追溯,验证告警的真实准确性。

 

 

根据用户对安全事件的处理要求,用户往往需要追溯和查询该安全事件产生的时间和受影响的目标资产,泰合安管平台事件模块中的事件统计与查询功能,完全符合用户的实际需求,可快速便捷查询用户网络环境中所有安全设备产生的Struts2-045事件。

 

 

安全告警响应与处置

 

安全管理员一旦确认告警真实可靠,可根据告警等级和告警描述中受影响资产,将告警生成工单并指派给对应的资产负责人进行处理,不同的告警等级对应工单处理的时限不同。

 

 

完成派单后,系统会给工单处理人发送邮件和短信提醒。工单处理人根据工单信息进行安全事件的处置。本案例中,针对平台产生的“L3_Struts2_远程命令执行漏洞”告警和工单,泰合北斗服务人员给用户告警的处置方案如下:

1)在互联网边界防护设备上,启用防护策略。对利于Struts2-045漏洞进行扫描的源地址进行封堵,对利于Struts2-045漏洞进行攻击的事件进行阻断。

 

2)对受影响的业务系统进行全面的安全评估;

 

3)按APACHE官方发布的修补方案结合自身单位的安全补丁管理规定对受影响的系统进行漏洞修复。

 

结束语

 

通过本次安全应急保障服务,使用户和安全运维人员认识到,对于日常安全运维而言,核心的工作内容就是对IT网络及重要业务系统进行持续监测,确保网络、主机、应用、业务、重要信息和人员资产的安全。更具体地说,就是要持续监测并识别针对网络、主机、应用、业务、重要信息和人员资产性能故障、非法访问控制、非法或不当操作、恶意代码、攻击入侵、违规与信息泄露行为。

 

借助泰合安全管理平台和泰合的北斗服务,客户能够统一收集来自网络中IT资产的运行信息和日志信息,通过分析这些数据,识别各类性能故障、非法访问控制、不当操作、恶意代码、攻击入侵,以及违规与信息泄露等行为,协助客户安全运维人员进行安全监视、审计追踪、调查取证、应急处置、生成各类报表报告,成为客户日常安全运维的有力工具。

 

关于启明星辰泰合TSOC安全管理平台

 

启明星辰推出的泰合信息安全运营中心系统(以下简称TSOC)是立足于公司十多年信息安全积累的基础之上,基于客户最新需求推出的全新一代安全管理平台。

 

TSOC以IT资产为基础,以业务信息系统为核心,以用户体验为指引,从监控、审计、风险、运维四个维度建立一套可度量的统一业务支撑平台,使得各种用户能够对业务信息系统进行可用性、性能与服务水平监控,配置及事件分析、审计、预警与响应,风险及态势的度量与评估,标准化、例行化、常态化的安全流程管控,通过面向业务的主动化、智能化安全管理,最终实现业务信息系统的持续安全运营。

 

TSOC采用开放平台架构设计,融合的大数据分析技术,遵循业界通行的应用接口和管理接口,功能部件都实现了模块化装配,客户可以自由选择,并能够与客户的应用和管理环境实现良好的对接与整合。

 

TSOC具有国内最广泛的应用范围和客户群,在政府、电信、金融、电力、军工、军队、媒体、教育等行业均有成功的应用。从2008年至今,启明星辰的泰合安管平台已经连续8年位居中国市场占有率第一名。

 

 

 

 

 

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号