兵临城下公开课丨构建蓝队第二道防线——针对黑客行为的专项防护规则

admin 2022年6月29日13:45:00安全闲碎评论3 views2643字阅读8分48秒阅读模式

【兵临城下】系列公开课是盛邦安全基于多年攻防实战经验,针对重保及攻防演习等场景而推出的系列直播活动,将从资产暴露面梳理、攻击面管理、脆弱性自查、安全防线加固、协同联动防御以及攻击溯源、应急响应等全流程进行梳理,陆续上线十几场的直播分享活动,大家可以关注【盛邦安全视频号】提前预约直播活动。

本期公开课的主题是“构建蓝队第二道防线——针对黑客行为的专项防护规则”,以下实录文字供大家参考。

 

各位线上的朋友大家好,我是盛邦安全的聂晓磊,今天我们继续来分享攻防实战中的防守技巧。上一期我们讲到,根据攻击者的特点和路径分析,在防守过程中需要建立三道防线:收敛攻击面、守好关键点和内网防失陷。

假如攻击者已经突破了第一道防线,开始寻找重点目标,那么接下来我们应该怎么做呢?首先还是要分析攻击者的下一步动作,上一期我们提到过,攻击者自己的资源也是有限的,因此他们不会轻易的暴露自己。所以,在重点突击时,他们既不能大范围的进行扫描,也不能使用特征过于明显的攻击,这些都很容易暴露而导致攻击IP被封堵,当然也不能慢条斯理地做各种尝试。


在有限的时间、有限的资源内,也就是说在有限的攻击窗口期内,攻击者会紧盯一些所谓的“高价值”目标采取行动。在这里我们列举了三类典型的系统:
 
兵临城下公开课丨构建蓝队第二道防线——针对黑客行为的专项防护规则

一、办公系统比如OA系统或者邮件服务器等。这类系统的特点是目标明显、好找,但是承载的用户信息却很多,一旦被攻击者控制就会泄露大量的情报信息,既可以被用来钓鱼,又可以用来制作口令爆破的字典等等,是攻击者喜欢的突破口之一。


二、远控系统比如一些远程桌面的系统、VPN系统等等。很显然,这类系统本身就是用来远程办公和协作的,所以天然具有直通内网的通道,一旦被控制就相当于暴露了内网环境。


三、集权系统,包括堡垒机、域控,各种管理平台比如云管平台等等,这类系统普遍具有更高的内网权限,并且与内网的其他系统交互较多,所以是攻击者关注的重点,一旦被控制就直接威胁到核心系统的安全。


针对这些重点目标,攻击者采用的突破方式有很多,但这几年大家提及较多的还是0day漏洞。因为0day漏洞的特点是还未公开或刚刚公布,所以没有提前检测的POC用例,也没有针对性很强的防护规则,所以对目标系统的威胁较大。


在这里我们列举了几类需要重点注意的漏洞类型,包括OA、项目管理等业务系统的漏洞;各类设备或产品的漏洞,比如VPN或者杀毒软件的管理控制台等;当然还有操作系统的漏洞,大家需要重点关注一些身份管理类、远程控制类和远程执行类的漏洞;最后就是热度较高也是大家通常较头疼的漏洞——中间件类的漏洞,这里列举的都是容易出现的类型,比如S2的漏洞、WebLogic的漏洞、Shiro的反序列化漏洞等等。


兵临城下公开课丨构建蓝队第二道防线——针对黑客行为的专项防护规则

这些系统或组件的利用率高,攻击者的关注度也高,因此漏洞出现的也很频繁,对于防守方而言必须要持续关注和反复检查。


那么面对这些防不胜防的攻击,防守方怎么做才能守住自己的关键系统呢?我们概括了重点目标防护的“三步走”:最小化权限控制、专项规则防护和白名单防护


首先,要对系统自身加强安全控制,限制开放的权限,细化访问控制策略并做好审计工作;然后针对攻击者可能采用的手段建立专项的防护规则,针对性的进行拦截,收缩防守阵地;最后,对于核心保护对象,在靠近系统的位置建立白名单策略,采用严格的防护手段。这其实也是纵深的一种思路。


这就是我们今天要分享的第二道防线,针对黑客行为的专项防护规则。为了应对攻击方在中期的定向突破行为,通过专项规则加白名单相结合的方式来构筑防线,一方面可以有针对性的拦截高危的攻击,另一方面可以通过非白即黑的策略来屏蔽异常访问,从而达到守好关键点的效果。总之,在第二道防线中我们要做到三点,严把关键位置、严防定向攻击和严守关键系统。


兵临城下公开课丨构建蓝队第二道防线——针对黑客行为的专项防护规则


从产品部署和技巧来看,第二道防线除了进行查漏补缺的部署之外,还需要灵活应用纵深防御的思想,在边界部署准确率高的专项规则,在靠近目标服务器的位置则针对性的设置白名单策略,找到业务和安全的平衡点。


兵临城下公开课丨构建蓝队第二道防线——针对黑客行为的专项防护规则


第二道防线中的几个核心技术能力:


一、专项规则。我们根据攻击者常采用的漏洞利用攻击和后门工具攻击,针对性建立了几套专项检测规则,包括热门组件漏洞的规则、重点设备漏洞的规则,还有各种webshell和远控工具的规则。这些规则覆盖了近几年各类实战攻防场景中的攻击手段,以及热门高危漏洞,后续我们会持续更新,确保防守侧能够进行精准判断;另外,除了专项规则的维护外,我们还通过语义分析和机器学习引擎来进行训练以应对变种威胁。


兵临城下公开课丨构建蓝队第二道防线——针对黑客行为的专项防护规则


二、口令爆破防护。针对重点目标的口令安全,我们利用口令字典、反向校验与请求限制等方式来检查和拦截,包括对默认口令的收集和各类简单口令、重复口令的编制。概括而言,该技术的要点就是检查口令的健壮性、访问来源的真实性和请求行为的合法性。


兵临城下公开课丨构建蓝队第二道防线——针对黑客行为的专项防护规则

三、内网防DDoS。在实战中由于DDoS比较依赖资源支撑并且需要应对各种限制,因此在外网侧相对较少。但攻击者进入内网后,为了获取目标系统的权限,则可能会采用DDoS攻击消耗其系统资源,从而导致系统处理异常并暴露缺陷。因此,在内网,我们可以采用连接限制加DDoS识别清洗的方式来做综合防护。


兵临城下公开课丨构建蓝队第二道防线——针对黑客行为的专项防护规则

四、自学习白名单的能力。针对核心系统,我们在前面专项规则的防护下,还可以再加一道保险,那就是白名单。其实白名单是一种严格的安全策略,如果业务系统自身设计不规范,白名单策略很容易造成误伤。但是在实战化场景中,白名单的防护又是更可靠的,因此我们为了兼顾业务和安全,一方面需要将白名单策略建立在最贴近业务的位置,另一方面需要采用自学习的方式来建立白名单模型,兼顾业务的可用性。根据以往的经验,通常会提前至少两周进行业务学习和建模,保证系统搜集足够的正常业务样本,之后直接启用白名单策略,这样就能达到更好的防护效果。

兵临城下公开课丨构建蓝队第二道防线——针对黑客行为的专项防护规则

概括而言,构筑第二道防线可总结为以下三点:

1、建立专项规则,应对0day威胁等高危攻击,提高攻击检测精度;
2、建立白名单策略,提升对重点系统和关键业务的安全防护强度;
3、守好关键系统,整体上降低内网失陷风险。

今天关于第二道防线的介绍就到这里,后续我们还将带来第三道防线的介绍,欢迎大家在视频号中预约直播活动,下期见~



关于盛邦安全

盛邦安全成立于2010年,在网络空间地图、业务安全、供应链安全、应用防御和脆弱性检测等领域已成为国内领先的网络安全产品及服务供应商。


 让网络空间更有序


兵临城下公开课丨构建蓝队第二道防线——针对黑客行为的专项防护规则

兵临城下公开课丨构建蓝队第二道防线——针对黑客行为的专项防护规则

兵临城下公开课丨构建蓝队第二道防线——针对黑客行为的专项防护规则


兵临城下公开课丨构建蓝队第二道防线——针对黑客行为的专项防护规则

原文始发于微信公众号(盛邦安全WebRAY):兵临城下公开课丨构建蓝队第二道防线——针对黑客行为的专项防护规则

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月29日13:45:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  兵临城下公开课丨构建蓝队第二道防线——针对黑客行为的专项防护规则 http://cn-sec.com/archives/1141060.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: