云安全中心核心文件監控功能能夠實時監控服務器上核心文件的訪問情況,包括讀取、寫入、刪除、重命名和權限變更等操作,并及時發出告警,以防止核心文件被盜取或篡改。本文介紹配置核心文件監控規則的規范和示例,可幫助您更好地使用該功能。
主機入侵檢測與核心文件監控的關系
網絡安全最佳實踐建議采用多層縱深防御策略。主機入侵檢測功能可以在大部分場景下發現可疑的入侵行為,其檢測邏輯基于行為特征,關注已知或未知的惡意行為和系統活動。核心文件監控則專注于監控文件系統中的文件和目錄的完整性,檢測未授權的更改。
兩者功能互補,共同提供更全面的安全保護,可提高應對復雜威脅的發現能力。當發生安全事件時,理解攻擊者的行為至關重要。如果攻擊者讀取或修改了規則防護范圍內的文件,核心文件監控提供的告警記錄可以幫助運營人員追溯攻擊者的具體活動,進行有效的事件響應和取證分析。
此外,核心文件監控不僅能檢測外部威脅,還能識別來自內部的威脅,比如內部人員的惡意行為或誤操作,這些行為核心文件監控都會記錄。
規則配置規范和示例
本部分內容提供了核心文件監控規則的配置規范和示例,涵蓋了常用應用場景及規則配置說明。然而需要注意的是,不同的配置規則在不同用戶的系統上執行時,或許會命中正常的運維類操作,產生“誤報”現象,下文表格的最后一欄提供了可能引發相應策略告警的正常操作示例。
為了最大限度地降低誤報對系統運維的影響,建議在廣泛部署這些規則之前,先采取漸進的試驗方式:
少量試驗:在初步配置規則時,請選擇少量臺機器進行配置規則的試點。
細致監測:在規則試運行期間,密切觀察每個規則命中的情形,以驗證規則的準確性和適用性。
迭代改進:根據檢測結果,適時地為一些確認無害的運維操作增加相應的放行規則,以確保關鍵運維活動不會觸發告警,降低需要運營的告警量。
正式部署:在經過數次試驗和規則優化后,如果觀察到規則命中情況穩定、誤報基本消失,可以在更多的服務器中部署這些配置。
類型 | 說明 | 具體類型 | 行為動作 | 文件路徑示例 | 可能觸發誤報的操作說明 |
核心系統文件 | 此類目錄涵蓋了大多數系統命令和共享鏈接庫。監控這些目錄能夠幫助檢測潛在攻擊者的惡意篡改行為,包括植入惡意二進制文件或篡改系統依賴庫。 | 系統可執行二進制文件目錄 | 寫入、刪除 |
| 通過包管理軟件進行安裝或更新操作時,也會對這些目錄進行寫入。此外,如果您自行從源代碼編譯安裝軟件(通常使用 make && make install 命令),也可能涉及這些目錄的寫入。因此,您需根據實際情況配置相應的放行規則,以避免此類正常操作觸發告警。 |
共享庫文件目錄 | 寫入、刪除 |
| |||
配置類文件 | 攻擊者可能會修改各種關鍵系統配置文件,以實現不同的惡意目的。例如:
| 用戶與權限相關文件 | 寫入 |
| 正常的用戶添加(useradd)、權限修改(usermod)、刪除用戶(userdel)和修改密碼(passwd)等命令可能會對這類文件進行寫入操作。用戶可以根據具體的運維操作規范,增加相應的放行規則,或將告警數據用作審計日志。 |
關鍵系統配置文件 | 寫入、刪除 |
| 在運維操作需要調整系統的網絡設置、名稱解析、內核參數調整等配置時,會修改此類文件。 | ||
運維類應用配置文件 | 寫入 |
| 在系統的維護、配置更新、安全加固或密鑰定期輪轉的過程中,可能會修改這些文件,建議配置對應的放行規則。 | ||
安全審計類配置文件 | 寫入、刪除 |
| 首次設置系統的審計框架,或者根據合規、安全等需求調整監控策略時,可能需要修改此類文件。 | ||
Web服務類配置文件 | 寫入 |
| Web服務的初始配置、安裝后設置、相關模塊的添加和刪除,以及Web服務的更新等操作,都可能導致此類被監控文件的修改。 | ||
數據庫類配置文件 | 寫入 |
| 數據庫服務的安裝和運維變更等操作可能會導致此類配置文件的變化,建議根據實際情況增加相應的放行規則。 | ||
常見的持久化點位 | 攻擊者通常會添加定時任務、惡意服務或啟動腳本等配置,以在周期性執行或系統重啟后持續保持訪問權限。 | Cron類 | 寫入 |
| 正常運維操作可能會新增、調整或刪除現有的crontab條目,從而修改相應的文件。 |
服務類 | 寫入 |
| 在安裝一些服務類應用時,會存在添加、修改系統服務的操作。 | ||
Shell配置類 | 寫入 |
| 運維人員在修改默認環境設置或為頻繁使用的長命令創建別名時,可能會更改相關文件的內容。 | ||
Web服務的代碼目錄 | 配置對Web服務的代碼目錄進行文件監控的規則有助于保障Web應用的安全。通常情況下,攻擊者會利用漏洞或未授權訪問等弱點,上傳Webshell惡意文件。通過這些Webshell文件,攻擊者可以進一步遠程訪問、控制和管理受攻擊的服務器。通過監控Web服務的代碼目錄,可以有效發現潛在的Webshell上傳行為,檢測未經授權的更改,包括Web頁面的篡改、惡意腳本的植入以及其他惡意活動。 | Web代碼目錄 | 寫入,權限變更 |
| 在正常的業務和維護操作中,服務更新和部署,以及部分CMS的插件、主題的安裝和更新,都可能會向代碼目錄寫入Web腳本文件。一些自動化部署工具(如Jenkins、GitLab CI/CD、Ansible等)也會在持續集成和部署過程中寫入文件。在這種情況下,需要配置具體的寫入進程,或排除外部可上傳的目錄,并限制特定文件后綴,以確保安全。 |
包含敏感內容的文件 | 敏感鑒權信息的泄露是網絡安全的主要風險之一。攻擊者在獲得一臺主機的權限后,通常會進一步搜尋敏感鑒權信息,以進行橫向移動并擴大入侵范圍。因此,對包含敏感內容的文件配置讀取操作的監控,可以有效并及時地發現此類風險或惡意行為。 | 云服務類CLI鑒權信息 | 讀取 |
| 包含敏感信息的文件通常會被其歸屬的應用程序讀取。例如,Alibaba Cloud CLI 會讀取 |
版本控制鑒權信息 | 讀取 |
| |||
數據庫配置 | 讀取 | / | |||
運維、編排系統的私鑰信息 | 讀取 |
|