“
国庆假期,各行各业欢度佳节之际,也是网络攻击密集出现的时候。政府机构、大型国企、重点高校尤其要做好这个阶段的安全防护。
Web应用承载了每个企业单位的核心资产数据,重保时期发生被篡改或信息泄露,不但要遭受名誉、经济上的损失,更要承受法律甚至政治上的责任。
▲如何抵御互联网上无处不在的恶意攻击?
▲如何在攻防对抗中占据主动?
▲如何安稳度过重保时期不发生安全事件?
本文就从Web站点视角介绍重要时期会遭受的攻击和威胁,以及应对之策。
黑客吹起进攻的号角
万事万物皆有其道,网络攻击也有自己的一套规范思路和打法。在信息系统存在漏洞的前提下,攻击者有了利用的可能,现实中网络攻击有如下几个阶段:信息收集——尝试攻击——攻陷——扩散——黑产牟利,每个阶段都有多种攻击手段,并且灵活组合直指目标。
#1
信息收集,伺机而动
现实中的攻击者并不像电影里那样,一开始就找准了目标进行针对性的攻击。通常都是采用遍地撒网重点捞鱼的策略,先在互联网上发起信息收集工作。使用一些列工具如namp发起IP、端口、系统、应用等扫描,或者用爬虫爬取网站上的信息,针对得到的数据做分析,找到那些暴露了高危端口(rdp、ssh、数据库)的IP、使用低版本组件或语言的网站。有了这些信息,下一步就有十八般兵器来袭。
上图是对一个网站每天遭受攻击类型做的统计,可以看到超过50%的攻击属于目录信息泄露,还有近30%的攻击属于文件限制,都是攻击者在信息收集时使用的手段。
某网站某天遭受攻击类型统计
#2
定制化高级持续攻击,有备而来
拿到了获取到的IP等信息,就可以用工具脚本对IP做口令暴力破解尝试登录,获取网站服务器后台目录或站点敏感信息如phpinfo,对获得的低版本组件存在的通用漏洞进行攻击。SQL注入或命令执行获取后台敏感文件或数据库的数据。上传一句话木马到后台目录,菜刀攻击连接shell,后面就可以接管文件管理、shell命令,进行提权和控制。控制了机器后就可以窃取数据、篡改网站、加密勒索、横向扩散等等为所欲为。
下图是信息安全人员必备知识OWASP十大应用安全风险(OWASP Top 10),可以看到现网中流行的攻击手段。
OWASP Top 10 2021年最新版
#3
变种攻击0day漏洞,火力全开
大多人所谓的创新,都是前人的重复。黑客并不一定都是大神,类似脚本小子的才是这些攻击人群的主流,使用的攻击手段都是别人制作好的工具脚本,也很容易被压制。但总有人会研究出新的攻击手段,尤其是当前网络环境中恶意程序数量呈指数增长,各类新型的攻击方式层出不穷,随着恶意代码技术的发展,传播过程中会进行多次变形躲避安全产品的追杀。0day(零日攻击)的出现更是突破了现有安全产品基于已知威胁的防护体系,攻击目标相当于裸奔,随时被攻陷。攻击者动用这些新型攻击和0day,在攻防作战中占据了主动地位。
#4
流量型攻击,鱼死网破
如果以上攻击还不奏效,往往还有最后一个大杀器—流量型攻击。流量型攻击通常是DDoS(分布式拒绝服务),利用大量的请求占满攻击目标的出口带宽或服务器性能。现在更流行的是应用层的DDoS—CC攻击,这种攻击会模拟正常访问者的行为,对网站发起的应用层请求,缓慢而坚定的耗尽服务器的缓存和并发连接等,最终无法给正常的请求者提供服务。这种拒绝服务攻击除了能瘫痪业务,也可以用来明修栈道暗渡成仓。通过流量攻击让目标安全设备失效或迫使安全管理员关闭某些高级防护功能,可以将真正的攻击夹杂在海量请求中绕过防护直达目标。
尤其是当前网络中存在的攻击即服务(Attack as a Service )甚至分布式拒绝攻击即服务(DDoS as a Service)变得越来越流行,这种服务的价格也非常低廉,按次计费和长期租用的形式,每小时攻击成本不到10美元,成本低很容易被使用。
#5
迂回战术,软硬兼施
当用尽以上所有攻击结果还不生效时,攻击者就要考虑行动的性价比,一般会及时止损寻找下一个受害者。但出于尊严也好或当前付出的沉没成本也罢,攻击者还有别的途径可用。有句话叫“硬的不行来软的”,既然攻击目标防护这么严密,那是不是可以绕过目标转而攻击同用户的其他资产。通常一个企业对外提供不止一个业务,不同业务安全水平也参差不齐,每一个暴露在互联网的业务都是潜在的攻击进入点。攻击者可以挑选防护能力较弱的资产重点攻破,然后作为跳板机在内部横向威胁最初的目标,而资产对内的暴露面远远大于对外网的,一些主机层的脆弱性对内暴露,使攻击难度大大降低。
当然除了通过各种技术直接攻击,社会工程学也是很有效的进攻手段。在信息安全这个链条中,人的因素是最薄弱的一环节。社会工程学就是利用人的薄弱点,通过欺骗手段而入侵计算机系统的一种攻击方法。这就涉及信息系统人员的安全意识和防范手段,本文不再详述。
安全人员构筑防御城墙
我们已经了解到常见的攻击路径以及每一步详细的技术动作,在常年累月的对抗中,英勇不屈的安全人员也发展出一系列的技术、理念、产品和方案,有了这些工具可以见招拆招,游刃有余的应对攻击者的挑战。
#1
自检加固,查漏补缺
重保前,需要做一次完整的资产暴露面梳理。通常使用监测扫描类产品,从外网或内网对主机或Web做一次体检,梳理出资产存在的脆弱性。不重要的系统,重保期间可以关闭系统。不允许关闭的重要系统,优先修复漏洞,无法修复的通过调整WAF、防火墙策略等方式,先减少漏洞存在的影响。当然针对网站也有一些特殊的应对方法,使用反向代理或接入云WAF,可以隐藏业务信息和源站地址,永久在线(Always Online)通过学习源站流量伪造一个镜像站,用户直接访问镜像站,源站不对外服务自然免疫攻击,结合这些技术手段为迎接后面的攻击做好准备。
#2
全频道阻断,对症下药
攻防过程中双方地位其实是不对等的,攻击方往往占据主动,防守方只能被动等待。但如果对现有的防护手段进行合理组合排布,可以构建一个严密有效的防御体系。
第一步
应对信息泄露攻击,通过前期的自检加固减少了对互联网IP端口暴露,可以过滤一大部分的攻击。而针对业务端口的扫描探测需要配合专门的防扫描产品如WAF,阻止访问敏感文件和目录,隐藏含有服务器和应用信息的回显数据。同时搭配防Bots功能,精确识别自动、半自动化攻击工具的行为特征进行拦截。攻击者找不到有价值的利用点,自然不会啃这块硬骨头。
第二步
对大流量攻击使用DDoS模块做清洗,针对小流量、应用层的DDoS 攻击采用CC 防护功能做识别拦截。
第三步
清洗完大流量攻击后,剩余的数据交给机器学习模块。机器学习算法结合语义分析对无害资源、正常访问行为、误报行为进行分析,通过一定的模型训练,将安全流量进行线速转发,提升应用层检测效率。
第四步
针对剩余的非安全流量通过已知攻击检测模块进行过滤,包括机器学习+规则双重检测算法识别并拦截注入、跨站、协议违规、Webshell、盗链、组件漏洞、CSRF、信息泄露等攻击。
第五步
应对变种攻击和0day漏洞未知攻击通常危害大,隐蔽性强,采用威胁情报+虚拟补丁方式进行识别和拦截。
#3
威胁情报分析,了如指掌
还有一个大杀器——威胁情报。网上对威胁情报定义是:某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。
威胁情报最简单的功能是通过之前对发起过的攻击、现网正在发起的攻击、高级持续性威胁(APT)做跟踪,得到一系列的数据比如恶意IP、攻击样品信息等。广撒网的攻击方式,其攻击信息被设备收集到并上传给威胁情报,云端处理后将这些情报共享给给所有接入的设备。这样在攻击者刚连接上网络时,直接打断三次握手,或者刚提交一个本地设备无法识别的攻击样本就被云端检测出恶意代码给拦截,有点不讲道理但效果非常显著。
#4
最强外援,重保无忧
信息安全对技术、产品、人员能力和管理制度要求很高,最好的办法是将专业的事交给专业的人,重保期间将服务进行托管可以获全天候更安全的保护。
重保期间通过前期自检加固,调整优化安全设备策略,使用新技术搭配威胁情报应对攻击威胁,启用重保服务由安全人员7*24小时监测响应,可以安心放假重保无忧。
安恒信息重保无忧服务
安恒信息凭借SaaS化安全能力和分布式的技术架构,结合安全服务专家跟踪7*24小时,推出了「安恒信息重保无忧服务」,帮助用户在重保前进行风险自查,收敛不必要的互联网资产暴露面,同时对网站进行全方位的安全监测,发现漏洞、暗链、挂马等安全事件,防患于未然;重保中提供全面防护,从网络层、应用层、数据层、主机层等多个层面进行安全防护,配置一键关停、一键封堵、永久在线、虚拟补丁等重保利器,保障重保期间“0”安全事故。重保后及时复盘分析,提供分析报告和整改建议,结合7*24小时安全专家不间断的值守,为用户提供保姆式的安全服务,保障用户平稳度过各种重要保障时期。
15年,百余场国家级安保活动,0安全事故——这是安恒信息递交的成绩单。安恒信息拥有丰富的重要时期保障实战经验,相继为2008年北京奥运会、新中国成立60周年、上海世博会、广州亚运会、历届世界互联网大会、抗战胜利70周年、G20杭州峰会、厦门金砖峰会、“一带一路”高峰论坛、新中国成立70周年、第七届世界军人运动会等国家级重大活动提供了安全保障服务,15年零事故。
重保服务选安恒信息就对了。
扫码咨询重保服务
电话联系:400 6059 110
2022-09-27
2022-09-26
2022-09-23
原文始发于微信公众号(安恒信息):重保究竟要注意啥?技术视角破解黑客攻击全过程
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论