实现主动网络安全,BAS必不可少

admin
admin
admin
102205
文章
87
评论
2022年4月22日22:47:18评论118 views字数 2542阅读8分28秒阅读模式

网络对抗是攻防博弈的过程。

众所周知,攻击者总是采用“面”的攻击策略,使用众多的攻击手段,围绕防守的城墙,从四周寻找突破口,找到可以攻击的漏洞从而发起攻击。防守方总是针对“点”的漏洞制定相对应的防守策略,以稳固城墙的安全性。这种“面”对“点”的围攻是攻防不对等的真实写照。

应对此情景,防守者需要做好主动网络安全,改变被动防御的思维逻辑,让自身应用、数据等资产处于安全的围城中,避免被攻击者拿到而造成一定的损害。今天,我们简单为大家分享一下实现主动网络安全的过程中我们如何做。

主动网络安全的涵义

主动网络安全专注于保护企业的IT基础架构免受网络攻击者的侵害,在攻击者对其造成严重破坏之前阻止攻击的产生。这样可以避免攻击解决方案产生的成本,也不会对企业造成严重的影响。
这里不得不提到一个概念:攻击面可视化。其实这并不是一个新的词汇,对于很多人而言也并不陌生。放在网络安全中,却是很重要的一个概念。尤其是在DevSecOps的整个过程中,做好不同阶段响应的策略机制,对攻击面进行分析和预防,利于整个网络安全体系的构建。
实现主动网络安全,BAS必不可少
图1 DevSecOps工具链模型
DevSecOps 是"开发、安全和运营"的缩写。它是一种文化取向、自动化方法和平台设计方法,将安全性作为整个 IT 生命周期的共同责任。
DevSecOps 意味着从一开始就要考虑应用和基础架构安全防护;同时还要让某些安全网关实现自动化,以防止 DevOps 工作流程变慢。选择合适的工具来持续集成安全防护(比如在集成开发环境(IDE)中集成安全防护功能)有助于实现这些目标。但是高效的 DevOps 安防需要的不仅是新工具。它更需要整个公司实现 DevOps 文化变革,从而尽早集成安全团队的工作。在DevSecOps的不同阶段做好攻击面可视化,利于我们在应用上线前做好安全防护工作。
(1)Plan计划阶段
系统在进行安全设计时,通用的做法是进行攻击面分析威胁建模。攻击面分析和应用程序威胁建模之间存在递归关系:对攻击面的更改应该触发威胁建模,而威胁建模可以帮助您了解应用程序的攻击面。通过识别威胁理解信息系统存在的安全风险,发现系统设计中存在的安全问题,制定风险消减措施,将消减措施落入系统设计中。
(2)Create生成(编码)阶段
在编码阶段,通常采用IDE插件的方式进行本地源代码安全扫描,第一时间发现安全漏洞并修复,诸如OWASP TOP10主流的安全漏洞类型基本可以覆盖。
(3)Verify验证(测试)阶段
测试阶段可以采用AST(SAST、DAST、IAST、SCA)技术对源代码、第三方代码、第三方组件、许可证等模拟黑客进行安全测试分析,确定是否有漏洞等威胁。
(4)Preproduction预发布阶段
在预发布阶段对容器、环境进行安全检测,同时做好fuzzing安全测试、Chaos Monkey等。
(5)Release发布阶段
在发布阶段,做好安全风险评估、签名检验等。
(6)Predict预测阶段
预测阶段做好威胁情报收集、漏洞分析预警、检测响应综合分析工作。
(7)Respond响应阶段
响应阶段,基于安全编排(基于发现的威胁作智能阻断,形成playbook)、RASP、WAF、HIDS等形成纵深防御体系,建立应急响应机制。
(8)Detect检测阶段
在检测阶段做好自动化渗透测试,BAS自动化和攻击模拟测试,对纵深防御体系进行安全验证。
(9)Configure配置阶段
配置阶段部署用户和事件行为分析。用户和事件行为分析 (UEBA) 是另一种自动化策略,UEBA 通过主动监控IT 网络中的用户、设备和软件进程的活动来工作,可以防止网络攻击造成损害。
(10)Adapt适应阶段
根据上线运营效果对检测能力进行持续迭代、优化,不断调整开发过程中的策略,不断完善纵深防御的安全防护体系。

BAS技术的实践应用

在实际的应用中,BAS技术一般会在如下3点起到关键作用:
1、检测
通俗地说,BAS 通过对公司当前的安全控制进行压力测试来工作,包括但不限于:

  • 入侵检测系统或 IDS

  • 防毒软件

  • 硬件认证设备

  • 网络防火墙

  • 电子邮件服务器过滤器

一旦确定了这些安全控制,下一步就是配置自动化测试来评估它们的漏洞。结果出来后,自动生成的报告将发送给组织的网络安全团队。
2、威胁情报
为了保护组织免受最新攻击,BAS 解决方案还从多个来源获取威胁数据,例如:
  • 该组织以前的网络安全报告中的第一方数据
  • 从解决方案的内部研究团队获得的数据
  • 开源威胁情报数据库,例如 MITRE ATT&CK,这个我们在上一篇的内容中简述过该框架。
3、持续的安全验证
BAS技术是自动化的,在整个执行的过程中对被检测、验证对象持续的进行安全验证,映射攻击面、识别潜在的攻击向量并生成修复建议。一般情况下,可以有如下几种验证方法
1)配置错误
当安全团队被误报信息影响,关闭了SIEM系统的安全警报时,容易造成漏洞泄露,为攻击者争取了权限管控的时间。采用BAS技术进行正确技术配置,可以有效防止攻击或者更快的发现攻击,避免错误配置的产生。
2)安全衰减
随着时间的推移,企业的安全防护工具是不断增加的,当发现了安全漏洞却没有补丁更新的时候,系统和网络的安全防护能力就会衰退。BAS可以诊断和防止安全性下降,因为它不断对系统进行自动化测试,以确保系统是最新的并保持安全。
3)覆盖重叠
企业为了增强防护能力,可能会采购一系列的安全防护工具,比如网络层、终端或者主机层,但是企业并不确定防护工具的覆盖重叠是否增强了安全防护能力。BAS技术通过攻击模拟帮助企业判定防护能力,降低了购买成本,也增强了安全能力。
4)事件响应
对于许多安全团队成员来说,实时安全威胁响应能力是需要培养的一个技能。通过BAS团队可以安全地了解事件响应,而不会将实际系统置于危险之中。BAS可以训练团队使用适当的缓解技术和寻找威胁,这样当真正的威胁发生时,他们就能做好准备。

总结

安全从来都不是一劳永逸的事,因为新的网络攻击不断涌现,错误配置屡见不鲜。如何应对不断变化的威胁形式,唯一的方法就是在黑客攻击之前对自己进行持续渗透验证,检验自身安全防护能力,避免真实攻击带来的安全危害。
实现主动网络安全,BAS必不可少

欢迎进群讨论供应链安全相关信息

精彩推荐:

实现主动网络安全,BAS必不可少

实现主动网络安全,BAS必不可少
实现主动网络安全,BAS必不可少

原文始发于微信公众号(供应链安全):实现主动网络安全,BAS必不可少

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月22日22:47:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   实现主动网络安全,BAS必不可少http://cn-sec.com/archives/934911.html

发表评论

匿名网友 填写信息