俗話說:“講百遍不如打一遍”,網絡安全實戰攻防演練被視為檢驗組織機構安全防護和應急響應能力,提高綜合防控水準最有效的手段之一。那麼,對藍隊來說,如何在攻防實戰進行有效防護應對呢?
本文将針對紅隊常用的8種攻擊方式及其應對方法做較為深入的解讀。
圖1. 攻擊者可利用的入口及方法
什麼是網絡安全攻防演練?
網絡攻防演練是新形勢下網絡安全保障工作的重要組成部分,演練通常是以實際運作的資訊系統為保障目标(靶标),在保障業務系統穩定運作的前提下,在既定規則内,采用“不限攻擊路徑,不限攻擊手段”,貼合實戰的方式盡可能模拟真實的網絡攻擊,以此來校驗資訊系統實際安全性和運維保障實際有效性,提高網絡安全的綜合防控能力。
參與網絡安全攻防演練的團隊一般有三個:
• 紅隊:攻擊隊,通過模拟攻擊實作系統提權,控制業務擷取資料等,以及發現系統的薄弱環節。通過這些攻擊性的實驗來綜合提升系統安全性。
• 藍隊:防守隊,一般是以參演機關的網絡防護體系為基礎,在演練期間組成的防守隊伍。
• 紫隊:組織方,作為攻防演練活動的組織者,負責活動過程的監控指導及應急保障等工作,并在最後做出演練總結,提出優化建議。
圖2. 攻防演練中各個團隊的職能
8種常見的紅隊攻擊方式
自2016年大陸釋出網絡空間發展戰略,并推行開展全國性的網絡攻防實戰演練以來,攻防實戰中,紅隊采用的攻擊方式随着網絡技術的發展而不斷更新,這個過程大體可以分為2個階段:
圖3. 攻防演練中主要攻擊手法的演變
當然,每個階段、每種攻擊方式并不是完全獨立的,攻擊者為了達到攻擊目的,經常會混合利用多種攻擊方式。
舉個簡單例子,如下圖所示,整個攻擊鍊包含多個不同階段和不同攻擊手法。
圖4. 攻防演練中的攻擊鍊
我們可以以攻擊者入侵目标系統所憑借的手法,将常見的紅隊攻擊劃分為以下8種類型:
• 網際網路邊界滲透。幾乎所有企業都有部分開放于網際網路的裝置或系統,比如郵件、官網等。紅隊會以這些裝置或系統的開放性特點,将其作為入侵的切入點。
• 通用産品元件漏洞利用。資訊化産品雖然提高了企業的運作效率,但其自身的安全漏洞也給企業帶來了很多潛在隐患。紅隊在攻防演練中就經常通過利用産品元件的漏洞來達成攻擊目标,比如:OA漏洞、中間件漏洞、資料庫漏洞等。
• 0day攻擊。在攻防演練中,0day攻擊已成為常态,由于0day漏洞能夠穿透現有基于規則的防護技術,被視為紅隊最為有效的手段之一。2021年演習期間,紅隊不斷爆出各類0day漏洞,這些漏洞大部分和暴露在網際網路上的Web應用相關,直接威脅到核心系統的安全。
• 弱密碼。除了系統、應用等漏洞以外,紅隊還會探測目标企業在人員和管理上的漏洞,最典型的方法就是弱密碼,包括弱強度密碼、預設密碼、通用密碼、已洩露密碼等不同類型。在攻防演練中,紅隊通過弱密碼獲得通路權限的比例高達90%。
• 供應鍊攻擊。這是一種典型的迂回攻擊方式。攻擊者将目光聚集在目标企業的上下遊供應商,比如IT供應商、安全供應商等,從這些上下遊企業中找到軟體或系統、管理上的漏洞,進而攻進目标企業内部。
• 相關機關攻擊。這個方法與供應鍊攻擊類似,都是采用迂回戰術。一般來說,參與演練的企業總部的安全防護比較嚴格,很難正面攻破,而其下屬機關的防護相比之下則弱很多。此外,一個集團内部各個分公司之間的内網的隔離并不徹底,很容易從一個公司的内網,進入同一集團下另一個公司的内網。
• 多點潛伏。攻防演練中,紅隊為避免在短時間内被發現、清除,通常會在多個據點開展滲透工作,比如采取不同的Webshell、利用不同的後門和協定建立不同特征的據點。這種情況下,如果目标企業的安全人員不對告警裝置做完整的攻擊鍊梳理,而隻是處理告警IP的伺服器,那麼他們就無法将所有攻擊點及時清除。
• 社工釣魚。社工釣魚在實戰中的應用越來越廣泛。紅隊會從人的角度下手,給相應的員工、外包人員發釣魚郵件,搭建釣魚用的WiFi熱點,插U盤、植入木馬等等。
面對以上逐漸自動化、武器化的紅隊攻擊,很多企業的防護依舊以老式的“人海戰術”為主,不管對方用什麼高科技,都用“堆人頭”的方案來解決,他們深信隻要自己人足夠多,對方就沒法輕易攻進來。但這種方式人力成本高、負荷大,難以常态化、持續化,對提高企業安全防護能力沒有任何借鑒意義,是以并不可取。
要想實作更高效的防護,從“人防”轉變為“技防”是企業的必然選擇。藍隊要根據紅隊攻擊手段的進步,而不斷從技術角度更新防護手段,提升自動化水準,實作在攻防演練和平時的安全防護過程中,都能讓防守不再被動、響應不再滞後,兼顧安全防護水準與效率。
如何搭建有效的藍隊安全技術體系?
那麼,藍隊如何實作“人海戰術”到“高精尖”技術型防護的轉變呢?這需要基于Gartner自适應保護模型建構覆寫預測(P)、防禦(P)、檢測(D)、響應(R)四個階段的PDCA安全防禦閉環,将“應急響應式”的被動防禦轉變為覆寫“事前+事中+事後”全鍊路的主動防禦,以期達到縱深防禦的安全效果。
PPDR自适應攻擊保護架構四個階段分别要求藍隊具備以下能力:
• 預測:資産清點、安全評估、威脅模組化、安全基線
• 防禦:風險發現、安全加強、安全教育訓練
• 檢測:入侵檢測、調查确認
• 響應:響應處置、政策優化
圖5. 自适應安全架構所需的能力體系
作為防守方最後的“底牌”,青藤在網絡安全攻防實戰領域有多年的服務經驗,并通過3個階段+5個服務+6個産品,形成了一套完整的基于預測、防禦、檢測、響應自适應安全架構的攻防演練防禦體系,保證了安全防護有效、及時。
圖6. 青藤實戰化的新一代主動防禦體系
針對攻防演練的事前、事中、事後三個階段,青藤結合産品+服務将具體防護工作分為:
• 事前準備工作——資産梳理、脆弱性評估整改、漏洞無效化實施、東西向流量控制;
• 事中值守工作——攻擊隊入侵監控、攻擊告警研判、攻擊事件調查、記憶體馬攻擊監控、檔案完整性監控、0day攻擊專項防護;
• 事後演練後續——平戰能力積累與傳遞、落地安全營運标準化、自動化、實戰化。
青藤這一攻防演練保障體系與基于Gartner自适應保護模型的PDCA安全防禦閉環完全契合,覆寫了預測(P)、防禦(P)、檢測(D)、響應(R)的全流程。
1、預測階段,及早消除安全隐患
資産清點:通過青藤萬相進行細粒度的資産清點,摸清企業組織的網絡安全架構及具體各種資産的情況,全面了解網絡邊界到靶标系統的所有路徑。
安全評估:利用滲透測試、紅隊評估等手段,發現和評估資訊系統原有的脆弱性,預測攻擊者可能采取的攻擊方式。
威脅模組化:基于使用者環境,通過青藤獵鷹對核心資料系統、業務系統、權限控制系統迅速建構精确的威脅檢測模型,形成安全基線,并對主機層面的細粒度資料進行實時監控、體檢,主動捕獲異常行為,提前發現問題。
2、防禦階段,加強原有系統提升防禦能力
風險發現:在資産細粒度清點的基礎上,持續、全面、透徹地發現潛在風險及安全薄弱點,包括弱密碼、安全更新檔、應用風險等。
安全加強:通過更新檔更新、政策優化、部署安全裝置等手段,将風險降到最低,并增強對威脅的可見、可防、可溯源等綜合能力。
安全教育訓練:從安全技術和意識等方面提高技術人員處置能力以及全員安全意識,最大程度限制紅隊通過網絡釣魚等非技術性攻擊的成功率。
3、檢測階段,威脅狩獵确定入侵行為是否存在
入侵檢測:基于青藤萬相對攻擊路徑的每個節點都進行監控,實時發現失陷主機,并對入侵行為進行告警。
調查确認:根據所收集的情報資料,通過青藤獵鷹,采用相關技術和工具來分析不同來源的資料,确認系統中是否存在威脅。
在攻防演練實際場景中,青藤還會提供網絡攻防經驗豐富的藍隊專家現場服務,全程參與并提供安全态勢監控、威脅情報值守、安全大資料分析、威脅主動誘捕等服務支撐,保障演練的防守效果。
4、響應階段,修複或變更防禦政策
響應處置:确認攻擊路徑後,基于青藤萬相、獵鷹等産品可對攻擊快速及時地進行響應處置,遏制攻擊的影響範圍,并消除攻擊發生的所有要素,確定攻擊者無法進一步攻擊。
整改提升:全面複盤在演練中暴露的脆弱點,并根據需求更新防護政策,以進一步提高目标系統的安全防護能力,為下一步安全建設規劃提供必要的支撐。
正如前文所述,攻防演練的最終目的是幫助企業組織了解自身的安全能力,并能夠有針對性地進行提升,減少被攻擊的可能性,最大程度地保障企業網絡安全。
————————————————
版權聲明:本文為CSDN部落客「青藤雲安全」的原創文章,遵循CC 4.0 BY-SA版權協定,轉載請附上原文出處連結及本聲明。
原文連結:https://blog.csdn.net/m0_63828240/article/details/124947683