网络攻防演习的蓝队产品能力视角

admin 2022年7月25日17:54:00HW&HVV评论10 views3291字阅读10分58秒阅读模式

网络攻防演习的蓝队产品能力视角


 前言


前不久我们聊过了“网络攻防演习的蓝队技术能力视角”,内容主要偏技术解读,从攻防演习蓝队视角和痛点开始,再到蓝队备战、对抗、收尾阶段进行了解读并提供了对应建议。


上篇文章中涉及到产品的部分并不多,只简单列举了基于流量、日志、用户行为的综合数据分析平台,以及接入数据中台的威胁情报能力的产品线。


限于篇幅仅从蓝队技术能力视角做了轻量级解读,未能展示完整的蓝队解决方案,因此有必要再介绍一下产品能力视角以作补齐。


网络攻防演习的蓝队产品能力视角

产品视角和痛点


在攻防演习的蓝队视角中,安全产品的能力是不可或缺的,但即使部署有完备的安全产品也依然会存在被突防成功的情况,比如以下一些无感知的情况:


网络攻防演习的蓝队产品能力视角


这些都是蓝队防御体系建设中存在的比较通用的问题,也是必须要面对的问题。在一个短期的攻防演习场景下,主要有以下几方面:

1.


1、局部厚、全局薄


可能基于准备时间、建设成本等因素的考虑,在做防护体系建设时可能存在局部防护厚重、全局视角有薄弱点的问题。


比如只重点防靶机,针对靶机部署有终端、流量、日志审计等安全产品,但边界和内网比较薄弱;又或是边界重重防御、内网薄弱,导致短板不多,但依然有短板被突破。


2、总部到位、分支薄弱


可能基于组织变更、新分支机构产生或历史原因的问题,做防护体系建设时可能存在总部防护到位,分支机构有薄弱点的问题。


比如只重点防御总部,针对总部网络架构部署有终端、流量、日志审计等安全产品,但分支机构网络防护比较薄弱,导致红队从分支机构突破后利用已有权限得以继续突破总部网络,利用社工、提权等进一步达到漫游成功的目的。


3、产品到位、策略遗漏


可能基于准备时间、建设成本(设备利旧)等因素的考虑,做防护体系建设时可能存在安全产品到位,安全策略有遗漏点的问题。


比如虽然部署了较全的安全设备,但安全策略未能更新或因许可原因不能更新,导致不能检测、识别最新的攻击特征,或产生大量的告警误报,从而使防护效果大打折扣。


4、策略更新、产品有漏洞


可能基于安全设备厂商未严格实施产品安全上线的研发安全流程,或是产品本身没有及时更新安全补丁等因素,做防护体系建设时可能存在安全策略更新、安全产品被曝漏洞的问题。


比如边界防护设备存在代码执行漏洞、蜜罐设备存在内核提权的虚拟机逃逸漏洞等,从而导致垂直边界突破的问题。


产品建议和指南


该如何解决前文提到的产品痛点呢?要解决痛点,还是需要有攻防双向的视角来全面剖析技战术和演习规则,并从而立足现状,打造最佳实践的防御方案:


网络攻防演习的蓝队产品能力视角


安恒信息蓝队从过去的多场蓝队防守零失分经验中,总结了多种产品部署建议,限于篇幅,以下仅简要介绍攻防演习中蓝队产品搭配的建议。


1、安全产品覆盖建议


在攻防演习正式对抗中,安全设备的直观作用主要包括:漏洞类防0day,后门类防出网等。


当然,漏洞打成功也不一定就是上的0day,也有可能是比较热乎的nday或老漏洞,这就引出一下阶段的需求。漏洞打成功后通常要放后门,webshell类的后门一般主动监听,进入内网后的隧道、后门通常反弹到C2为主,重点需要确保对后门的识别和监测,需要考虑一下覆盖角度:


监测覆盖:流量、终端,比如异常流量和终端行为,能直接识别出后门最好。


分析覆盖:日志、样本,比如Web日志(GET、POST)、系统日志以及邮件附件等样本的保存,并能通过沙箱完成自动化分析。


关联覆盖:进程、流量,比如终端上运行的进程和命令行参数,特别是带IP的参数,以及基于主机的流量保存,并完成自动化关联分析。


识别覆盖:异常、可疑,比如对非明确告警的漏洞打击、疑似后门行为进行识别并能为关联分析提供数据支持,从而做到分析时对数据需求的全覆盖。


以下针对边界安全设备的威胁分析关注点示例:

网络攻防演习的蓝队产品能力视角


2、重要系统防护指南


在攻防演习正式对抗中,重要系统(靶标)是重点关注的对象,考虑以下指南:


主机异常账号监测:特别是高权限账号的创建、登录等动作的监测,可以通过日志和大数据实时分析系统和EDR设备进行检测并告警,或进一步关联分析。


系统异常访问监测:比如非正常时间的管理账号访问、越过堡垒机的直接访问等异常情况的监测,可以通过日志和大数据实时分析系统和流量监测设备、EDR设备等进行检测并告警,或进一步关联分析。


漏洞打击流量监测:需要对开放业务或端口进行漏洞流量实时监测,包括Web漏洞、以及其他协议的漏洞等,可以通过漏洞流量监测设备,WAF、APT等进行监测并告警,或进一步关联分析。


后门可疑行为监测:需要对Webshell、系统服务、进程、模块等后门行为或疑似后门行为进行监测,可以通过终端安全产品、EDR设备、APT沙箱等进行监测并告警,或进一步关联分析。


用户可疑行为监测:需要对登录到系统的用户操作进行可疑行为监测,包括读取系统配置信息、用户列表、密码HASH、运行的程序等,可以通过日志和大数据实时分析系统和EDR设备进行监测并告警,或进一步关联分析。


 3、产品布防示例介绍


在攻防演习中,蓝队视角的安全产品部署考量有多种选择,以下是安恒信息蓝队的布防示例图供参考:


网络攻防演习的蓝队产品能力视角


针对边界、内网、漏洞、后门、分支机构、第三供应链、云平台、办公和IT关联等网络环境和特性做了简单的梳理,仅从产品能力的角度梳理,并非标准的网络架构图。


加分的服务方案


 1、技术上的对抗能力


安恒信息蓝队在过去的多场蓝队防守任务中取得了优异的成绩(比如既有过证券行业防守第一名的佳绩,也有每场零失误的安保成绩),在这些万无一失的成果背后是安恒信息积累基于15年以上的安全服务和产品能力和蓝队解决方案。


网络攻防演习的蓝队产品能力视角


在彩虹蓝队方向,安恒信息积累了大量经实战验证的技术和知识体系:

网络攻防演习的蓝队产品能力视角

*内容摘自《2021-2022安服安全技术研究白皮书》,用于服务于各行业蓝队需求的客户。


2、防御体系优化能力


在红、蓝、紫技战术方面,安恒信息蓝队不断地从攻防对抗技术中提炼,优化防御策略,包括但不限于MITRE ATT&CK的各类细分技战术的变形测试,从而为打造细粒度的安全防御策略提供技术支撑。

网络攻防演习的蓝队产品能力视角


对于红队细粒度的技战术运用,蓝队都进行了对应的破解。

网络攻防演习的蓝队产品能力视角


通过“先行一步”的细粒度技战术对抗积累,及时赋能于防御体系。


3、完备的蓝队产品能力


针对布防示例中提到的各类产品,安恒信息都提供了攻防演习的专项版本,比如:

边界控制:NGFW、AITrust专项版本

漏洞实时监测:WAF专项版本

未知威胁发现:APT、AIThink专项版本

全流量监测:DPI专项版本

主机监测:EDR专项版本

诱捕欺骗:蜜罐(内网、前置)专项版本

事件处置:AiCSO、AiLPHA、态势感知专项版本

威胁情报:TI、VT(非安恒信息)

AD防护:ATA(分析模型)、AD加固(安全服务)

VPN、堡垒机专项防护措施:WAF、APT专项版本

OA、邮箱、ERP等防护:WAF、APT专项版本

运维系统、云管理平台、容器管理平台、安全管理平台、安全人员、运维人员专项防护:WAF、APT专项版本

供应链防护:白名单、专项监测(产品+服务)

数据安全:DB审计专项版本

日志分析:SOC、AiLPHA专项版本

操作审计:堡垒机


通过基于流量、日志、用户行为的综合数据分析平台,以及接入数据中台的威胁情报能力,针对边界、内网、漏洞、后门、分支机构、第三供应链、云平台、办公和IT关联等网络环境和特性打造全方位防御体系解决方案,安恒信息蓝队能为客户提供攻防演习全覆盖的安全产品能力。






*解读说明

此篇做为“网络攻防演习的蓝队技术能力视角”的补充,限于篇幅,仅从蓝队产品能力视角做轻量级解读,和“网络攻防演习的蓝队技术能力视角”一起构稍微完整的蓝队解决方案,我们将继续输出蓝队其他能力视角的解读,为您呈现更完整的蓝队解决方案。欢迎持续关注安恒信息安全服务。


注:本文中部分图片为安恒信息原创,版权归安恒信息所有,禁止搬运。





—  往期回顾  —

网络攻防演习的蓝队产品能力视角
网络攻防演习的蓝队产品能力视角
网络攻防演习的蓝队产品能力视角
网络攻防演习的蓝队产品能力视角
网络攻防演习的蓝队产品能力视角



关于安恒信息安全服务团队
安恒信息安全服务团队由九维安全能力专家构成,其职责分别为:红队持续突破、橙队擅于赋能、黄队致力建设、绿队跟踪改进、青队快速处置、蓝队实时防御,紫队不断优化、暗队专注情报和研究、白队运营管理,以体系化的安全人才及技术为客户赋能。

网络攻防演习的蓝队产品能力视角


网络攻防演习的蓝队产品能力视角

网络攻防演习的蓝队产品能力视角

原文始发于微信公众号(安恒信息安全服务):网络攻防演习的蓝队产品能力视角

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月25日17:54:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  网络攻防演习的蓝队产品能力视角 http://cn-sec.com/archives/1199093.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: