本章为该系列的第2篇,也是事前准备阶段的第2篇,这一篇让我们聊聊如何在演练前增强我们的防护体系。
一、流量监控体系
历次对抗演练的主角莫过于各类流量监控设备了,如ips/ids、waf、nta等,关于流量监控类的设备,在精力有限的情况下,重点关注两个点就够了,一是流量监控覆盖度,二是规则的准确度。
如果安全自己不负责网络相关的工作,则需要网络和运维部门的协助,前期一定要与网络和运维部门做好沟通工作,必要时可让领导出面,双方达成共识后跨部门的协同才能更通畅。
想要保证有较高的流量覆盖度,首先要了解我们的网络都有哪些区域,所以一份完整的网络区域清单就非常重要,这个清单至少要包含两个维度:
获取到清单后,首先要根据网段的用途判断重要程度,比如DMZ区、核心生产网络等,这些都是要重兵把守的地方,重要网络区域相关的南北向流量一定要收集全,如果有条件还可以收集东西向的流量。
东西向的流量往往量很大,可以考虑对东西向的流量进行筛选后进行监控,如只监控非文件传输的http小流量包。
对于其他非重要网段,根据各企业投入的情况可以选择性的进行监控,不过南北向的流量尽可能收集全,在实战中这部分流量对于横向移动的发现有着至关重要的作用。
对于流量的需求梳理清楚后,安全再拿着清单去找网络和运维部门沟通流量镜像到安全设备上。
最后别忘了验证一下有效性,复核一下流量日志是否包含了清单中的网段,有条件的可以借助BAS(入侵与模拟攻击)系统进行自动化验证。
首先,所有检测监控类的流量设备必须在临战前将规则库更新到最新版本。
海量的规则逐条去验证不现实,高效的做法是重点review阻断类规则的误报,比如waf和自动化封禁规则,即使是在特殊时期也不能因为误拦截中断业务。
针对waf,首先要梳理出一份自动封禁的规则清单。我们目前经过了长期运营,已经形成了准确度较高的封禁规则库,然后将近三个月内所有历史封禁记录进行逐一核对,观察触发封禁规则流量包的特征,看是否有误报的情况。
如果确认是误报,是规则的问题就去改规则,是业务流量的问题就需要和相应系统的负责人沟通。根据经验这种情况很可能业务功能设计还有优化空间,需要研发配合对相应功能进行更新。
判断是否有漏报,首先要有一份高危漏洞清单,然后逐一对照验证检测防护设备是否具备相应的检测规则,是否开启了对应规则的告警。有条件的可以借助BAS(入侵与模拟攻击)系统进行自动化验证,或者由内部蓝军配合构造相应的攻击流量,验证规则的有效性。
对于一些非标准特征攻击流量漏报的情况,需要制定自定义规则,通常是通过正则表达式来定义。对于阻断类的自定义规则,部署生产前一定要在测试环境做好充分测试,在部署到生产环境后建议在监控模式下运行一段时间,再决定是否开启阻断,防止误报影响业务。自定义规则需要限制到具体的url,为了保证性能,不要配置全局自定义规则。
演练期间可能会遇到高频攻击的场景,在面临高强度分布式的攻击时,各类安全设备的性能有可能会成为瓶颈,在平时的安全防护中可能遇不到,也是容易被忽略的地方。
我们在红蓝对抗的过程中就发现了如下情况,我们的自动化封禁是通过SOAR联动旁路阻断实现的,但是在实际红蓝对抗中会遇到短时间内对大量封禁IP的场景,直接导致SOAR的性能飙满,甚至出现了剧本执行失败的情况。
所以演练前建议对所有安全设备进行一次性能巡检,对于使用频率高的设备,最好能预留出50%的性能,性能不足的话事前及时进行扩容,别等到打起来的时候枪突然不能用了。
二、 主机防护体系
主机安全是另一道保护屏障,常见的防护手段有防病毒、HIDS、EDR、防篡改、RASP等,来自终端的异常告警通常是比较准确的。当攻击者通过0day攻击绕过了流量监控,主机安全检测就起到了至关重要的作用,特别是在内网战场上,对于横向移动的对抗非常有效。
对于有条件和精力的防守单位,可以考虑在演练期间多部署几类设备,不仅可以在实战中测试相关产品的可用性,也可以形成异构检测能力,达到互补的效果。
和流量监控一样,主机安全同样需要关注覆盖率和规则情况。
计算覆盖率就要知道总共有多少台主机(分母)、有多少已经安装(分子),分母可以从cmdb系统中去拉取全量清单,分子则可以到相应的主机安全管理后台获取。
两个清单梳理出来之后,通过对比,重点找到那些还没安装的主机,梳理出来待安装主机的数量很可能非常大,没有太好的办法,只能与相应的负责人逐一沟通部署,查缺补漏,其实安全运营工作没有捷径,就要多下笨功夫。
端侧的安全防护通常离不开agent,各种agent很可能与现有的软件体系不兼容,严重的还会导致系统宕机。
如果演练前为了增强防护能力临时安装各类agent,没有经过充分测试的话,很可能会出现系统稳定性的问题,要明白业务的正常运行一定比安全监控更重要。
所以针对主机的安全防护,一定要多安排些时间,提前组织相关产品的测试工作,赶鸭子上架往往会带来各种各样的问题。
首先,还是要保证所有设备的规则都升级到最新,保证各设备都能以最佳状态来应战。
终端的运行场景是非常复杂的,所以平时对于规则的运营更要精细化。特别是新部署的产品,误报量比较大,有些服务器上还会同时运行着多个有监控功能的agent,还会造成互相告警的情况。前期对主机安全设备的告警进行一次集中运营,误报规则及时加白名单,可减轻演习期间的告警处置压力。
对于服务器上重点监控的目录,可以通过防篡改、HIDS设置一些监控策略,当目录下的文件发生变化,可以及时告警,此项策略对于文件上传/写入类的攻击非常有效。在一次国家级演习的过程中,就是通过防篡改的告警成功阻断并捕获了0day攻击。
很多终端安全产品可以设置重保模式,对于告警的粒度会更加精细,检测也更加严格,可以根据自身的需要选择性开放,建议可以在开发测试环境开启,生产环境谨慎。
三、 小结
此阶段工作至少要产出以下交付物:网段清单、自动封禁规则清单、高危漏洞清单、高危漏洞检测结果表、cmdb资产清单、终端安全部署清单。
经过长期的运营,我已梳理了一份简易版高危漏洞必修清单,可供大家参考。关注公众号,回复“漏洞必修清单”即可获取。
如果这篇文章你只能记住一件事,那请记住:让监控体系覆盖全面,让规则更精准。
--------- END ---------
原文始发于微信公众号(十九线菜鸟学安全):【攻防演习】-事前准备(2)之防护体系建设
评论