在信息安全威胁不断升级的背景下,企业对“实战化”安全防御的需求变得越来越迫切,《网络安全法》和《网络安全等级保护条例》对企业提出了严格的“实战化”要求。
结合如今的安全态势来看,这样的要求是合理的,也是必要的。因此,安全验证(cybersecurity validation)应运而生,作为技术、流程和工具的融合,验证潜在攻击者将采取何种技战术和攻击手法,以及安全防御体系和流程的实际应对情况。
通过对市场的大量调研,我们发现部分企业虽然也在做安全验证,但得到的效果却仍然不理想,以至于让安全验证沦为了中看不中用的“花架子”。
实际上,不是安全验证不中用,而是打开的方式不对。无效的安全验证,等于没有安全验证,快来看看你中了几个?
▍01 隔靴搔痒:使用低质量的攻击样本
就像高考前最好做真题一样,进行安全验证也最好采用真题模考(真实的攻击样本)。看到这里您可能会认为,攻击样本只要能够满足安全验证的需求就好——问题恰恰就在这里,低质量的攻击样本并不能进行真正的安全验证:
-
首先,大量低质量样本中的钓鱼攻击通常只是使用自己创造的带有恶意附件这一动作,缺乏黑客使用的真实的恶意URL或欺诈正文,因此不能体现出真实情景下邮件防护产品对钓鱼攻击的反应。
-
其次,这些样本会进行大量域名解析,但缺乏真实回连过程,无法测试DNS安全防御的实际效果。实际攻击中的回连最大的特点就是随机且多次,而通常这些样本的回连都只是单次模拟,大概率不会触发安全产品的告警。
-
再次,许多低质量攻击样本中的文件落地只是形式上的操作,缺乏真实恶意文件执行,导致防御效果评估失真。特别是那些根据行为进行威胁检测的安全产品基本没反应,真正的黑客使用的样本都会做免杀,但绕过安全产品的样本的真正后续行为会被黑客保留。无法验证到防御体系是否能抵御那些破坏性、不可恢复性的攻击行为。
-
最后,低质量攻击样本,尤其是自制样本(演示程序),其验证出来的结果,本质上不具备足够的参考价值,即便是按照这一结果进行了相应的缓解与补救,仍然不能保证优化后的防御体系就能抵御真实的攻击行为。
![无效的安全验证操作,你中了几个?]( "无效的安全验证操作,你中了几个?")
综上,使用低质量攻击样本进行安全验证的做法,并不能准确反映企业的实际防御能力,企业更无从发现和修补真实存在的安全弱点。
为了准确评估企业的防御能力,安全验证必须使用高质量、真实的攻击样本。塞讯安全验证平台收集了大量真实威胁组织的攻击手法,并将其转化为可用于安全验证的验证动作库。通过这些真实的攻击样本,企业可以全面评估其防御能力,揭示出防御体系中的潜在弱点,并及时进行修补。
▍02 纸上谈兵:避讳真实攻击执行,担心对生产环境的影响
上文中,我们谈到了采用真实的攻击样本,一些企业可能担心执行真实样本的攻击会造成大量负荷,甚至损害企业本身的安全布防,所以不愿执行真实样本的攻击,只是退而求次进行非真实性的样本攻击。这种谨慎是必须的,但不真实的模拟实际上在结果上是有极大的疏漏,会导致:
-
安全策略盲区:无法识别和修补安全策略中的实际弱点。
-
应急响应演练不足:员工缺乏对真实攻击事件应急全流程的感知和理解,难以了解到响应、抑制、报告、恢复这四个过程的推进形式。
考虑到这类困扰的存在,塞讯验证开发出了受保护的沙盘这样的隔离环境,保证真实攻击样本的执行不会影响实际生产环境。受保护的沙盘环境具有严格的网络隔离、硬盘隔离以及回滚机制,确保所有样本文件的危害性控制在沙盘内部。
当然,真实样本的真实执行还依赖于安全实验室研究人员对样本的深入研究,这样才能知晓它在什么依赖环境下需要什么样的执行参数才能运行。
塞讯验证独有的剧本演绎可以直接反映黑客在真实场景下的攻击全流程,一比一全真复刻,通过自动化的攻击路径分析和模拟,发现系统的脆弱点,安全产品当前的不足,提高团队的应急响应能力和事件溯源能力。
与此同时,由于没有漏洞靶机,企业不必担心攻击会对系统产生任何实际损害。通过真实攻击的验证,企业完全可以发现和修复实际存在的安全弱点,提升整体防御水平。
▍03 刻舟求剑:依赖于固定样本,反被黑客轻易套路
黑客的本质不是复读机,但也不是无情的0-DAY生产机器。站在攻击者视角,成功的套路是可以重复利用的,已披露的恶意文件被拦截,他们稍作调整就可以绕过这些拦截。一些低质量攻击样本尽管也收集了部分真实恶意文件进行落地,但只关注样本本身和落地而不关注后续行为反而会导致更大的问题:
-
“以为防住了”:企业的安全防御产品可能对于已披露的恶意文件采取了自动化的静态防御措施,但攻击者只需要修改文件就可以绕过这些措施。仅通过文件落地来评估防御有效性是极其不准确的,实际上可能既防不住攻击,还给出了错误的安全信号。
-
“以为找到问题了”:即便验证出未能阻断该文件落地,也只能针对这一文件进行拦截,重复验证时还是会陷入“以为防住了”的虚假安全感。
塞讯安全研究团队深入追踪各类APT组织,研究分析他们的技战术,就是为了能还原其真实的攻击套路。我们认为,赋能安全防御体系,也需要授之以“渔”。
塞讯安全实验室定期更新攻击库,为企业安全验证提供充足的弹药,保持对最新攻击技术的防范能力,考虑各种变种攻击和绕过技术,全面评估防御体系的有效性,确保企业防御措施能够应对不断演变的威胁。
▍04 舍本逐末:过于关注单点安全产品,忽视整体防御体系
安全防御体系是一个整体,黑客攻击的攻击链是相当长的,都不是单点。因此安全验证不会只聚焦某个环节的好坏,而是关注整个体系的表现,验证单点安全产品可以是一个阶段或环节,但不是安全验证的终点。
过于关注某些单点安全产品的能力,验证这些产品是否能防御高级复杂的攻击手段,看起来面面俱到,实际上忽视了攻击本身是一个有阶段、过程和上下文关联的系统行为,这就会导致以下问题:
-
单点验证局限:过于关注单个安全产品的有效性,而忽视了整体防御体系的协调和有效性。
-
不关注潜伏阶段的攻击手法:要么未思考黑客为什么能在目标环境中长期潜伏而不被发现,要么认为潜伏阶段的攻击手法没有特别大的危害性不用关注。
-
缺乏系统性防御:忽视了各类安全产品和策略的配合,无法全面评估企业的整体防御能力。
![无效的安全验证操作,你中了几个?]( "无效的安全验证操作,你中了几个?")
实际上,攻击通常是一个复杂的过程,需要多个防御层次和策略的协调。SIEM和SOC的统筹管理和运营,可以确保整体防御体系的协调和有效性。结合塞讯验证的第一手受害者威胁情报,就可以在持续验证中展现具有上下文关联的全攻击链模拟来助力防守方创建更多有效的关联分析规则,可大大提高对潜伏阶段的黑客行为的检测与响应速度,综合防御评估应覆盖网络、主机、邮件、云和业务多个层面,实施纵深防御策略,提高整体防御深度和效果。
▍有效安全验证操作,尽在塞讯安全验证平台
综上所述,不是安全验证中看不中用,而是无效的操作没有使安全验证发挥出它真实的价值,反而导致资源浪费。塞讯验证构建了强大的安全验证平台,助力企业安全建设持续发展。塞讯验证也为企业总结了有效安全验证的关键要点。
-
高质量的真实样本执行:使用高质量、真实的攻击样本进行模拟,并通过技术手段避免仅验证静态防护手段,以准确评估企业的防御能力。通过塞讯安全验证平台的验证动作库,企业可以利用收集自真实威胁组织的攻击手法进行验证,全面揭示防御体系中的潜在弱点。
-
无害化的攻击执行:在执行真实攻击样本时,利用受保护的沙盘这样的隔离环境,确保在不影响客户环境和资产的情况下进行安全验证。受保护的沙盘环境具有严格的网络隔离、硬盘隔离以及回滚机制,确保所有样本文件的危害性控制在沙盘内部,同时保护企业的生产环境和业务连续性。
-
多阶段攻击验证:验证应涵盖整个攻击链的各个阶段,通过多阶段攻击模拟,评估企业在各个防御环节的表现,使用安全验证技术,自动化执行和分析多阶段攻击,发现潜在安全弱点。
-
攻击者视角:从攻击者的视角出发,识别和重点关注能够实现攻击目的的关键动作。通过攻击路径分析工具,发现潜在的安全弱点,增强防御策略。
-
综合防御评估:从整体视角评估和提升安全防御能力,而不仅仅是单点的能力。使用安全评估框架全面评估企业的安全态势,确保各个防御层次之间的协调和配合。
-
定期更新攻击库:在攻击库的选择上,在保证质量的同时要有持续更新的能力。通过不断更新和优化攻击库,确保其涵盖最新的攻击技术和策略,并能够反映威胁组织相关最新的以及受害者相关最新的威胁情报。
原文始发于微信公众号(塞讯安全验证):无效的安全验证操作,你中了几个?
评论