前言
前不久我们聊过了“网络攻防演习的蓝队技术能力视角”,内容主要偏技术解读,从攻防演习蓝队视角和痛点开始,再到蓝队备战、对抗、收尾阶段进行了解读并提供了对应建议。
上篇文章中涉及到产品的部分并不多,只简单列举了基于流量、日志、用户行为的综合数据分析平台,以及接入数据中台的威胁情报能力的产品线。
限于篇幅仅从蓝队技术能力视角做了轻量级解读,未能展示完整的蓝队解决方案,因此有必要再介绍一下产品能力视角以作补齐。
|
|
产品视角和痛点
在攻防演习的蓝队视角中,安全产品的能力是不可或缺的,但即使部署有完备的安全产品也依然会存在被突防成功的情况,比如以下一些无感知的情况:
|
|
这些都是蓝队防御体系建设中存在的比较通用的问题,也是必须要面对的问题。在一个短期的攻防演习场景下,主要有以下几方面:
1、局部厚、全局薄
可能基于准备时间、建设成本等因素的考虑,在做防护体系建设时可能存在局部防护厚重、全局视角有薄弱点的问题。
比如只重点防靶机,针对靶机部署有终端、流量、日志审计等安全产品,但边界和内网比较薄弱;又或是边界重重防御、内网薄弱,导致短板不多,但依然有短板被突破。
2、总部到位、分支薄弱
可能基于组织变更、新分支机构产生或历史原因的问题,做防护体系建设时可能存在总部防护到位,分支机构有薄弱点的问题。
比如只重点防御总部,针对总部网络架构部署有终端、流量、日志审计等安全产品,但分支机构网络防护比较薄弱,导致红队从分支机构突破后利用已有权限得以继续突破总部网络,利用社工、提权等进一步达到漫游成功的目的。
3、产品到位、策略遗漏
可能基于准备时间、建设成本(设备利旧)等因素的考虑,做防护体系建设时可能存在安全产品到位,安全策略有遗漏点的问题。
比如虽然部署了较全的安全设备,但安全策略未能更新或因许可原因不能更新,导致不能检测、识别最新的攻击特征,或产生大量的告警误报,从而使防护效果大打折扣。
4、策略更新、产品有漏洞
可能基于安全设备厂商未严格实施产品安全上线的研发安全流程,或是产品本身没有及时更新安全补丁等因素,做防护体系建设时可能存在安全策略更新、安全产品被曝漏洞的问题。
比如边界防护设备存在代码执行漏洞、蜜罐设备存在内核提权的虚拟机逃逸漏洞等,从而导致垂直边界突破的问题。
产品建议和指南
该如何解决前文提到的产品痛点呢?要解决痛点,还是需要有攻防双向的视角来全面剖析技战术和演习规则,并从而立足现状,打造最佳实践的防御方案:
|
|
安恒信息蓝队从过去的多场蓝队防守零失分经验中,总结了多种产品部署建议,限于篇幅,以下仅简要介绍攻防演习中蓝队产品搭配的建议。
1、安全产品覆盖建议
在攻防演习正式对抗中,安全设备的直观作用主要包括:漏洞类防0day,后门类防出网等。
当然,漏洞打成功也不一定就是上的0day,也有可能是比较热乎的nday或老漏洞,这就引出一下阶段的需求。漏洞打成功后通常要放后门,webshell类的后门一般主动监听,进入内网后的隧道、后门通常反弹到C2为主,重点需要确保对后门的识别和监测,需要考虑一下覆盖角度:
监测覆盖:流量、终端,比如异常流量和终端行为,能直接识别出后门最好。
分析覆盖:日志、样本,比如Web日志(GET、POST)、系统日志以及邮件附件等样本的保存,并能通过沙箱完成自动化分析。
关联覆盖:进程、流量,比如终端上运行的进程和命令行参数,特别是带IP的参数,以及基于主机的流量保存,并完成自动化关联分析。
识别覆盖:异常、可疑,比如对非明确告警的漏洞打击、疑似后门行为进行识别并能为关联分析提供数据支持,从而做到分析时对数据需求的全覆盖。
以下针对边界安全设备的威胁分析关注点示例:
|
|
2、重要系统防护指南
在攻防演习正式对抗中,重要系统(靶标)是重点关注的对象,考虑以下指南:
主机异常账号监测:特别是高权限账号的创建、登录等动作的监测,可以通过日志和大数据实时分析系统和EDR设备进行检测并告警,或进一步关联分析。
系统异常访问监测:比如非正常时间的管理账号访问、越过堡垒机的直接访问等异常情况的监测,可以通过日志和大数据实时分析系统和流量监测设备、EDR设备等进行检测并告警,或进一步关联分析。
漏洞打击流量监测:需要对开放业务或端口进行漏洞流量实时监测,包括Web漏洞、以及其他协议的漏洞等,可以通过漏洞流量监测设备,WAF、APT等进行监测并告警,或进一步关联分析。
后门可疑行为监测:需要对Webshell、系统服务、进程、模块等后门行为或疑似后门行为进行监测,可以通过终端安全产品、EDR设备、APT沙箱等进行监测并告警,或进一步关联分析。
用户可疑行为监测:需要对登录到系统的用户操作进行可疑行为监测,包括读取系统配置信息、用户列表、密码HASH、运行的程序等,可以通过日志和大数据实时分析系统和EDR设备进行监测并告警,或进一步关联分析。
3、产品布防示例介绍
在攻防演习中,蓝队视角的安全产品部署考量有多种选择,以下是安恒信息蓝队的布防示例图供参考:
|
|
针对边界、内网、漏洞、后门、分支机构、第三供应链、云平台、办公和IT关联等网络环境和特性做了简单的梳理,仅从产品能力的角度梳理,并非标准的网络架构图。
加分的服务方案
1、技术上的对抗能力
安恒信息蓝队在过去的多场蓝队防守任务中取得了优异的成绩(比如既有过证券行业防守第一名的佳绩,也有每场零失误的安保成绩),在这些万无一失的成果背后是安恒信息积累基于15年以上的安全服务和产品能力和蓝队解决方案。
|
|
在彩虹蓝队方向,安恒信息积累了大量经实战验证的技术和知识体系:
|
|
*内容摘自《2021-2022安服安全技术研究白皮书》,用于服务于各行业蓝队需求的客户。
2、防御体系优化能力
在红、蓝、紫技战术方面,安恒信息蓝队不断地从攻防对抗技术中提炼,优化防御策略,包括但不限于MITRE ATT&CK的各类细分技战术的变形测试,从而为打造细粒度的安全防御策略提供技术支撑。
|
|
对于红队细粒度的技战术运用,蓝队都进行了对应的破解。
|
|
通过“先行一步”的细粒度技战术对抗积累,及时赋能于防御体系。
3、完备的蓝队产品能力
针对布防示例中提到的各类产品,安恒信息都提供了攻防演习的专项版本,比如:
边界控制:NGFW、AITrust专项版本
漏洞实时监测:WAF专项版本
未知威胁发现:APT、AIThink专项版本
全流量监测:DPI专项版本
主机监测:EDR专项版本
诱捕欺骗:蜜罐(内网、前置)专项版本
事件处置:AiCSO、AiLPHA、态势感知专项版本
威胁情报:TI、VT(非安恒信息)
AD防护:ATA(分析模型)、AD加固(安全服务)
VPN、堡垒机专项防护措施:WAF、APT专项版本
OA、邮箱、ERP等防护:WAF、APT专项版本
运维系统、云管理平台、容器管理平台、安全管理平台、安全人员、运维人员专项防护:WAF、APT专项版本
供应链防护:白名单、专项监测(产品+服务)
数据安全:DB审计专项版本
日志分析:SOC、AiLPHA专项版本
操作审计:堡垒机
通过基于流量、日志、用户行为的综合数据分析平台,以及接入数据中台的威胁情报能力,针对边界、内网、漏洞、后门、分支机构、第三供应链、云平台、办公和IT关联等网络环境和特性打造全方位防御体系解决方案,安恒信息蓝队能为客户提供攻防演习全覆盖的安全产品能力。
*解读说明
此篇做为“网络攻防演习的蓝队技术能力视角”的补充,限于篇幅,仅从蓝队产品能力视角做轻量级解读,和“网络攻防演习的蓝队技术能力视角”一起构稍微完整的蓝队解决方案,我们将继续输出蓝队其他能力视角的解读,为您呈现更完整的蓝队解决方案。欢迎持续关注安恒信息安全服务。
注:本文中部分图片为安恒信息原创,版权归安恒信息所有,禁止搬运。
原文始发于微信公众号(安恒信息安全服务):网络攻防演习的蓝队产品能力视角
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论