实战攻防演习:破除攻方杀手锏,需要更加精准的漏洞管理

admin 2022年6月24日17:04:09评论54 views字数 3965阅读13分13秒阅读模式

实战攻防演习:破除攻方杀手锏,需要更加精准的漏洞管理


实战攻防演习:破除攻方杀手锏,需要更加精准的漏洞管理

在实战攻防演习“以攻促防”系列内容中,前文《攻防演习:70%的防守队没做好这件事 导致“未战先输”》中讲到,“在实战攻防演习中,作为攻击活动的初始环节,攻击者会通过各种手段,搜集目标信息,并选择薄弱点,如窃取登录凭证、扫描高危端口等,将其作为主攻方向。”从攻击者的视角,侦察获得的信息越全面,找到薄弱点、突破口的概率就越高。

今天,我们继续站在攻击者的视角来看攻防对抗,侦察的下一步,就是将安全情报武器化,根据获取的目标信息来构建武器、有的放矢。




1


选择武器,是战争成败与否的关键


从古至今,武器在战争中起到的作用都是不可估量的。以弓弩为例,秦军的弓弩之强,令六国闻风丧胆。各种不同射程的弩,组成了秦军远程火力投放的梯队,让攻击者能够轻易突破对方的防线,在长平之战中,也正是这样的强弩让赵国军队伤亡惨重。还有英法百年之战,英格兰长弓凭借恐怖的穿透力力压法国骑兵;蒙古人独特的反曲弓带来的远程杀伤,为其军事强大打下坚实基础;满清时期士兵的弓箭技能,更是让缅甸史书中记载着满清骑射凶猛的文字……

实战攻防演习:破除攻方杀手锏,需要更加精准的漏洞管理

图片来源于网络


可以说,无论是对战略制定、作战行动,还是军事指挥来说,战争中的武器应用,直接影响了作战方式,改变战争的面貌。随着技术的发展,从冷兵器到热兵器再到高科技武器,每一次新武器的出现无不影响着战争的成败,乃至时代的走向。弓弩不过是古代战争的基础武器,若是用上了“杀手锏”一般的武器,又会对战争带来怎样的影响?


实战攻防演习:破除攻方杀手锏,需要更加精准的漏洞管理


先说坦克,1916年英国生产了马克Ⅰ型坦克,同年9月15日,首批马克Ⅰ坦克投入索姆海战役,面对子弹也无法穿透的坦克,德国人束手无策。英军21个步兵师在坦克支援下,在10公里宽正面上分散攻击,5小时内向前推进了5公里,而这个战果以往要消耗几千吨炮弹,死伤数万人才能取得。
再说原子弹、核武器,二战后,核武器俨然成了大国的标志,这种拥有压制力量、毁天灭地的武器,直接决定着战争的结果,这就是武器的力量。
而在实战攻防演习中,漏洞正是攻击方的“杀手锏”,在演习开始前的第二步,攻击者通常会根据手中掌握的目标信息和薄弱点,最典型、最常见的如漏洞,构建针对性的漏洞利用工具,如木马、webshell等。
被利用系统中的漏洞攻破防线,也是防守方最经常丢分的一点。




2


防守痛点:无法快速、有效识别漏洞优先级并可靠处置


我们常说“漏洞是不可避免的”,业务系统或产品的漏洞会随着使用不断被暴露出来,然后被厂商打补丁修复,新版本修复旧版本漏洞的同时,可能会仍存在未发现的漏洞或引入新的漏洞,随着时间推移,系统或产品中的漏洞此消彼长,漏洞管理对于客户来说始终是一个麻烦且棘手的问题。


在实战攻防演习中,漏洞就是攻击者眼中的突破口、就是网络军火,攻击者可以通过构建合适的武器轻易利用漏洞来攻城略地。
客户业务涵盖设备、系统、应用等多种类型,这些信息资产中究竟存在着多少漏洞?在被发现的漏洞中,又该如何进行优先级排序并找到合适的修补方法?在这一步,防守方的核心痛点就在于漏洞的发现及管理,利用漏扫等设备扫描出的漏洞信息只能作为基础风险信息,无法及时发现高级漏洞以及可利用程度。这些漏洞一旦在实战攻防演习中被攻击者利用,很可能会被打进内网进行渗透。

奇安信CERT安全专家认为,防守方的核心痛点具体包括以下几个方面:
其一,在最开始的发现阶段,如何才能从庞大的信息资产中及时发现漏洞;
其二,每天大量的新漏洞披露,如何才能识别出哪些漏洞是真正有威胁的部分;
其三,如何能尽早得到完整准确的漏洞信息,有效判定漏洞影响情况;
其四,通常发布漏洞补丁需要一定时间,而即使发布了相应的漏洞补丁,很多场景下,用户也无法随心所欲地安装。是否有快速可靠的临时解决方案,可以规避漏洞导致的风险;
其五,在处置资源有限的情况下,应该优先处理哪些漏洞,以最大程度减小漏洞风险的敞口。


此时,要想守住防线,就必须清晰掌握漏洞情报。然后根据漏洞情报,确定哪些才是真正有威胁的漏洞,进行漏洞优先级排序,从而制定针对性、有效的修复措施。只有及时加固防线、清楚薄弱点,无论攻击者使出怎样的杀手锏都找不到突破口,才有可能将危机化解于无形。




3


化解危机:做好漏洞管理,循序渐进查缺补“漏”


想要在实战攻防演习中少丢分、多得分,就要做好全生命周期的漏洞管理工作,仅仅通过漏洞扫描器检测当前信息资产的漏洞情况,是无法清晰分析和判断当前的漏洞状态,更别说对漏洞状态进行有效管控。针对上述核心痛点,奇安信CERT安全专家建议,防守方应在演习开始前尽快掌握信息资产中的漏洞情况,合理运用漏洞情报,及时发现并修复有威胁的漏洞。


专家表示:“企业用户基于其信息系统的复杂程度,单一的安全产品无法满足其建立企业自身漏洞检测与响应能力的需求,企业需要更加精准和定制化的漏洞情报服务,来帮助管理者迅速判别漏洞对企业业务的影响,并第一时间进行有效的漏洞处置。”


实战攻防演习:破除攻方杀手锏,需要更加精准的漏洞管理


在漏洞的发现层面,首先要解决的是“信息资产中究竟有多少漏洞”这一痛点问题。

奇安信代码卫士和奇安信开源卫士是国内领先的完全自主可控的软件代码安全分析系统,可以从软件层自动化识别漏洞。奇安信代码卫士是一套静态应用程序安全测试系统,为客户提供企业级源代码缺陷分析、源代码审计、源代码缺陷修复跟踪的完整解决方案,帮助企业在软件开发测试过程中发现源代码中的安全缺陷、性能缺陷、代码质量等问题,全面提升软件安全质量,可检测2600多种源代码安全缺陷,支持C、C++、C#、Objective-C、Swift、Java、JavaScript、PHP、Python、Cobol、Go等20多种编程语言。


实战攻防演习:破除攻方杀手锏,需要更加精准的漏洞管理


奇安信代码卫士团队具有国际领先的软件漏洞分析能力,曾帮助微软、苹果、Google、Oracle、Cisco、SAP、Adobe、Facebook、IBM、Linux内核组织、Apache基金会、华为、阿里等企业或开源组织修复数百个软件安全缺陷和漏洞,基于多年的漏洞研究积累,奇安信代码卫士形成了丰富的源代码检测规则。

奇安信开源卫士则是一套集开源软件识别与安全管控于一体的软件成分分析系统,通过智能化数据收集引擎在全球范围内获取开源软件信息和漏洞信息,帮助客户掌握开源软件资产状况,及时获取开源软件漏洞情报,降低由开源软件带来的安全风险,奇安信开源卫士目前可识别9000多万个开源软件版本,兼容NVD、CNNVD、CNVD等多个漏洞库。


实战攻防演习:破除攻方杀手锏,需要更加精准的漏洞管理


想要进一步判定“哪些漏洞是对业务和安全有威胁的”,补天漏洞响应平台作为国内最大的第三方漏洞响应平台,能够帮助客户第一时间掌握最新、最全的漏洞情报信息,缩短至少90%的漏洞暴露窗口期,占据先发优势避免漏洞被攻击者抢先利用。截止目前,补天漏洞响应平台入驻白帽专家数量超过98000位,报告漏洞总数超过91万,影响企业数量超27万家,是重要机构和企事业单位漏洞响应的重要保障力量。
除此之外,补天众测还可为客户提供定向的、深度定制化的人工漏洞检测和渗透测试服务。从全球数万名白帽子中为企业量身挑选15~50名擅长该领域的精英白帽,实战攻防演习经验丰富、规则明了、技术可靠;并且身份可信,所有白帽子经过实名认证,签署了保密协议,而且测试过程通过VPN+流量监控的方式接入,全程对白帽子操作行为审计,实时记录参与测试白帽子的操作行为,确保白帽子行为可控可溯源;漏洞管理效率更好,从发现、修复到复测等整个过程,客户、白帽子、补天技术专家在补天漏洞响应平台上做了闭环管理,工作流驱动效率更高,漏洞二次复测也确保每一个漏洞真正被修复。
基于技术高无风险、身份可信和管理效率高等优势,在实战攻防演习开始前,补天众测的白帽子可以帮助客户对互联网业务各类“题型”远程进行暴露面排查,手工验证漏扫扫不出来的漏洞,进行漏洞挖掘并提供详细的漏洞详情报告,同时补天技术专家也会提供专业详实的漏洞修复建议,让客户快速排除漏洞安全隐患。


一般的漏洞库的核心信息只会涉及软硬件影响面(厂商、应用及版本)和漏洞本身技术层面的评估(威胁类型、利用场景、危害大小等),对于有效管控漏洞导致的风险来说,这些信息还远远不够,漏洞情报的重要性不言而喻。“漏洞情报相对传统漏洞库区别最大的地方在于对漏洞本身技术层面以外维度的持续动态跟踪。”在初步发现漏洞、判断漏洞威胁程度后,要解决的就是“如何修复漏洞规避风险”“漏洞优先级排序”等漏洞处置难题,除了补天技术专家提供修复建议外,还可以选择奇安信CERT快速获得专业、可靠的漏洞处理方案。


奇安信CERT可以为客户提供定制化漏洞情报,为客户提供最具价值的漏洞修复优先级排序、漏洞补丁情况以及在无法安装补丁的情况下临时漏洞修补方案或者漏洞利用检测方案。此外,奇安信CERT通过构建漏洞情报服务社群,主动推送重要漏洞实时状态更新通知,涵盖新关键漏洞、新技术细节、新POC/EXP、新在野利用、新补丁或解决方案五类重要漏洞情报。

实战攻防演习:破除攻方杀手锏,需要更加精准的漏洞管理


奇安信CERT能够帮助客户进行全面的多维漏洞信息整合及属性标定,准确的漏洞所导致实际安全风险判定,可靠的综合性漏洞处理的优先级排序,及时的与组织自身相关漏洞风险通知,可行的包含详细操作步骤的处置措施。


漏洞武器化,是历年实战攻防演习中将安全情报转化为武器的典型代表。无论是攻击方还是防守方,漏洞情报都是重中之重。站在攻击者的视角来守好防线,实现有效的积极防御,很关键的一点是要具备安全情报的收集与使用能力。从奇安信代码卫士开源卫士,到补天奇安信CERT,循序渐进地查缺补“漏”,才能在实战攻防演习中做到“不丢分、拿高分”。





相关阅读

实战攻防演习:破除攻方杀手锏,需要更加精准的漏洞管理


· 攻防演习:70%的防守队没做好这件事 导致“未战先输”
· 想彻底看懂攻防演练 读这一本书就够了
( ↓ 攻防秘籍可点击阅读原文购买 ↓ )

实战攻防演习:破除攻方杀手锏,需要更加精准的漏洞管理

原文始发于微信公众号(奇安信安全服务):实战攻防演习:破除攻方“杀手锏”,需要更加精准的漏洞管理

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月24日17:04:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   实战攻防演习:破除攻方杀手锏,需要更加精准的漏洞管理https://cn-sec.com/archives/1141038.html

发表评论

匿名网友 填写信息