實戰(zhàn)攻防演練是檢閱政企機構(gòu)安全防護和應急處置能力的有效手段之一。每年舉行的國家級實戰(zhàn)攻防演練,聚集了國內(nèi)多支頂尖攻擊團隊,在攻擊手段和強度上遠遠超過日常安全檢查,防守方都面臨著非常嚴峻的考驗。
今年網(wǎng)絡攻防演練專項行動在即,相信不少的企業(yè)和機構(gòu)早已開始了準備。那么,如何高效應對網(wǎng)絡安全實戰(zhàn)攻防演練?與之前相比,今年的網(wǎng)絡攻防演練又會出現(xiàn)哪些新特點呢?
一、從合規(guī)到實戰(zhàn),攻防演練呈現(xiàn)五大趨勢
由于目前網(wǎng)絡空間態(tài)勢復雜,如何在攻防對抗環(huán)境中具備實戰(zhàn)能力,已成為所有行業(yè)和政企機構(gòu)網(wǎng)絡安全建設的重要目標。
瑞數(shù)信息首席安全顧問周浩表示,從2016-2020年的攻防演練實踐看,無論從演練規(guī)模還是攻擊技術(shù)上看,都在不斷升級演進升級。
例如:2016年,攻擊方法以傳統(tǒng)應用系統(tǒng)攻擊為主,攻擊手段相對單一;但到了2020年,攻擊范圍進一步擴大,自動化攻擊、武器化攻擊越來越多,大批量0day在演練中使用,并且攻擊范圍也擴展到了安全設備自身,各種高級實戰(zhàn)的攻擊手段也有所使用。
從去年攻防演練的實戰(zhàn)情況,可以看到攻防演練已呈現(xiàn)五大攻擊趨勢:
攻擊手法一:自動化攻擊、武器化攻擊越加明顯
在攻防演練中,紅隊會對開源工具、泄漏工具、定制工具等進行整合,構(gòu)建自己的武器庫。通過武器庫可快速高效的對各類0day、Nday漏洞進行探測利用,在攻擊過程中還可對特征識別、IP封鎖等防護措施進行突破。
除了漏洞探測利用工具外,紅隊還會利用動態(tài)加密Webshell來穿透WAF防護,進行權(quán)限維持和跳板搭建,如哥斯拉、冰蝎等Webshell采用動態(tài)加密方式,通信過程無穩(wěn)定可識別的特征,碾壓市面上所有基于特征匹配的傳統(tǒng)WAF。對于藍隊基于規(guī)則的防護而言,實則是一種降維打擊。
攻擊手法二:人員和管理漏洞探測
除了攻擊應用漏洞之外,紅隊還會探測藍隊在人員和管理上的漏洞,如:弱口令、網(wǎng)絡遺漏備份文件等,尤其是VPN、郵箱、管理平臺等系統(tǒng),已經(jīng)成為重點攻擊對象。
攻擊手法三:多源低頻攻擊
攻防演練中,封IP是最主要的防護手段之一。實戰(zhàn)過程中,紅隊會通過分布在全國各地的IP代理發(fā)起攻擊,這些IP地址可能來自機房,也可能來自家庭寬帶、手機基站等。貿(mào)然對這些IP進行封堵,可能會造成業(yè)務不可用,甚至達到防火墻IP黑名單的數(shù)量上限。
攻擊手法四:社工釣魚
社工釣魚在實戰(zhàn)中的應用越來越廣泛。紅隊會從人的角度下手,給相應的員工、外包人員發(fā)釣魚郵件,搭建釣魚用的WIFI熱點,甚至雇人混入藍隊,插U盤、中木馬等等。
攻擊手法五:0day攻擊成為常態(tài)
在攻防演練中,0day攻擊已成為常態(tài),由于0day漏洞能夠穿透現(xiàn)有基于規(guī)則的防護技術(shù),被視為紅隊最為有效的手段之一。2020年攻防演練中,出現(xiàn)了上百個0day漏洞,這些漏洞中大部分和暴露在互聯(lián)網(wǎng)上的Web應用相關(guān),直接威脅到核心系統(tǒng)的安全。
總體而言,在實戰(zhàn)化、高級化、常態(tài)化的攻擊趨勢下,攻防演練的力度將空前加大。鑒于今年建黨100周年等重大活動眾多,境外惡勢力攻擊將更加激烈,各類重?;顒拥臅r間也會持續(xù)拉長。
二、從人防到技防,瑞數(shù)信息“三板斧”構(gòu)建實戰(zhàn)能力
攻易守難,安全工作者在攻防演練中往往要承受巨大的壓力。由于藍隊處于被動,當發(fā)現(xiàn)攻擊事件、溯源攻擊時,整體已經(jīng)處于滯后狀態(tài),所以在攻防演練中,藍隊需要投入大量精力做防守,甚至是7*24小時的人工值守,處于非常態(tài)化的安全運營中。
那么,是否能夠通過一些技術(shù)手段來降低藍隊安全人員的工作量,并達到很好的防護效果呢?瑞數(shù)信息首席安全顧問周浩認為,要做到從“人防”到“技防”,可以從攻擊的三個階段入手:
第一階段:自動化攻擊、信息收集
在攻擊前期,紅隊的重點在于以自動化攻擊、信息收集為主,如:資產(chǎn)探測、已知漏洞探測;利用工具發(fā)起批量攻擊;弱口令嗅探、路徑遍歷、批量POC等。
第二階段:手工攻擊、多源低頻、重點突破
信息收集后,紅隊會轉(zhuǎn)向重點系統(tǒng)攻擊,通過人工分析漏洞,發(fā)起定向打擊,同時對現(xiàn)有安全措施進行突破。
第三階段:橫向移動、核心滲透
在紅隊獲得一定權(quán)限后,會對權(quán)限進行提升,并搭建代理跳板,橫向移動,對核心系統(tǒng)靶標進行滲透。拿下靶標時,意味著紅隊的勝利。
針對以上三個階段,周浩建議,藍方可以通過瑞數(shù)信息“三板斧”模式,采用三種不同的防護手段,來做相應的阻攔。
板斧一:攔工具。通過對工具類的探測利用進行攔截,降低紅方攻擊效率。
為了彌補特征識別的缺陷,對于工具的防護可以根據(jù)攻擊工具自身的特點,采用“分級分層、按需對抗”的策略。針對不同級別的工具,采用相應的識別攔截手段:
實現(xiàn)效果:
通用漏掃防護方面,瑞數(shù)信息能夠提供漏洞隱藏功能,將所有的高危、中危漏洞、網(wǎng)頁目錄結(jié)構(gòu)做隱藏,讓紅方掃描器得不到任何有價值的信息。
0day防護方面,通過瑞數(shù)信息獨有的動態(tài)驗證、封裝、混淆、令牌四大動態(tài)安全技術(shù),能夠?qū)崿F(xiàn)不基于規(guī)則的防護。從0day漏洞利用工具請求的固有屬性出發(fā),只要識別到是工具行為,那么就可以直接對0day攻擊進行阻斷,從而實現(xiàn)對業(yè)務的動態(tài)保護。
插件掃描和被動漏掃防護方面,基于瑞數(shù)信息特有的“動態(tài)安全”技術(shù),能夠通過敏感信息隱藏、針對掃描器做重放性檢測、動態(tài)挑戰(zhàn)等方式來進行防護,擺脫傳統(tǒng)封禁IP的繁瑣,讓紅方無法獲取有價值的信息。
密碼破解方面,通過準確的人機識別技術(shù),可不依賴頻率閾值的情況下對密碼破解攻擊進行攔截,可實現(xiàn)首次破解即被攔截的效果。
同時,瑞數(shù)信息還可以通過指紋溯源關(guān)聯(lián)的形式,對整個攻擊團伙做攻擊畫像,精確定位攻擊者身份,對攻擊者設備指紋直接做封殺。
板斧二:擾人工。對人工滲透行為進行迷惑干擾,提升紅方分析難度。
隨著對抗的升級,基于規(guī)則和特征的傳統(tǒng)安全設備防護效率將越來越低。對于人工攻擊,不妨換個思路,從干擾攻擊行為的角度出發(fā)進行防護。
作為動態(tài)安全技術(shù)的代表廠商,瑞數(shù)信息擁有多種動態(tài)干擾功能:web代碼混淆、JS混淆、前端反調(diào)試、Cookie混淆、中間人檢測等,能夠不基于任何特征、規(guī)則的方式進行有效防護。
例如:瑞數(shù)信息可以將URL動態(tài)變化成亂碼,隱藏鏈接地址,攻擊者無法通過分析代碼,定位攻擊入口;可以通過高強度、動態(tài)混淆機制,保證前端JS代碼不被泄露;可以通過干擾攻擊者調(diào)試分析,防止通過瀏覽器開發(fā)者工具對網(wǎng)站進行調(diào)試分析,獲取業(yè)務流程、接口;可以將Cookie內(nèi)容動態(tài)變化成亂碼,防止攻擊者攔截Cookie,偽造交易報文,進行中間人攻擊等等。
板斧三:斷跳板。對紅方webshell等跳板工具進行阻斷。
Webshell可以說是內(nèi)網(wǎng)穿透利器,只要開放web服務,就有可能被利用搭建代理進行內(nèi)網(wǎng)穿透。
目前,Webshell主要分為兩類:一類是傳統(tǒng)型,具備明顯的通訊特征;另一類是動態(tài)加密型,能夠隱藏攻擊特征,很難防御。
對于動態(tài)加密類的webshell,如:哥斯拉Godzilla、冰蝎等,同樣可以采用瑞數(shù)信息的“動態(tài)安全”技術(shù),通過令牌等方式判定為非法訪問,并直接進行阻斷,而不依賴于攻擊特征的識別。
總體而言,瑞數(shù)信息徹底轉(zhuǎn)換了傳統(tǒng)防護的思路,通過獨特的動態(tài)安全技術(shù),以多維度“分級分層”的對抗策略,讓自動化工具和攻擊者無法輕易發(fā)現(xiàn)攻擊入口,大幅提升攻擊難度與成本。同時,通過對終端環(huán)境和設備指紋的多維度畫像,可以有效識別各類惡意自動化工具,并能實時追蹤通過大量跳板隱藏攻擊來源的惡意終端。
對于藍隊而言,基于瑞數(shù)信息的動態(tài)防護體系,能夠有效實現(xiàn)從“人防”到“技防”。無論在攻防演練還是日常運維中,都能將安全人員從安全對抗和值守中釋放出來。
三、從被動到主動,瑞數(shù)信息推出“重保神器”
在如今嚴峻的網(wǎng)絡安全形勢下,動態(tài)防護、主動防御已經(jīng)成為安全建設的趨勢。面對花樣百出的攻擊手段,未知的安全威脅,瑞數(shù)信息已推出多項安全產(chǎn)品,覆蓋Web、移動App、H5、API及IoT應用,從應用防護到業(yè)務透視,建立了從動態(tài)防御到持續(xù)對抗的防護體系。
針對攻防演練、重大活動保障這樣的特殊場景,瑞數(shù)信息也相應推出了“重大活動動態(tài)安全保障”、“網(wǎng)站護盾”等解決方案,助力政企機構(gòu)防護方更高效、靈活地應對復雜攻擊。
目前,瑞數(shù)動態(tài)安全防護系統(tǒng)已應用在政府、金融、能源、運營商等多個行業(yè)中,被眾多行業(yè)客戶防守方作為“重保神器”。從2016到2020年,瑞數(shù)信息參與了上百家單位的攻防演練防守工作,瑞數(shù)動態(tài)安全防護系統(tǒng)對攻擊工具的防護能力,大大提高了攻擊門檻,讓攻擊隊的信息收集、漏洞掃描、0day探測等無法發(fā)起,從而得到了客戶的高度認可。
據(jù)《2020網(wǎng)絡安全行業(yè)研究白皮書》顯示,某政務服務網(wǎng)站盡管已部署了傳統(tǒng)安全防御產(chǎn)品,但系統(tǒng)仍經(jīng)常被攻擊,網(wǎng)頁無法打開,投訴量持續(xù)增加。在緊急上線瑞數(shù)動態(tài)安全產(chǎn)品后,60小時內(nèi),即識別并攔截了近4500萬次異常訪問請求,異常請求占到向該網(wǎng)站發(fā)起的總請求數(shù)的78%。深入分析后發(fā)現(xiàn),大多數(shù)爬蟲攻擊工具都采用多源低頻的方式,通過更換大量IP來規(guī)避傳統(tǒng)安全檢測機制,使得溯源難度加大,傳統(tǒng)手段失效。而瑞數(shù)信息運用“動態(tài)安全”技術(shù)進行人機識別,批量防爬蟲,具備獨特優(yōu)勢。
可以看到,基于瑞數(shù)信息的動態(tài)安全技術(shù)和“重保神器”解決方案,能夠有效幫助攻防演練的防守方開展實戰(zhàn)工作,提升用戶網(wǎng)絡安全防御能力,真正實現(xiàn)從人防到技防,從被動到主動。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!