企业各类业务“触网”越来越多,特别是近几年,远程办公的大面积铺开,很多企业将原本仅内网使用的业务直接暴露在了互联网中,给网络安全防护方面带来了更多压力。
一些没能及时下线的临时业务、一眼难辨真假的仿冒服务,都成为钓鱼攻击的“跳板”,让企业的安全防护体系捉襟见肘。
如何高效梳理这些攻击面,以便平时聚焦关键威胁,重保期间滴水不漏,做到张弛有度?结合多年企业安全实战经验,腾讯安全梳理了三大锦囊,帮助企业从资产暴露面盘点、社工入侵面检测、攻击方情报筹备三个维度对企业的安全防护现状做深度体检,帮助企业掌握自身平台安全资产的状况,做到心中有“数”。
1.1 确定资产暴露范围
首先,基于自身台账数据,企业安全运营人员可确定核心纳管资产。其次,结合自身业务系统和基础设施情况,识别实际的IP、域名等主要暴露面。同时,基于对外的业务情况,排查自身在小程序、公众号、移动APP方面的真实资产范围,为重保前的风险排查、重保中的风险缓解建立边界和基准。
![大型攻防演练,如何做到心中有数?]( "大型攻防演练,如何做到心中有“数”?")
真实案例:
A企业有完整的基于台账的资产风险监测流程,但威胁事件仍然层出不穷。经过排查发现,出现威胁的资产往往是一些纳管外的遗漏资产,通过风险事件去补全台账的缺失让安全运营、IT运维团队疲于应付,而应用攻击面管理后,则比较好地能确定暴露面的范围。
1.2 梳理关联影子资产
如果长期未做过暴露面管理,那么首次盘点往往会发现大量有关联的“无主”资产,这些资产可能是促销活动中授权外包服务搭建的临时服务,也可能是业务扩张期下属单位未报备的未纳管资产,由于监测流程机制的不完善,游离在实际防护系统之外。在发现后,企业安全运营人员应及时对在用的业务系统进行备案和整顿,对已失效的服务进行及时的关停和注销,避免其成为攻击者的攻击入口。
B企业经历了业务扩张高速发展的3年,为了支撑业务的灵活需要,之前资产管理方面没有严格的管控制度。今年企业将网络安全部门从IT部独立出来,团队负责人发现有大量临时性资产并未及时下线,除了给公司的成本造成压力,还使得部分仿冒资产和真实业务无法区分。使用攻击面后,能比较好地确定暴露面的范围。
1.3 识别暴露的敏感组件和服务
在日常安全运营中,为了方便远程办公者以及合作伙伴对接实际业务,部分企业会将一些非核心服务暴露在互联网中。经过常规性加固和安全设施支撑,这些非核心业务具备一定的安全防护能力,但这些防护手段只是提升了攻击者的技术门槛,如果在重保期间仍然依赖常规防护,很容易成为防护的盲区,变成高阶攻击者的入侵面。
基础的备战手段就是针对性地收集并识别出这些高危端口(非常规端口),敏感服务(如后台系统、数据库服务)和组件,在必要时可采取临时下线的手段来缓解攻击者的攻击节奏。对于不便于下线的点位,也可以建立基线并针对性地提供防护手段,以便在重保中及时发现新增的可疑风险。
C企业在攻防演练中,失分严重,后来发现是因为敏感服务暴露外网导致被红队拿下后实现进一步入侵。但是由于资产范围不明,以及之前管理制度不够严格,有大量的敏感服务无法感知,对运维工作带来了巨大压力。通过攻击面管理的识别,有效地发现并处置了大量的敏感服务。
1.4 排查和修复重点漏洞
重保中的攻击行为多数是定向攻击,为了保证效率,攻击者常常根据以往成功经验,将容易利用的漏洞EXP进行自动化。如果要抵抗这种攻击,企业需要具备历史重点漏洞的免疫力。同时,如果在重保期间能及时对新增在野漏洞的监测能力,也可以有效收敛自身脆弱性方面的风险。所以,建立漏洞知识库和更新能力,是重保期间安全防护中的另一个重点。
D企业第一次参加攻防演练,在流量中能看到大量的漏扫试探,很担心被红队自动化漏洞利用工具得分,但又不了解之前这个场景的常见利用漏洞有哪些,想临时抱佛脚。后来通过攻击面管理的漏洞知识库弥补了盲区。
1.5 其他脆弱性的梳理和预防
在高阶攻击者的弹药库里,一定会有基于业务属性建立的弱密码字典,因为这是针对疏于防护的暴露资产比较有效的入侵手段之一。站在企业安全运营人员的立场,基于暴露面资产业务梳理的进阶手段,就是对其进行弱密码处理,避免一些常规弱密码、默认密码造成的攻方“暗度陈仓”。除了弱密码,一些权限配置不当、缓冲区错误、命令执行信息泄露,也会是攻击者重点“垂青”的脆弱点。
传统的攻击面防护主要聚焦的是资产视野,但基于历史重保经验,最终利用成功的突破口大部分是人。区别于资产防护手段的针对性,社工攻击方式往往千变万化,但这也并不意味着作为安全运营人员的“无险可守”,因为攻击者的目标很明确——获取更高权限的信息。
2.1 定向钓鱼防护
在日常安全运营中,一些黑灰产或网络攻击发动者,会搭建一些仿冒的服务诱骗目标群体,如常见的社交登录仿造页面、付款仿造页面等,这些仿冒欺诈行为目的往往是金钱和个人隐私信息的获取。但在重保中,攻击者会针对目标方的日常业务流程进行切入和仿冒,如搭建相似度极高的OA办公系统,轻者获取内部员工的联系方式,重者直接获取内部人员的系统操作权限,带来直接的安全风险。
企业安全人员需要谨慎排查影子资产中是否存在仿冒服务,这些服务包括宣传网站、业务系统、公众号、小程序等多种业务形态,在发现的第一时间,联系管理员或服务运营商进行下线处理。同时,对于钓鱼邮件等点对点诱骗形式也要针对性地做排查,如邮件中的外链地址、二维码等。
E企业安全建设相对完善,但是盘点历史威胁事件发现,多次攻击者入侵方式都是通过钓鱼的方式实现的。由于内部员工使用互联网业务也比较多,很难通过技术手段进行限制,培训效果也有限,只是想针对性的防护,于是采用了攻击面管理中的DRPS模块获取了自身企业相关的钓鱼URL、APP、公众号进行内部查验。
2.2 信息泄露监测
除了重保前针对性的信息获取,攻击者也会在筹备期内在全网范围内进行信息泄露源爬取,爬取范围包括网盘、文库、公开代码平台、BBS论坛、通讯社交平台等,目标不仅包括公开的互联网服务,还包括暗网、深网中的一些社区和售卖平台。
因为不规范管理或者外包服务商的意外传播,源代码不仅是攻击者快速搭建钓鱼平台的生产资料,也可以作为研究对象,发现现有业务系统中的后门或者其他脆弱性。
具体包括联系方式、员工隐私信息等。这些信息能帮助攻击者针对目标人员进行线下接触,采取一些非技术手段获取更多重要信息。
内部重要系统的账号和密钥自然是重中之重,但其他非核心系统的登录凭证其实也是攻击者的关注目标,因为这些素材可以用来关联推测,甚至直接作为撞库手段,获取目标系统的登录权限。
某电商平台F被监管机构通报,发现有内部账号泄露售卖的情况,且市面上已出现传播消息,但F企业并未自查发现,造成了品牌声誉损失,并可能造成进一步被黑客利用的可能。安全主管采购了攻击面管理的DRPS模块,发现并定位了信息泄露情况,并针对性地做了相应处理。
2.3 安全意识培训
人员培训与安全流程优化虽然是老生常谈,但根据过往经验来看,重保前补充进行培训的实际效果往往超出预期的好。在这里笔者整理了典型且易于实践的培训和流程优化要点以供参考:
● 终端侧增强外置设备接入时的检测强度,提醒员工避免使用来自不明U盘;
● 设置严格的钓鱼邮件检测策略,并在员工点击邮件外链时进行提醒和管控;
● 梳理已部署安全产品、ACL访问权限,对不必要的使用进行权限收回,缩短凭证更新的周期;
● 对数据网络、边界网络数据传输开启更严格的安全策略。
知己知彼,百战不殆。除了前面提到的重点漏洞知识库的储备,重保期间也需要针对攻击者的情报建立获取和应用机制。所以在重保前,企业安全运营人员应筹备应对计划并调研配套的威胁情报资源。
3.1 加入情报社区并获取查询权限
权威的情报源往往具备成熟的攻防对抗能力,以及多年的互联网业务守护经验,所以其提供的情报数据往往有以下几个特征:
● 安全情报积累多:覆盖全网的域名、IP,样本积累应该数以百亿计,这样才能为攻击事件提供足够的覆盖能力;
● 守护业务场景广:受限于国内安全建设的严格要求,大部分重点资产单位的业务都与互联网有所隔离,传统安全防护所取得的成功经验也很难运营。公有云级别的业务守护实践,或丰富的互联网业务防御能力,是安全情报运营的底蕴和实践基础。单纯自建的情报源,很难覆盖足够多的攻击工具特征,对漏洞利用的难度认知也会有限,情报生产的质量、效果也就无法保障。
● 包含专项情报数据:区别于日常安全事件中攻击目的往往在经济利益、个人隐私,且攻击目标针对性不高,重保场景下很多常规的情报数据无法发挥其实际效用。所以专项情报的运营流程就成为了必要手段;
对于安全运营团队,可以重点甄别具备情报查询能力,以及具备重保专项情报服务的安全厂商。
3.2 及时更新重保期间的专项威胁情报
除了公开的情报查询服务,安全运营人员还需要在重保前及时排查自身安全体系的机读情报更新机制是否正常,了解更新范围是否包含重保情报。
如果不具备重保情报的更新,安全运营团队仍然可以通过以下两种方式进行临时性弥补:
● 重保漏洞验证方式的人工获取:每日关注最新的热点利用漏洞,将对应的POC代码及时更新至自有漏扫设备,提高巡检频次;
● 高可疑攻击方的IP收集:每日将可靠来源获取的高可疑攻击方IP清单导入至边界防护设备做阶梯性阻断,导入至流量检测设备做实时的攻击事件告警,导入至SOC、SIEM平台做历史可疑线索的回溯。
当然,这其中的难点在于如何获取。这一点上防守方安全团队可以放心,权威的威胁情报厂商往往会配套对应的情报服务,并实时内置入自身安全产品服务中使其具备对应的检测能力。
重保体检神器——腾讯安全攻击面管理TIX-ASM服务限时免费试用,一图帮您了解更多,图末扫码体验吧:
![大型攻防演练,如何做到心中有数?]( "大型攻防演练,如何做到心中有“数”?")
原文始发于微信公众号(腾讯安全):大型攻防演练,如何做到心中有“数”?
评论