“系統執行正常,風險態勢可控,安全管理有序,到點正常交接”,可以說是每一位藍隊成員都向往的生活。
這幾年談到攻防演練,關注度最高的非0day、1day漏洞莫屬。顧名思義,0day漏洞指的就是尚未公開的新漏洞;而1day漏洞指的則是剛公開不久的漏洞,由於沒有對應的PoC檢測用例,也缺乏確定的漏洞利用檢測規則,因此常被攻擊者們用來實施出其不意的打擊,對使用者而言,防守難度大,極易成為防線失守的決堤點。
“儘管0day漏洞威脅較大,也難以預知,但並非防不勝防”,防護線市場總監聶曉磊說到,“我們可以從攻擊者的視角來分析其利用路徑,找到防守的關鍵點”。
以一個典型場景為例,假設使用者所用OA系統存在0day漏洞,而攻擊者的目標是攻陷內網核心資料伺服器,那麼攻擊路徑可能分為如下幾步:
01
對目標單位進行資訊蒐集和網際網路暴露面探測,找到對外開放的系統或服務;
02
對發現的系統和服務嘗試口令爆破和掃描試探等攻擊,獲取某個系統的許可權;
03
以該系統為跳板對OA系統發起攻擊,利用掌握的0day漏洞對其進行滲透;
04
獲取OA系統許可權後,從內網掃描並發現其他系統,最終攻陷核心資料伺服器。
透過對攻擊路徑的分析不難看出,0day漏洞固然可怕,但攻擊者想要成功利用,至少還需要幾個必要條件:一、繞過邊界防護,二、找到關鍵系統,三、可以在內網擴大戰果。那麼對防守方而言,做好暴露面自查、守好關鍵路徑、加強內網橫向防護和對重要系統的保護則是控制0day漏洞影響的關鍵點。
盛邦安全Web應用防護系統(RayWAF)結合自身攻擊檢測與防禦的實戰經驗,形成一套專門應對0day漏洞攻擊的五重保障方案,無論是在日常管理還是重保值守中,都能夠為使用者提供精準、可靠的防護能力。
第一重
敏感資訊防洩露,減少暴露面
攻防首先拼的是資訊和情報。對於攻擊者而言,提前蒐集足夠多的目標資訊後,可以發起釣魚攻擊,也可以做定向打擊,這樣就能更快地找到突破口,攻擊成功的機會也更大。因此對防守方而言,就要儘量避免敏感資訊被獲取和利用。
RayWAF敏感資訊防洩露功能,既可以防止伺服器關鍵資訊外洩,讓攻擊者不得其法;又能夠識別和過濾使用者敏感資訊,如員工姓名、聯絡方式等,從而降低被釣魚風險,幫助使用者減少暴露面風險。
第二重
掃描陷阱加限速,收斂攻擊面
除了對自身暴露面風險加強管控,減少非必要對外開放的系統和服務、避免帶病資產執行之外,還需要透過技術手段進一步強化邊界防護和訪問控制。
RayWAF支援掃描陷阱防護功能,可以準確識別非法掃描行為,配合智慧限速模組,有效攔截攻擊者的初期試探和暴力破解等活動,從而幫助使用者收斂攻擊面。
第三重
人機識別加語義,擴大防護面
針對0day攻擊等新型、未知和隱蔽的威脅,傳統的靜態檢測規則通常僅能覆蓋已知威脅,難以做到全面發現和準確識別。
RayWAF人機識別能力,則可以主動出擊,對攻擊源進行反向驗證,區分正常訪問和異常行為;同時,RayWAF還支援語義分析檢測引擎,可以利用語義和上下文線索來判斷攻擊邏輯,從而有效發現未知威脅,從整體上實現防護面的擴大。
第四重
業務建模白名單,守好關鍵點
對於重要系統和核心業務,RayWAF可以透過流量自學習建模的功能,為其建立業務訪問白名單模型,僅允許匹配白名單的正常行為透過,對於任何異常和非法的訪問一律進行攔截,從而提供最強硬的防護手段,幫助使用者守好關鍵點。
第五重
外聯檢測加蜜罐,內網防失陷
針對內網安全的加固,使用者一方面需要清晰劃分業務區域、合理分配訪問許可權,另一方面還可以利用行為分析和誘捕防禦等手段來提升內網安全性。
RayWAF的外聯檢測功能,可以及時發現內網主機失陷後的受控外聯通道並進行阻截;同時還支援蜜罐策略,可以充分利用使用者空閒的網路資源來建立誘捕環境,一旦攻擊者在內網發起掃描活動,可以第一時間將其捕獲並進行溯源反制。
透過五重保障方案,盛邦安全RayWAF不僅能夠幫助使用者建立可靠的安全防護體系、抵禦0day攻擊等威脅;還能夠有效減輕使用者單位重保及攻防演練期間的值守壓力,讓藍隊get屬於防守方的嚮往的生活。有備,則無患。
瞭解更多