从近两年的实战攻防演习来看,攻击队使用的手法可谓是“七十二变”,包括0day漏洞的广泛利用、软件以及服务供应链的攻击、基于人性弱点的社会工程学攻击、WIFI钓鱼攻击甚至是物理攻击纷纷登场,着实让防守队感到“压力山大”。
例如在2020年某次实战攻防演习期间,多次出现因安全产品的0day漏洞或者不当配置被攻击队成功打穿的情况,也出现了针对防守队的攻击溯源行为,攻击队反向部署欺骗诱捕系统(蜜罐),从而获取了防守方部分系统登录口令,实现二次渗透的反转案例。
对此,奇安信基于多年实战攻防经验,针对防守方的战前准备、攻防对抗和事后溯源总结三个阶段,提出了建立基于可持续监测分析和响应的协同防护模式,具体而言包括九大举措。
举措一
梳理资产,知彼先知己
值得注意的是,在梳理资产的同时,需要和供应商相对应,在发现漏洞或其他不当配置时,可快速响应处置。
举措二
防微杜渐,收缩攻击面
举措三
完善纵深防御体系
对此,奇安信提出了基于威胁情报的检测能力+核心资产防御+人的纵深防御体系,除了在网络边界部署入侵检测系统、防火墙和VPN网关等边界防护产品外,还应在网络侧部署天眼,实现高级威胁和异常流量的检测与分析;
在服务器侧部署椒图,实现服务器加固和针对服务器内部的检测与响应;
在终端侧部署天擎,实现终端安全的统一管控和检测与响应;在邮件服务器部署邮件威胁检测系统,实现对鱼叉邮件、带毒邮件、钓鱼邮件的精准检测;
部署NGSOC,对所有安全事件进行统一管理,监测企业内部整体网络安全态势……
在此基础上,引入威胁情报,强化监测能力。
基于威胁情报的检测能力+核心资产防御+人的纵深防御体系图示
举措四
构建内网的主动防御能力
通常而言,构建内网的主动防御能力,需要全面覆盖互联网接入、办公网接入、分支机构接入、第三方供应商接入、专网接入、VPN接入和关键系统,收集内网全量数据(包括流量数据和日志数据等),利用大数据技术、关联分析引擎,找出内网中可能存在攻击事件和异常行为。
例如在流量侧,奇安信天眼能够采集全流量进行拆包检测,并将所有网络会话例如DNS、URL等信息都记录下来,可用于针对攻击队伍的溯源分析。
同时,天眼针对加密流量的检测也有很好的效果。而在服务器侧,椒图能够主动采集内网服务器东西向流量进行统一检测,针对Webshell、SQL注入甚至0day攻击,都有很好的检测效果。
一旦发现内网服务器失陷,还可通过微隔离技术,主动隔离失陷服务器,防止进一步扩散感染。
举措五
提升基于情报的精准防御能力
-
在威胁情报方面,对于经过分析已经确认的攻击事件,防守队可将攻击事件涉及的IP地址、攻击方式、域名、攻击者相关信息、攻击行为和相关威胁情报上传至云端威胁情报平台,平台会自动将该情报与其他防守队提交的情报进行关联,再下发至所有安全设备,并进行统一分析工作。
-
在漏洞情报方面,防守队可将每日收集到的漏洞相关情报提交至补天漏洞平台,由补天后端小组等奇安信二线实战攻防专家进行统一研判后,再实时发布给前端项目经理及漏洞提交者,同时推动安全设备进行统一规则更新,实现对漏洞利用的精准检测。
举措六
重点守护核心资产和数据
坚守最后一道防线
举措七
加强专业化的分析研判与响应处置
在防守队伍支持方面,奇安信除派出一线驻场专家外,还设置了大量的威胁分析师、安全运营工程师提供远程支持。2020实战攻防演习期间,奇安信投入一线、二线专家超过3000人,为超过50%的参演单位提供了防守服务。
举措八
改进联防联控能力,实现高效协同
举措九
构建溯源反制能力
事前埋点,部署蜜罐系统,在公开渠道(如社交网站)散布虚假消息(代码、账号)和伪装应用;
本文图片来源于网络
原文始发于微信公众号(奇安信集团):攻防|九大举措助力防守队应对网络攻击“七十二变”
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论