“三无化”战场
谁能告诉我方向在哪里
网络安全中的实战攻防正在向更加无边界、无规则、无差别的方向演进。
同时,随着网络环境、应用技术的更新迭代,如混合云、容器化、人工智能等的应用,网络攻击的途径、形式也在进化变得更敏捷、复杂、多态和智能,漏洞武器化速度也不断提速。
我们已经经历了8次实战模拟环境的考验,似乎累计了很多应对的小妙招,但仍然会有很多突发性事件冒出来让人措手不及,没有预兆,没有经验,甚至有时寄希望于攻击者不要发现我的软肋,不要出什么新招数,平稳度过这个夏天。
当然我们还有一条主动的路可以走,这种方式以不变应万变,面对所有的突发情况,舞动着它四通八达敏锐的触角,用机制和标准的流程监测风险、控制风险、化解风险。
从“高危攻击”路径
摸清“攻击套路”
我们通过拆解攻击过程的主要阶段和分析三类常见的高危害入侵路径来一窥究竟。
无论是攻防演练还是真实的APT(高级持续性威胁)级别攻击团队,其攻击过程的主要阶段基本可归纳为如下过程:
这其中离不开三个核心要素
实战攻防的第一生产力,贯穿攻击的整个生命周期,优秀的情报能力可以令准备和攻击事半功倍
撕开防线、扩大战果的重要武器,需要依靠信息进行精确制导
潜伏敌线、刺探情报的间谍:主要包括远控,搜集、密码窃取等前后渗透工具
下面我们用3个实战的攻击路径进行详细解析来展现如上攻击过程的落地。
如上图,攻击者在边界信息搜集中发现存在漏洞的OA系统,侵入后获取到云管理平台源码,经过代码审计发现的漏洞成功登录云管平台超级管理员账户,进而控制多个重要系统的服务器管理权限。
可以看到其中两个关键的集权系统,OA及云管平台,有着大量服务器信息和防护信息,一旦被攻破将导致大量敏感信息泄露或系统管理权限丢失,企业常见的类似系统还有堡垒机、域控制器、开发平台等。针对这些系统需要进行专项安全评估,包括已知、公开漏洞的检查,所在网络区域安全性,账号认证是否开启双因素等措施。
迂回侧面找到有效攻击路径
如上图,攻击团队兵分两路:一支从正面突破进内网,但被企业发现后封锁了相应攻击路径;另一支迂回转向企业分、子公司系统脆弱点,成功进入到子公司内网,并摸索到与总公司核心区连通路径,最终成功进入总公司核心区域拿下重要系统权限。
可以看到,虽然很多企业在主要系统及网络的安全防护很充足,但却往往忽略掉一些周边网络区域的安全隐患。针对于此,需要做好网络架构安全分析,包括网络安全域划分、访问控制关系、攻击面评估、入侵防护评估等。
通过网络或安全类设备实现批量控制
如上图,攻击者通过拿下VPN权限控制部分服务器,在被防守方应急响应后火速通过HIDS系统拿下其管理服务端进而控制重要系统。其中通过VPN和HIDS系统便捷地进入内网并迅速拿下权限。
针对此类网络或安全设备,需要针对其漏洞、安全机制、权限管控、弱口令、身份认证手段、自有的安全防护机制等进行针对性评估。
以攻击手段为半径
螺旋式提升
安全运营体系实例
实战化安全运营的核心是“实战”二字,其中的一个重要的场景就是面对恶意攻击时,运营体系即时发现、响应、处置、修复升级处置风险的韧性。
在过去的几年的方案推进中,我们发现安全运营的效果是螺旋式提升的,我们投入了研发和运营专家与实战场景磨合,与客户业务场景磨合,实现了半自动化的实战安全运营防御能力落地的案例。
安全运营简单来讲,只有两个重要组成部分,策略分析中心和分布在体系各处的感知单元,当我们对组织的安全体系进行排查评估时,这两个部分各自的完备程度和衔接是非常重要的指标。
在本次案例中,我们实践了检视提升方案后的安全运营建设工作。在进行网络架构与安全防护体系能力的综合评估后,发现当前安全能力体系仍然存在一些建设盲区,主要体现为以下两个方面:
传统安全建设理念普遍认为,相比与互联网进行交互的外网系统,内网是安全的区域,因此在此前安全建设中,该客户并未部署流量监测设备,仅部署少量蜜罐和主机安全产品。而由于缺少对内网流量的监控,导致日常安全监测中,无法发现威胁在内网中的横向扩散行为,在应急响应处置中,也难以还原复现攻击过程,影响事件调查效率。
该客户在推进数字建设的同时,未曾忽视网络安全保障能力的同步提升,采购部署了包括防火墙、IPS、WAF等多台安全设备,形成了较为完善的边界防御体系。但设备众多、平台复杂、版本不一,分散的安全数据不仅对安全人员的分析能力要求极高,而且彼此告警之间难以验证,大大降低了威胁告警的可信度;且众多安全设备,依靠人工方式进行关联分析、协同处置,频繁的重复性工作,如IP封禁等占用运维人员宝贵精力;导致在面对高水平攻击防御时,无法切实有效的发挥安全设备和人员价值。
通过分析当前网络安全防护体系及实战防守要求,亟需快速完成内网流量检测和集中日志分析能力的提升,并通过简单流程的创建快速提升重复性工作的处置效率。
部署全流量监测设备,覆盖内网南北向的流量检测能力,补全纵深防御体系。
搭建安全分析管理平台,初步形成态势感知能力,为后续打造完整安全运营中心打下基础。
考虑到分析管理平台、全流量探针、以及众多安全设备构建形成的运营体系较为复杂,各类调优工作繁琐且专业性强。于是在平台建设的同时,通过引入安全服务支持的方式,针对性进行安全策略调优与模型调试工作,在确保产品发挥预期效果的同时,逐步推动安全运营体系建设。
在该客户总部数据中心部署安全分析与管理平台和全流量分析预警系统,并在两个异地数据中心的关键节点各部署一台全流量探针。在完成设备部署后,将全流量探针、防火墙、WAF等安全设备的告警数据接入安全分析与管理平台,进行数据关联分析和告警聚合,并通过安全服务协助、平台定制优化等方式,初步建立IP自动化封禁流程。
整体建设部署示意图
加上攻击手段不断更新升级,传统方法存在检测能力不足,漏报误报严重的问题。基于深度学习预训练模型的攻击检测方法,深度理解攻击请求的上下文信息,从而提高攻击检测效率。
全流量探针采用旁路部署,接收网络关键节点的镜像流量,对流量中的网络会话和传输文件进行验证和分析,发现网络入侵行为,留存网络攻击行为数据,接入安全分析与管理平台并及时告警。补充威胁发现盲区,提升应急响应效率。
全量接入流量实现攻击链关联分析
完成部署后,安全分析与管理平台接入各数据中心全流量探针的流量检测数据,以及防火墙、WAF等二十多台安全设备的日志告警等数据,对Syslog、FTP/SFTP、Kafka等方式采集来的数据进行泛化处理形成标准安全日志结构,便于集中展示与统一分析。
多源数据进行事件聚合
基于标准化安全数据,利用安全分析与管理平台中的流式分析、离线周期分析等大数据分析引擎,通过可视化操作或SQL编程来定义分析模型进行告警数据的关联分析,贴合该客户业务模型个性化调整,输出高可信的风险告警。
通过关联分析实现场景化能力
基于安全分析与管理平台的SOAR能力和丰富实战经验,在该客户通过设置多种封禁算法初步构建IP自动化封禁的剧本流程,解决值守期间人工封禁效率较低且存在空窗的问题,实现一定的自动化处置能力。
实战化安全运营方案
是答案
攻防实战下的实际安全运营能力正成为当下安全技术的演进方向,通过如上对攻和防两侧的技战法及实际落地经验分析,我们看到其中的两点在当前尤为关键,一个是对安全建设更精细化追求的度量方式,另一个则是云安全时代下的特点变化。
安全投入是无止境的,若要在安全预算和安全运营效果之间找到平衡,那么以攻击形式衡量安全防护效果形成风险覆盖率等指标,是最符合攻防根本的路线。以企业做安全防御的主要手段预防与检测响应为例,找到攻击威胁后再去应对缺乏前瞻性,应当实现安全风险防御的“步态左移”,需要量化步态与高频小跑来实现。这里涵盖了三个关键词:
需转变防御思路,从传统事后防御转向“免疫式”的持续运营理念。安全能力、安全运营应强化日常运作,最好减少事后防御的动作,做到预防层面,以此达到降低风险覆盖率的效果。
需进行高频且持续的安全指标监管,以降低风险暴露程度。面对复杂的资产情境、快速业务迭代和攻击面暴露,高频率和自动化的安全运营管理是有效应对多变攻击形式的必要手段。
在攻击防御体系框架基础上,突出量化的指导、对比、迭代、进步。这包括对企业攻防能力成熟度的量化、交互式防御内在功力的量化、安全能力和运营能力的量化、安全运营健康度的量化等。
通过如上以攻量防、量化步态与高频小跑实践方法,推动安全防御向更高水平迈进。
上云,是各行各业都在讨论和探索的重点议题,混合云环境下的安全建设无疑是当下和未来网络安全工作的重点。随着企业数字化转型与业务上云的发展,会从单点能力的被动安全向纵深防御体系的主动安全演进。其中的网络安全建设变化会有如下特点:
基础架构将更加混合、异构和复杂;
随着业务向云上迁移,将有更多可利用的攻击路径;同时,攻击方式将更快、更频繁和自动化,复杂度和不可预测性也将进一步加剧;
安全将向一体化运营、云上托管的安全服务以及服务化按需调用等方向发展;
安全能力将融合于云基础设施和云产品组件之上,具备云原生的深度耦合、容器级的安全控制以及分布式和弹性高可用等原子化能力。
因此,我们需要开展更多的研究,去补充、完善、落实安全运营体系,使其更加贴近实战场景,更好地应对未来的安全挑战。