![攻防|九大举措助力防守队应对网络攻击七十二变]( "攻防|九大举措助力防守队应对网络攻击“七十二变”")
从近两年的实战攻防演习来看,攻击队使用的手法可谓是“七十二变”,包括0day漏洞的广泛利用、软件以及服务供应链的攻击、基于人性弱点的社会工程学攻击、WIFI钓鱼攻击甚至是物理攻击纷纷登场,着实让防守队感到“压力山大”。
例如在2020年某次实战攻防演习期间,多次出现因安全产品的0day漏洞或者不当配置被攻击队成功打穿的情况,也出现了针对防守队的攻击溯源行为,攻击队反向部署欺骗诱捕系统(蜜罐),从而获取了防守方部分系统登录口令,实现二次渗透的反转案例。
![攻防|九大举措助力防守队应对网络攻击七十二变]( "攻防|九大举措助力防守队应对网络攻击“七十二变”")
对此,奇安信基于多年实战攻防经验,针对防守方的战前准备、攻防对抗和事后溯源总结三个阶段,提出了建立基于可持续监测分析和响应的协同防护模式,具体而言包括九大举措。
近几年,各大政企机构的信息化建设非常迅速,IT资产数量也成倍提升,使得内部资产管理变得更加困难。但在实战过程中,每一台直接或间接暴露在公网的资产,都有可能成为攻击队的目标。
因此在战前准备阶段,防守方必须清楚掌握防守目标所有的在线资产,其目标在于明确资产归属,下线无主、没必要且高风险的资产。
第一类是IT硬件资产,主要包括内外部应用系统、PC/服务器资产、网络设备、安全设备、IP资产特权终端;
第二类是软件资产,包括但不限于操作系统、中间件、数据库、开源组件、大数据/虚拟化平台;
第三类是互联网链路资产,主要包括总部、分支机构以及各大业务网点的互联网出口。
值得注意的是,在梳理资产的同时,需要和供应商相对应,在发现漏洞或其他不当配置时,可快速响应处置。
很多时候,防守方失陷的原因,在于一些很小的目标,甚至可能是某位员工在社交网站的一次发帖或者一个开放的打印机端口。
在实战过程中,攻击队对于目标的情报收集能力是惊人的,他们往往能从最不起眼的信息或者资产开始寻根溯源,最终找到目标的关键信息,如组织架构、登录口令、重要源代码等等。
因此在战前准备阶段,防守队通过网络扫描、网络爬虫等多种技术,主动探测用户在互联网上暴露的资产和敏感信息,协助用户梳理出互联网资产全景图,对暴露信息进行清理或隐藏,降低被攻击队利用风险十分必要。
在条件允许的情况下,还可充分利用部分暴露信息制作“陷阱节点”,在部署欺骗诱捕系统(蜜罐)时配合使用,达成对攻击队欺骗诱捕的目的。
另外,在正式的攻防演习开始之前,防守队内部还可开展一次预演。结束后,参演人员对演习过程中发现的问题进行总结,包括是否存在系统漏洞、安全设备策略是否有缺陷、监测手段是否有效等,针对性提出整改计划和方案,并为后续工作积累经验。
![攻防|九大举措助力防守队应对网络攻击七十二变]( "攻防|九大举措助力防守队应对网络攻击“七十二变”")
在攻防对抗阶段,防守方需尽量避免发生这样一种现象,即攻击者一旦突破内网边界,便能够肆意在内网横向移动。这就要求防守队必须构建起多批次、大纵深的防御体系,让攻击者每前进一步,都需要付出更高的成本,甚至迫使攻击者放弃攻击行为。
对此,奇安信提出了基于威胁情报的检测能力+核心资产防御+人的纵深防御体系,除了在网络边界部署入侵检测系统、防火墙和VPN网关等边界防护产品外,还应在网络侧部署天眼,实现高级威胁和异常流量的检测与分析;
在服务器侧部署椒图,实现服务器加固和针对服务器内部的检测与响应;
在终端侧部署天擎,实现终端安全的统一管控和检测与响应;在邮件服务器部署邮件威胁检测系统,实现对鱼叉邮件、带毒邮件、钓鱼邮件的精准检测;
部署NGSOC,对所有安全事件进行统一管理,监测企业内部整体网络安全态势……
在此基础上,引入威胁情报,强化监测能力。
基于威胁情报的检测能力+核心资产防御+人的纵深防御体系图示
只有防御纵深还不够,防守方依然处于一个“被动挨打”的局面。在真正的战争中,有利条件下局部的反冲锋,往往能带来非常积极的防御效果。对于网络安全实战而言,防守队在内网实施主动出击,同样十分重要。
通常而言,构建内网的主动防御能力,需要全面覆盖互联网接入、办公网接入、分支机构接入、第三方供应商接入、专网接入、VPN接入和关键系统,收集内网全量数据(包括流量数据和日志数据等),利用大数据技术、关联分析引擎,找出内网中可能存在攻击事件和异常行为。
例如在流量侧,奇安信天眼能够采集全流量进行拆包检测,并将所有网络会话例如DNS、URL等信息都记录下来,可用于针对攻击队伍的溯源分析。
同时,天眼针对加密流量的检测也有很好的效果。而在服务器侧,椒图能够主动采集内网服务器东西向流量进行统一检测,针对Webshell、SQL注入甚至0day攻击,都有很好的检测效果。
一旦发现内网服务器失陷,还可通过微隔离技术,主动隔离失陷服务器,防止进一步扩散感染。
情报通常包括两个方面,一方面是描述攻击行为的威胁情报,另一方面是描述漏洞行为的漏洞情报。无论是哪种情报,都能够降低安全设备的误报率和漏报率,从而提升防守队的处置效率。
-
在威胁情报方面,对于经过分析已经确认的攻击事件,防守队可将攻击事件涉及的IP地址、攻击方式、域名、攻击者相关信息、攻击行为和相关威胁情报上传至云端威胁情报平台,平台会自动将该情报与其他防守队提交的情报进行关联,再下发至所有安全设备,并进行统一分析工作。
-
在漏洞情报方面,防守队可将每日收集到的漏洞相关情报提交至补天漏洞平台,由补天后端小组等奇安信二线实战攻防专家进行统一研判后,再实时发布给前端项目经理及漏洞提交者,同时推动安全设备进行统一规则更新,实现对漏洞利用的精准检测。
![攻防|九大举措助力防守队应对网络攻击七十二变]( "攻防|九大举措助力防守队应对网络攻击“七十二变”")
除常规武器外,防守队还应针对重点目标进行重点加固,以防“漏网之鱼”。
第一点是针对内网的集权系统(域控、OA、云平台、大数据平台)等系统开展安全评估及安全加固;
第二点是针对报备的核心目标系统,加强内部网络隔离和主机防护,并采用白名单措施保障其安全性;
第三点是针对重点安全产品(包括防火墙、杀毒软件等)进行重点加固,尤其是远程代码执行等漏洞的修补工作。
网络安全实战攻防演习的本质还是攻击队与防守队之间的对抗,因此在武器之外,防守队的技战术水平,能够很大程度决定结果走向。
在防守队伍支持方面,奇安信除派出一线驻场专家外,还设置了大量的威胁分析师、安全运营工程师提供远程支持。2020实战攻防演习期间,奇安信投入一线、二线专家超过3000人,为超过50%的参演单位提供了防守服务。
在攻防对抗期间,驻场防守队伍能够根据告警信息,针对攻击行为的具体特点实时制定攻击阻断的安全措施,详细记录攻击阻断操作,同时配合甲方业务主管单位对业务稳定性进行监测。如遇到可疑样本、0day漏洞等疑难杂症时,二线专家还可提供远程的样本分析、漏洞复现等支持。
![攻防|九大举措助力防守队应对网络攻击七十二变]( "攻防|九大举措助力防守队应对网络攻击“七十二变”")
过去实战攻防演习曾经流行过这么一个段子,通信基本靠吼,处置基本靠手。这个段子在一定程度上反映出了防守队伍在协同联动方面的缺失。
第一是防守组织化,总部领导挂帅,总部安全、网络、开发、业务和分支机构联合成立工作组;
第二是处置流程化,明确应急预案流程,同时借助自动化工具(SOAR),在值守期间采用电子化流程保证事件处置运转;
第三是沟通工具化,采用IM通讯工具,在IM上工作组细分小组,加强内部沟通,解决沟通靠吼的现状;
第四是指挥平台化,使用统一的攻防演习指挥平台、实战化威胁运营平台等工具,实现监控、分析、处置平台一体化管理。
在实战攻防演习中,针对攻击队溯源反制是防守队重要的加分项目之一,对接下来的防守部署也具有非常重要的意义。
奇安信认为,构建完整的溯源反制能力应该包括以下四个步骤:
事前埋点,部署蜜罐系统,在公开渠道(如社交网站)散布虚假消息(代码、账号)和伪装应用;
溯源追踪,攻击IP定位、域名反查、域名注册信息查询、恶意代码分析;
对抗反制:攻击IP的漏洞发现、攻击IP漏洞利用、人工溯源信息,甚至利用蜜罐等技术手段,实现对攻击队主机的反向控制。
本文图片来源于网络
![攻防|九大举措助力防守队应对网络攻击七十二变]( "攻防|九大举措助力防守队应对网络攻击“七十二变”")
原文始发于微信公众号(奇安信集团):攻防|九大举措助力防守队应对网络攻击“七十二变”
评论