【兵临城下】系列公开课是盛邦安全基于多年攻防实战经验,针对重保及攻防演习等场景而推出的系列直播活动,将从资产暴露面梳理、攻击面管理、脆弱性自查、安全防线加固、协同联动防御以及攻击溯源、应急响应等全流程进行梳理,陆续上线十几场的直播分享活动,大家可以关注【盛邦安全视频号】提前预约直播活动。
一、办公系统,比如OA系统或者邮件服务器等。这类系统的特点是目标明显、好找,但是承载的用户信息却很多,一旦被攻击者控制就会泄露大量的情报信息,既可以被用来钓鱼,又可以用来制作口令爆破的字典等等,是攻击者喜欢的突破口之一。
二、远控系统,比如一些远程桌面的系统、VPN系统等等。很显然,这类系统本身就是用来远程办公和协作的,所以天然具有直通内网的通道,一旦被控制就相当于暴露了内网环境。
三、集权系统,包括堡垒机、域控,各种管理平台比如云管平台等等,这类系统普遍具有更高的内网权限,并且与内网的其他系统交互较多,所以是攻击者关注的重点,一旦被控制就直接威胁到核心系统的安全。
针对这些重点目标,攻击者采用的突破方式有很多,但这几年大家提及较多的还是0day漏洞。因为0day漏洞的特点是还未公开或刚刚公布,所以没有提前检测的POC用例,也没有针对性很强的防护规则,所以对目标系统的威胁较大。
在这里我们列举了几类需要重点注意的漏洞类型,包括OA、项目管理等业务系统的漏洞;各类设备或产品的漏洞,比如VPN或者杀毒软件的管理控制台等;当然还有操作系统的漏洞,大家需要重点关注一些身份管理类、远程控制类和远程执行类的漏洞;最后就是热度较高也是大家通常较头疼的漏洞——中间件类的漏洞,这里列举的都是容易出现的类型,比如S2的漏洞、WebLogic的漏洞、Shiro的反序列化漏洞等等。
这些系统或组件的利用率高,攻击者的关注度也高,因此漏洞出现的也很频繁,对于防守方而言必须要持续关注和反复检查。
那么面对这些防不胜防的攻击,防守方怎么做才能守住自己的关键系统呢?我们概括了重点目标防护的“三步走”:最小化权限控制、专项规则防护和白名单防护。
首先,要对系统自身加强安全控制,限制开放的权限,细化访问控制策略并做好审计工作;然后针对攻击者可能采用的手段建立专项的防护规则,针对性的进行拦截,收缩防守阵地;最后,对于核心保护对象,在靠近系统的位置建立白名单策略,采用严格的防护手段。这其实也是纵深的一种思路。
这就是我们今天要分享的第二道防线,针对黑客行为的专项防护规则。为了应对攻击方在中期的定向突破行为,通过专项规则加白名单相结合的方式来构筑防线,一方面可以有针对性的拦截高危的攻击,另一方面可以通过非白即黑的策略来屏蔽异常访问,从而达到守好关键点的效果。总之,在第二道防线中我们要做到三点,严把关键位置、严防定向攻击和严守关键系统。
从产品部署和技巧来看,第二道防线除了进行查漏补缺的部署之外,还需要灵活应用纵深防御的思想,在边界部署准确率高的专项规则,在靠近目标服务器的位置则针对性的设置白名单策略,找到业务和安全的平衡点。
第二道防线中的几个核心技术能力:
一、专项规则。我们根据攻击者常采用的漏洞利用攻击和后门工具攻击,针对性建立了几套专项检测规则,包括热门组件漏洞的规则、重点设备漏洞的规则,还有各种webshell和远控工具的规则。这些规则覆盖了近几年各类实战攻防场景中的攻击手段,以及热门高危漏洞,后续我们会持续更新,确保防守侧能够进行精准判断;另外,除了专项规则的维护外,我们还通过语义分析和机器学习引擎来进行训练以应对变种威胁。
二、口令爆破防护。针对重点目标的口令安全,我们利用口令字典、反向校验与请求限制等方式来检查和拦截,包括对默认口令的收集和各类简单口令、重复口令的编制。概括而言,该技术的要点就是检查口令的健壮性、访问来源的真实性和请求行为的合法性。
三、内网防DDoS。在实战中由于DDoS比较依赖资源支撑并且需要应对各种限制,因此在外网侧相对较少。但攻击者进入内网后,为了获取目标系统的权限,则可能会采用DDoS攻击消耗其系统资源,从而导致系统处理异常并暴露缺陷。因此,在内网,我们可以采用连接限制加DDoS识别清洗的方式来做综合防护。
关于盛邦安全
盛邦安全成立于2010年,在网络空间地图、业务安全、供应链安全、应用防御和脆弱性检测等领域已成为国内领先的网络安全产品及服务供应商。
让网络空间更有序
原文始发于微信公众号(盛邦安全WebRAY):兵临城下公开课丨构建蓝队第二道防线——针对黑客行为的专项防护规则
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论