以攻促防:
实战攻防演练推动攻防进步
新挑战:
传统防护理念的短板日益凸显
新认知:
以黑客思维看待防护目标
通常来说,普通攻击者大多依靠利用公开漏洞较多,高明的攻击者反之,往往囤积“干货”一招致胜。对防守方来说,漏洞不分贵贱,应急修复已是轻车熟路。
对抗经验丰富的黑客在面对目标对象时,理解的攻击链应是一套“组合拳”。提前拟定几套进攻方案,并不限于漏洞数量,更在于黑客对目标了解的深度。攻击者站在“实战”多方视角,决定了其思维的“发散性”。一套综合性的作战方案包括网络架构、业务模式、业务逻辑、人员构成、服务对象、合作厂商等等。“懂攻”的人明白,任何一个方案领域的突破,其能量已经超出纯漏洞的价值,因它是更具复杂性并可执行性的网络作战计划:外围突破规划、快速潜伏手段、渗透路径纵横交织、时间线混杂、数据随机加密,甚至包括实施过程中决定要采用的手段,如安防设备如何绕过、0day武器何时使用、后门关键部位驻守、内外网渗透工具定制研发、操控数据隐藏在可信协议……
新方法1 单场景化基线通讯
同一套业务系统或同一台资产,按照时间以天为单位,设立一种可信形态,包括访问方式、交换频率、路径差异、时间分布等,最终确定符合某具体业务资产的可信场景。此场景的数据形态暂定为数据标准,以时间贯穿数据分布,形成一种数据“基线”。
在绘制“基线”前,需要长时间采集归纳数据,可能涉及长达一周的对比“学习”。每一天24小时内,互联网访问某业务系统路径去重化的数量,为路径差异数据,如睿眼攻击溯源系统中所示2天的数据分布对比:
一个攻击链路产生的流量,往往和正常交互的流量有所区别。如果一套业务系统主体功能业务流量的行为平时有迹可循,当回溯某攻击者时,对一段时间的数据进行自动对比后,会发现某天的数据差别特别突出。如下图所示,通过睿眼攻击溯源系统将这2天的数据与红色“基线”对比,绿色线条的差异显而易见:
对比红色基线发现流量异常
新方法2 基于不可信任链路的对比
对于内网区域的可信连接,首先要建立符合企业内部网络不同区域间,甚至单资产间的可信访问互通关系,包括来源、协议、端口、访问方式、访问时间等,树立“网络访问关系标准”。
如下图所示,生产区的可信资产被外部互联网通过VPN协议被动连接,同时此资产主动连入办公网区,这就触发了“网络访问关系标准”,睿眼攻击溯源系统以红色标识进行告警:
内网渗透之非法访问
新方法3 基于可信/不可信文件的对比
虽然WEB层攻击的加密方式会越来越多,但是在流量中,攻击者访问特殊WEB文件的方法肯定与正常业务不同,如未知的文件(后门)增加与消亡,将代码嵌入到已有文件来隐藏后门,端口复用技术等等。
所以,针对HTTP协议,需要对每种文件建立“行为数据标准”,通过长时间采集与对比,建立一种可信的文件数据流标准模型。
如下图左侧图1所示,在前期对当前网站正规文件结构体和双向数据流做数据标准处理,以备随时与后期流量进行对比;如下图中间图2所示,某时间段与图1对比后,发现新增未知可疑文件(红色标识),需要进一步排查文件的可疑性;如下图右侧图3所示,某时间段与图1对比后,发现已知文件(蓝色标识)双向数据与标准数据流反差巨大,则需核实此文件是否被植入特殊代码。
图1数据标准 图2 新增文件 图3数据流差异
总结:
转变思维才能事半功倍
本文始发于微信公众号(中睿天下):从实战演练看攻防对抗思维的转变
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论