重保专题 | 论重保期间如何“守城作战、防守反击”?
2022-9-30 17:48:18 Author: www.4hou.com(查看原文) 阅读量:16 收藏

在以往的重保经历中,你是否曾怀疑过自己,高危端口、服务、IP都关了,防火墙都在公司网络门口“排排坐”了,流量、态势都覆盖了,24H值守也安排上了,就差拔网线了,却总是有漏网之鱼能够溜进来?

上篇(点此查看)提到针对互联网资产的重保服务方案应立足于“事前”、“事中”、“事后”三个维度,本篇主要在“事中”维度阐述全生命周期互联网业务安全治理。

图1

面对政府单位、国企、重点高校在重保期间对互联网资产的安全防护难点与需求,安全狗的重保服务方案可通过在重保前、重保中、重保后等阶段有针对性地解决问题,让用户单位免受黑产组织安全威胁与侵扰!

在重保中期,各单位部门需要做的是围绕保障团队、工作流程、攻防博弈等主要内容进行“守城作战”。

一、整军经武——保障团队

重保期间,为了高效、科学对网络安全事件发现、处理,在成立信息安全处理小组,其主要成员包含:公司相关领导、信息安全部、业务运维部、信息中心和安全厂商的技术人员共同组成。

小组由公司分管领导牵头,技术专家辅助,负责领导、组织、协调重保期间安全方面工作。组织架构如下图所示:

图2

详细如下:

组织机构职责

二、步步为营——工作流程

技术保障团队按照预定方案,科学分配人员力量,严密组织环节衔接,做到一般事件第一时间处置上报,重大事件通过手动拦截、专家研判、现场调研、溯源处置、总结上报等方式,有效做到“先切断隔离、再研究判断、后处置完全、终消除影响”的目的。

图3

1.预警监控组日常监控(或技术分析组日志分析)发现入侵行为、对该事件做初步的判断分析存在被入侵的可能,提交技术分析组;
2.技术分析组接到预警监控组可疑事情通知(或日志分析发现)开始对该事情进行分析研判,判断该事件的等级:1)一般事件则由预警监测组调整相关策略;2)普通事件则将事件分析结果提交应急处置组;3)重大事件则将事件分析结果提交应急处置组及专家技术组进行协同分析;
3.专家技术组协同应急处置组对重大事件进行协同分析,分析事件的影响及后续处置建议;
4.应急处理组根据事件分析结果提出相关处置措施及整改建议,并交由预警监控组进行事件处理;
05同时技术分析组对事件进行溯源取证并提交联络保障组,由联络保障组进行事件上报。
三、行兵列阵——攻防博弈
情报侦察
攻击面持续监测

攻击队重保前进行扫描踩点时,由于大量的敏感数据和暴露端口已经进行清除或加固,绝大多数极易被利用的攻击面无法被攻击队利用,从而大大降低被攻破的几率。因此,可以根据企业现有网络资产,利用威胁情报平台关联企业互联网资产开放的服务端口,并利用市场上外部威胁情报监控平台对企业相关的敏感信息进行识别。发现开放在互联网上且非必要的服务端口、管理后台,及时进行关闭,对无法关闭的端口和管理后台进行秘密加固和重点监控,红队如果利用尚未关闭的端口或管理后台或泄露邮箱进行攻击,企业可以对早已进行重点监控的脆弱点进行监控,及时出发告警,进行封禁和溯源。

情报侦察
IP精准封禁、溯源

利用情报共享交换群组或者第三方威胁情报厂商快速获取重保演练IP,并导入自动化研判验证工具。情报研判工具关联情报上下文信息,去除带有CDN、移动基站、网关等IP,并结合IP关联签名信息,对IP进行真实可信加权计算,进而联动防火墙进行封禁,避免大量误拦或者拦截策略条目过多,导致防火墙过载。针对研判筛选出的IP,在进一步关联情报信息,例如IP是否关联域名、域名是否具备注册信息,并结合外部溯源价值验证接口,综合判定溯源价值,企业根据高价值IP进一步溯源分析。

修筑工事
0day“壕沟”
01异构边界防护设备

vpn和防火墙采用异构方式部署,同时在内外层vpn系统网络区域间部署大量蜜罐,增加入侵难度和成本。

02严控出网访问

攻击者需要受害主机出网访问的权限,采用配置防火墙双向白名单,阻断协议包括TCP、UDP、ICMP、DNS等,达到攻击无法完成的效果。

03强化主机安全防护

部分0day利用成功后需要主机读写文件权限,通过部署主机防护系统,一是监控非白名单地址的运维操作和敏感操作命令,及时发现异常命令执行行为,二是监控服务器敏感配置文件的读取。

04VPN 0Day应用仿真

在获取到VPN存在相关0Day漏洞后,立即制作包含最新0Day漏洞信息的仿真沙箱,使蜜罐对于攻击者来说更具诱惑性,且成为攻击者的首要目标。同时将攻击隔离进沙箱系统,从而实现攻击隔离,延缓攻击进程。既能检测黑客的行为,让攻击者不触碰到真实资产,又能拖延攻击者攻击时间,提高攻击成本,主动暴露出攻击者身份、攻击手法、攻击目的等,并且还能捕获攻击者相关真实信息,有利于进一步溯源。

05紧盯0day漏洞利用痕迹

一是加强敏感文件和目录监控。主机层面,流量层面、加强敏感目录读取排查,和返回包的监控。二是加强敏感命令执行监控。主机层面通过入侵检测系统替换操作者系统bash程序,形成命令执行钩子,监控敏感命令执行操作。流量层面,利用流量监测设备匹配敏感命令执行结果。

修筑工事
重门叠户

通过自适应微隔离系统建立精细化访问控制策略,实现内部网络微隔离,“横向渗透”从此无隙可乘。相比在内网堆叠安全设备,自适应微隔离系统部署成本低、对内部网络改造小、具备零信任访问机制,能解决攻击请求绕过防火墙的问题,黑客在进入内网后,往往像只无头苍蝇,到处“碰壁”。此外,通过自适应微隔离系统采集主机工作负载之间的网络流量,提供多维度流量合并功能,能够对业务关系进行梳理分析,辅助策略规则的设计,解决东西向访问流量庞大,业务拓扑复杂,无法看清业务间访问关系问题,协助快速梳理出各节点间端口调用关系,以可视化视图和流量日志清晰展示阻断、放行流量。

修筑工事
战线规划
1.修筑流量监测纵深异构防御战线

充分了解各流量监测安全产品的优缺点,并对现有流量镜像网中各流量镜像节点的流量情况进行摸排,随后统筹规划不同流量监测系统流量探针的流量分配方案,通过重做map、去重、过滤等手段解决“安全设备丢包、流量镜像网带宽占满”的问题,此外,基于流量监测系统的告警内容,收敛对外暴露或跨域暴露的高危端口、弱密码、管理后台等,清理内网失陷机器及违规行为。

2.修筑重要系统防御战线

编排数据源监控面板,每类数据源依据历史基线定义收取频率,一旦在定义的时间间隔内未收到该日志,则标红显示并短信告警。将重要系统(如代码管理类系统、堡垒机系统、域控服务器、VPN、数据交换系统等)、重要账号加入重点监控范畴,不断完善网络侧、应用侧、主机侧的核心防御战线。在条件允许的情况下,对其进行攻击测试,保证对其进行攻击或者变更,能触发流量监测告警、终端审计日志、EDR告警。

3.防守对抗自动化

通过安全态势感知平台,构建重保期间强相关攻击分析场景,快速发现安全事件根源,确定攻击手段及评估攻击损失,实时、精准生成待封禁IP清单;结合安全技术自动化编排与响应,将封禁/解封IP清单下发至企业数据中心及子公司互联网墙进行实时封禁。

兵来将挡水来土掩
应急响应

 图4

1准备工作:

制定计划与流程:制定用于应急响应工作流程的文档计划,并建立一组基于威胁态势的合理防御措施;制定预警与报警的方式流程,建立一组尽可能高效的事件处理程序;建立备份的体系和流程,按照相关网络安全政策配置安全设备和软件;

建立基础设施:建立一个支持事件响应活动的基础设施,获得处理问题必备的资源和人员,进行相关的安全培训,可以进行应急反映事件处理的预演方案;

2事件监测:

识别和发现各种网络安全紧急事件。一旦被入侵检测机制或另外可信的站点警告已经检测到了入侵,需要确定系统和数据被入侵到了什么程度。入侵响应需要管理层批准,需要决定是否关闭被破坏的系统及是否继续业务,是否继续收集入侵者活动数据(包括保护这些活动的相关证据),通报信息的数据和类型,通知什么人;

洞悉敌情:布局入侵检测设备、全局预警系统,确定网络异常情况;

风险评估:预估事件的范围和影响的严重程度,来决定启动相应的应急响应的方案;确定事件的风险危害,确定事件责任人人选,确定攻击者利用的漏洞的传播范围,通过汇总,确定是否发生了全网的大规模入侵事件;

监测闭环:通过安全设备联动分析以及技术专家协同分析完成事件监测闭环工作。

3抑制处置:

在入侵检测系统检测到有安全事件发生之后,抑制的目的在于限制攻击范围,限制潜在的损失与破坏,在事件被抑制以后,应该找出事件根源并彻底根除;然后就该着手恢复系统,把所有受侵害的系统、应用、数据库等恢复到它们正常的任务状态;

收集信息:收集入侵相关的所有资料,收集并保护证据,保证安全地获取并且保存证据;

应急处置:通过对有关恶意代码或行为的分析结果,找出事件根源明确相应的补救措施并彻底清除,并对攻击源进行准确定位,采取措施将其中断;

恢复措施:确定使系统恢复正常的需求和时间表、从可信的备份介质中恢复用户数据和应用服务;清理系统、恢复数据、程序、服务,把所有被攻破的系统和网络设备彻底还原到正常的任务状态。

4跟踪监控:

在跟踪监控阶段辅助以一定的逆向追查措施,增加必要的安全加固措施。

严阵以待
钓鱼邮件之将计就计

通过提取钓鱼邮件或者终端取证的恶意样本,结合沙箱对样本威胁类型、行为签名、网络行为进行动态分析,并自动提取用于远程控制通信的域名或IP地址。通过上网行为管理等设备的内部主机对外访问日志,发现内网全部与该远控该地址通信的失陷主机。同时,将该远控域名或IP,与其他机构共享情报,实现更大范围的被控主机发现能力。

坚甲利兵
WAF+蜜罐+日志分析平台

通过WAF的重定向功能,攻击者触发WAF拦截策略后,将被重定向至拦截页面,拦截页面具备溯源能力,攻击者信息会传递至蜜罐系统后台。虽然WAF虽然有强大的防护功能,但其在统计分析方面与专业的日志分析系统无法比拟,为实现对攻击趋势的统计分析,在重保准备阶段将WAF中告警事件信息发送至日志分析平台,通过日志分析平台强大的统计功能,进行趋势分析判断,并将统计结果中IP攻击频率排名较高的IP直接交由防火墙进行封禁。

坚甲利兵
VPN+沙箱

我们在制作沙箱时,配合重点系统需要下载指定软件的特性,可以将VPN系统访问所需要下载的软件绑定免杀反制程序,当攻击者误攻击仿真沙箱来下载访问VPN的应用程序并且安装之后,攻击者的主机便能在反制模块中上线,达到反制的目的,并且还能进一步获取攻击者团队中其他成员的更多信息。

坚甲利兵
蜜罐+主机防护

通过部署微蜜罐,模拟生产环境达到“以假乱真”,诱敌深入的效果。通过在区域内每台服务器、虚拟机都部署主机防护Agent客户端,在Agent客户端上引入“微蜜罐”诱饵功能,相当于每台主机都成为蜜罐诱饵点,通过端口持续进行监听,一旦Agent客户端发现蜜罐端口被攻击,则实施反馈事件信息并将攻击流量引入蜜罐系统,使其远离真实网络,争取应急响应时间。与此同时,对攻击者进行全程监控,详细记录攻击步骤、攻击工具和攻击手段,作为溯源取证的依据,扭转被动局势。

服务面面俱到

服务期

服务编号

服务内容

服务描述

决战重保

1

现场值守服务

1.重保期间7*24小时安全监控与值守,针对网站可用性、黑链、暗链、篡改、挂马及其他安全事件进行分析和处置

2.同步外部威胁情况,提前添加IP黑名单和设置安全策略

3.每小时专属群汇报,每日提供日报,每周提供周报

4.远程人工日志分析,每日分析当天web全流量、各类告警、安全设备等日志

2

应急响应服务

值守期间,发生入侵等严重安全事故,及时关停站点,降低影响,提供事件初步分析

3

安全通告与预警

重保期间,发生的重大外部安保事件、高危漏洞威胁,第一时间通报预警,并协助修复

4

入侵审计服务

专家级入侵取证人员现场入驻,分析入侵路径和手段,攻击溯源

5

司法取证服务

专业司法取证设备和专家现场取证,分析结果可作为司法鉴定使用

6

舆情分析服务

重保期间,互联网空间对贵单位谣言、诽谤及恶意中伤等舆情分析

四、总结

在经历过重保前期对互联网资产安全的治理(点此查看完整治理TIPS)后,重保前、中、后的资产安全风险口缩小,安全加固的同时,也确保远程办公的安全。而在重保中期,通过保障团队、工作流程、攻防博弈等构造起来的安全城池也确保了用户单位能安然度过重保时期。度过重保时期是否就意味着重保结束?重保后期还有哪些事很重要?我们下期揭晓~

如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/gXPl
如有侵权请联系:admin#unsafe.sh