![攻防演习成漏洞“军备赛”,漏洞防护“三部曲”火线救援]( "攻防演习成漏洞“军备赛”,漏洞防护“三部曲”火线救援")
![攻防演习成漏洞“军备赛”,漏洞防护“三部曲”火线救援]( "攻防演习成漏洞“军备赛”,漏洞防护“三部曲”火线救援")
![攻防演习成漏洞“军备赛”,漏洞防护“三部曲”火线救援]( "攻防演习成漏洞“军备赛”,漏洞防护“三部曲”火线救援")
尽管每年的网络实战攻防演习规则都有所变化,但能否守住靶标系统、以及非靶标重要系统,是攻防两方的高分关键。
服务器主机系统作为每次攻防演习的 “兵家必争之地”,堪称防守方的最后一道防线,其重要性不言而喻。从近几年来看,漏洞利用是攻击者入侵服务器的重要手段,尤其是RCE远程代码执行、提权等高危漏洞可能导致服务器和业务系统瞬间沦陷,尤其是永恒之蓝漏洞、log4j漏洞这类影响重大的“核武器”漏洞。
据国家信息安全漏洞库(CNNVD)统计,截至2023年6月,CNNVD采集的公开漏洞总量已达213374个,并正以月均2309个的数量快速增长,对信息安全造成严重影响。
因此,攻防演练也可以说是某种意义上的“漏洞比拼大赛”,据传,攻防演练期间疑似出现1600+的0day漏洞,去重后(0day+1day+Nday)的数量仍高达500+,攻防两端提交漏洞加分更是促进了0day的大量爆发。
奇安信安服团队6月份国内攻防态势数据也显示,漏洞扫描利用位居攻击队使用的各种攻击手段之首,遥遥领先于钓鱼攻击、认证口令爆破、弱口令扫描等。
也许有人会问,既然漏洞,只要做好检测、修复,就可以应对攻击么?答案没那么简单!
从事网络安全工作的人都知道,历来,漏洞检测、漏洞修复和漏洞防御,一直是安全工作中的重点和难点,表现在以下几方面:
-
首先是工作极其繁重。漏洞数据众多、服务器数量众多,补丁、升级就成了一项繁重的工作,或者对于0day漏洞,短时间根本无补丁可打;
-
其次是容易导致服务器重启,业务中断等。漏洞修复可能会导致业务重启、服务器重启,造成业务中断,甚至在未经验证的补丁中可能夹带病毒、后门等恶意程序,带来新的安全威胁。尤其打补丁重启时,如果相关数据没有被妥善地保存,则可能会导致重要数据丢失。这对于公司和个人用户来说都可能会造成严重的后果;
-
最后,漏洞修复不慎会增加故障风险,甚至导致系统瘫痪。重启服务器时,系统软件和硬件之间可能会产生冲突。例如在启动时,硬件可能不兼容支持的软件,或软件无法正常加载。这可能导致整个服务器系统瘫痪,导致损失。同时,打补丁还包括一系列的配置问题,一旦配置错误,或者补丁不当,就可能出现各种故障或错误消息,甚至蓝屏,导致业务中断时间更长,维护成本更高。
总之,如何做好漏洞管理与防护的闭环,已经成为安全运营工作的巨大挑战,更是实战攻防演习能否不丢分、丢多少分的重中之重。
知己知彼,百战不殆,提前发现漏洞,才能打好有准备之战。奇安信云锁服务器安全管理系统(椒图)可以通过内置漏洞库、资产版本信息匹配的方式快速发现存在漏洞的业务资产。
椒图内置漏洞库包含了大量容易在服务端被利用的高危漏洞,可以对已知的漏洞情况做快速排查,会对受影响的资产、漏洞信息做详细得展示,并提供修复建议。
对于尚未被收录的新型漏洞,可以通过资产版本信息匹配的方式快速定位,比如Apache Log4j任意代码执行漏洞(CVE-2021-44228)在刚被曝出时候后,暂时无补丁可打,则可以通过资产搜索的方式,快速定位到版本在2 <= 2.14.1的Log4j资产,做下线或者其他紧急处理。
![攻防演习成漏洞“军备赛”,漏洞防护“三部曲”火线救援]( "攻防演习成漏洞“军备赛”,漏洞防护“三部曲”火线救援")
发现漏洞仅仅是第一步,如何尽可能不重启服务器,不中断业务,在实战攻防演习期间,对业务应用影响到最小,是每一个网络安全负责人必须面对的课题。
奇安信椒图围绕漏洞利用防护的“三部曲”,可以解决网络安全负责人的诸多痛点。
虚拟补丁是针对安全漏洞最快的响应方式,虚拟补丁功能在内核态基于WFP框架/Netfilter框架实现引流功能,将服务器的入站、出站流量通知给应用态的IPS引擎,并用IPS引擎对流量中的漏洞利用行为实施检测防护,能对已知漏洞利用进行精准防护,并且下发虚拟补丁无需重启应用或者服务器,并且可以一键开启/关闭防护。
虚拟补丁对于“老旧系统“、”无法停机系统”、“无法升级系统”极度友好,比如虚拟补丁可以让系统在不升级的情况下,有效防御Windows SMB远程代码执行漏洞(永恒之蓝)(CVE-2017-0144/MS17-010)的利用行为。
据介绍,奇安信椒图在虚拟补丁数量方面居于同行领先地位,可面向全行业实现“资产-漏洞发现-实体补丁-虚拟补丁”的闭环管理。
-
第二部曲是“RASP运行时防护”,应对0day漏洞效果最佳。
RASP应用运行时自我防护技术,不再关注已知漏洞的特征,而是通过“插桩”在语言解释器中,对网络流量转变为文件操作、命令执行、网络IO等运行时上下文进行深度检测,并发现或阻断其中的异常行为,从而有效发现新型攻击。
RASP对于web业务应用的0day漏洞有较强的防护能力,如可以在不升级版本的情况下,直接防御Log4j远程命令执行漏洞进行攻击。
![攻防演习成漏洞“军备赛”,漏洞防护“三部曲”火线救援]( "攻防演习成漏洞“军备赛”,漏洞防护“三部曲”火线救援")
-
第三部曲是“系统加固”,为系统运行建立“保护罩”。
系统加固通过内核驱动增强操作系统自身对抗黑客攻击和恶意代码的能力,限制漏洞利用后下一步行为。内核驱动工作于系统层,会对恶意修改系统服务、进程自我复制、更改登录认证、对外服务创建可执行文件在入侵产生的多种异常行为进行监控及防护,以“有限”的行为去对抗“无限”的漏洞。同时基于系统防护技术,也可以对系统关键文件、注册表项的读取、编辑、删除等权限进行限制,并可以建立白名单机制,限制异常进程执行,为系统的正常运行建立一个透明的“保护罩”。
系统加固对操作系统自身有较强的防护能力,例如可以有效防护Windows AD域权限提升漏洞(CVE-2021-42287)利用行为。
![攻防演习成漏洞“军备赛”,漏洞防护“三部曲”火线救援]( "攻防演习成漏洞“军备赛”,漏洞防护“三部曲”火线救援")
漏洞管理是一项艰巨而持久的工作,也是打赢攻防对抗战的关键,在攻防实战中,我们应该根据实际情况选择打实体补丁,或者开启虚拟补丁、RASP或者系统加固防护做辅助,以动态的安全策略对抗不断变化的安全漏洞威胁,在实战攻防演习中立于不败之地。
点击阅读原文,了解奇安信椒图更多细节
原文始发于微信公众号(奇安信集团):攻防演习成漏洞“军备赛”,漏洞防护“三部曲”火线救援
评论