由安在新媒体联合中国网络安全审查技术与认证中心(CCRC)共同举办的第四届“超级CSO研修班”,于2024年1月20日圆满结营。在导师引领和课程启发下,学员们共交付15篇极具代表性的毕业论文,是各自相关领域网络安全建设、实践与思考的精华之作。
本着分享交流之精神,我们特别精选几篇,以连载的方式呈现公众。希望借“CSO说安全”,让更多CSO们关注、支持并参与到CSO文化的沉淀积累和广泛传播中来。
鞠叶
东吴证券
信息安全工程师
近年来,随着国内国际网络安全事件频发,对政府、金融、教育等多个行业造成了大量的经济损失和不利社会影响。这也促使我们的安全工作由过去的安全等保合规建设转向安全真实攻防能力建设。因此,如何建议一个有效的安全防御体系来应对现有的网络攻击,成为亟待解决的问题。
企业在经过网络安全合规建设后,已初步完成各类安全防护设备部署,但是经常发现各类安全防护设备产生的告警信息难以被有效利用,分散的告警数据对安全运营人员的工作带来了极大挑战。因此需要建立一套有效的网络安全纵深防御体系,将零散的告警信息进行整合关联,实现对安全风险的实时监测与精准预警。
网络攻击链模型最早是由美国著名军工企业洛克希德马丁公司提出的,也是美国国家标准与技术研究院NIST采用的官方模型,该模型完整概括了网络攻击的七个阶段:侦察、武器化、投放、利用、安装、控制、攻击。
(1)侦察:攻击者对计划攻击的目标进行信息收集。手段包括不限于网络空间资产探测、敏感信息分析、漏洞扫描、社工攻击等,为下一步行动提供技术储备。
(2)武器化:攻击者使用侦察阶段收集与分析的信息,尝试利用漏洞绕过目标网络防护,通常将木马后门等恶意文件与漏洞绑定为可投放的网络攻击武器。
(3)投放:攻击者将恶意文件投放到目标的内网环境,以进行后续破坏行动。
(4)利用:在此阶段,已经被“武器化”的恶意文件已经被放置到目标服务器,攻击者触发服务器上的恶意文件以获取敏感数据,如密码、证书、令牌等;或者直接尝试对服务器进行破坏操作,如勒索软件、蠕虫感染等。
(5)安装:一般情况下,攻击者入侵成功后不会立刻进行破坏行为,而是会隐匿自己的动作,安装后门并尝试持久性维持,从而谋取更多利益。
(6)控制:攻击者完全获得受控服务器权限,这一阶段,攻击者获得服务器最高权限并可以此为跳板对目标内网其他服务器进行攻击。
(7)攻击:攻击者可以肆无忌惮对内部网络进行攻击,而达到这一阶段除了外部攻击外,更多是内部威胁,因此该阶段涵盖了一整条内部攻击链。
对网络攻击的防御必然需要对网络攻击的过程进行分析与研究,识别攻击当前的状态以及推断后续可能进行的动作,从而更好地响应网络攻击,保障企业的网络安全。
攻击者从侦察阶段到最终攻击成功需要经历一个漫长的过程,通常需要多次尝试。因此,攻击者为了达到攻击目的,通常会尝试多条攻击链或在攻击链某一步骤使用多种不同攻击手法,且攻击者攻击时间越长,攻击成功的概率越高。
为了应对复杂的攻击,企业应当在攻击链的各个阶段采取防御措施,即建立基于攻击链的分层网络安全防御体系。
3.1 分层网络安全防御体系架构
攻击者在攻击时会经历不同的攻击阶段,因此,企业需要在攻击的不同阶段设置防御手段阻断攻击链,使得攻击者难以攻破内部的核心资源。
安全防御体系建立的最终目的是增加攻击者的攻击成本,无论是攻击者尝试的攻击手法还是攻击者花费的时间,因此分层安全体系应当满足以下要求:
(1)攻击者攻击的每个阶段均可通过安全防护设备进行阻断或攻击行为捕获;
(2)攻击者对核心资产的攻击必须从最外层执行攻击链;
(3)攻击者在进行每一阶段的攻击成本必须尽可能高,且单次攻击尝试的成功率必须尽可能低,迫使攻击者收集更多信息、利用更多攻击手法绕过不同防御层。
基于此,企业在边界、网络、端点处分别部署威胁防护与威胁感知设备,并通过安全运营中心集中管理。
边界:边界侧通常部署NGFW、WAF实现应用程序的防护以及对恶意威胁的检测与阻止。
网络:网络侧通常部署NDR等流量分析设备实现攻击行为识别与告警,同时可以在网络中部署蜜罐蜜网实现攻击行为捕获与延缓。
端点:端点侧通常部署HIDS、桌面防病毒等主机防护设备实现恶意软件查杀与恶意控制行为告警。
该防御体系综合了现有的多种防御手段,在攻击成功执行前防御与侦测,攻击成功后阻断与响应,实现应对攻击的全链条防护。
3.2 告警数据收集与处理
数据驱动安全,数据的质量决定了整个安全体系防御能力的天花板,只有高质量的数据才能支撑整体安全防御体系。
回溯一次完整的攻击链,涉及身份认证、应用访问授权、终端操作行为、网络流量特征、恶意代码发现、风险告警、应用安全审计等多个环节,所有的环节都有可能存在区别于正常操作的非法攻击特征。因此数据收集选取的数据源应当覆盖整个网络攻击链的每个环节,采集的数据类型应当包括流量、审计、监测、日志、病毒、情报、资产等。
数据处理包括三个过程,即数据清洗、数据合并以及数据补齐。
(1)数据清洗:将不同途径、不同来源、不同格式的安全数据进行格式转换、数据去重、格式清洗等操作,去除脏数据;
(2)数据合并:按照数据的来源、类别、属性、时间等进行合并,对海量异构原始数据进行统一格式化处理,解决不同性质的数据问题;
(3)数据补齐:将异常、报警、威胁、五元组等关键信息进行补全,形成精准的基础安全数据,强化数据可读性。
3.3 基于攻击链实现安全事件分析
攻击事件的成功往往是由长周期、多类别的攻击行为组合形成,因此,完整的安全分析需要具备安全攻击链的能力。
攻击链各个阶段的攻击行为通常由不同的安全设备捕获,因此我们需要将统一收集的告警进行攻击阶段划分,分析随时间演变各攻击活动间的相关性。分析的主要目的是确定入侵者的攻击模式和行为,他们的策略、技术和过程,以检测他们如何操作,而不是具体地分析他们做了什么。
以“APT-C-40”攻击场景为例,该攻击场景为典型的APT攻击,该攻击行为严重危害我国关键基础设施安全,海量个人数据安全以及商业和技术秘密。结合攻击链分析,本次网络攻击过程大致如下:
(1)侦察:攻击者使用旁路型中间人攻击,注入HTTP重定向包,使得受害者访问攻击者构建的服务器,该手法属于典型的社工攻击手法。
(2)武器化、投放:攻击者通过主流浏览器0day漏洞向受害者植入后门,验证器后门通过DLL劫持被合法的explorer.exe等合法程序加载启动。
(3)利用、安装、控制:验证器后门获取受害者的各种系统信息,下载更多的NSA组织专属后门程序,从而使得攻击者获取摄像头、麦克风等实时数据,监控受害者的上网流量。
(4)攻击:攻击者将收集的数据经过编码传向C2服务器。
该攻击事件攻击过程分为七步,攻击链较为复杂,但每个过程都会在终端日志或流量中留下痕迹。因此我们通过收集各类安全设备中流量神经元、终端神经元产生的打点数据进行关联分析,实现安全事件告警,辅助安全运营人员进行事件处置。
3.4 基于攻击链指导的主动防御
安全攻击链的建立有助于企业发现重复的攻击手段,如果阻断攻击链的速度快于攻击者攻击手法的变化速度,那么就会增加攻击者为实现目标而必须花费的成本,从而达到安全防御的目的。
通过对攻击链各阶段的完整分析,可以在这些阶段采取行动以阻断后续的入侵行为。通过相关数据,防御者可以将对攻击链的检测提前到更早阶段。
同时,入侵行为具有不同程度的相关性,在不同阶段可能出现相同的攻击特征。因此通过攻击链分析攻击间的相关性,如果攻击者的攻击手段有一定的惯性或模式,则可能被提前预测到,实现针对未知威胁的防御。
在企业网络安全防御体系建设过程中,如何建立一个有效应对攻击的防御体系是至关重要的。本文介绍了基于攻击链的安全防御体系建设实践,即如何基于攻击链进行安全事件分析与攻击防御,保障业务安全稳定运行。
未来,随着新兴技术的不断发展,企业网络安全防御体系正朝着智能化、自动化和精细化的方向演进。在此背景下,利用大数据、人工智能等技术构建安全防御体系将成为企业应对网络安全威胁的重要手段。
希望我们本次分享的实践和探索能为行业同仁在安全防御体系建设过程中提供一些思路,起到抛砖引玉的作用。
“第五届超级CSO研修班”现已正式启动报名。计划于2024年9月开营,次年1月结营;北京、上海、深圳三地,12天集中授课;结业由CCRC和安在新媒体分别颁发证书。
(点击图片即刻了解详情)
某快递企业安全专家:“对我来说收获其实蛮大的,因为研修班的课程非常丰富,老师们不仅专业还很负责,课堂气氛也非常融洽,所以这是一个非常好的平台。希望以研修班为基础,后续包括CSO俱乐部在内等社群都可以持续运营,做更丰富、可落地的事情。”
某运营商安全专家:“感谢超级CSO研修班这样一个平台,给我提供了一个完整的体系和系统的思路,以及安全的内涵和外延伸展,这属实是一个非常好的机会。同时这个平台也给大家提供了一个相互交流、共同进步的途径,让我们有更多的成长。”
学费为5.8万元/人,含教学材料、用品礼包、学习期间用餐、证书、评优奖励等,但不含往来交通费和住宿费。接受个人支付、企业代缴或定向赞助等多种灵活付费方式。
即日报名可享“早鸟票”,最低只需3万元/人,限额5名。
报名请联系:
徐青青(xuqingqing823125689)
同时欢迎来自各界的赞助合作,合作方式包括品牌赞助、参学赞助、酒会赞助、活动赞助等多种形式,名额有限,有意请速洽:徐倩(Madeline_Sue)
第四届超级CSO研修班全貌
过程回顾
导师授课
学员论文
第三届超级CSO研修班全貌
过程回顾
导师授课
学员论文
第二届超级CSO研修班全貌
过程回顾
导师授课
吕一平 黄承 杜跃进 李吉慧 杨哲
学员论文
首届超级CSO研修班全貌
过程回顾
导师授课
学员论文
超级CSO研修班 | 第四届答辩结营&新一届即日报名
原文始发于微信公众号(安在):CSO说安全 | 鞠叶:基于攻击链的网络安全防御体系建设实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论