【兵臨城下】系列公開課是盛邦安全基於多年攻防實戰經驗,針對重保及攻防演習等場景而推出的系列直播活動,將從資產暴露面梳理、攻擊面管理、脆弱性自查、安全防線加固、協同聯動防禦以及攻擊溯源、應急響應等全流程進行梳理,陸續上線十幾場的直播分享活動,大家可以關注【盛邦安全影片號】提前預約直播活動。
本期公開課的主題是“構建藍隊第一道防線之基於人機識別的攻擊面收斂”,以下實錄文字供大家參考。
各位線上的朋友大家好,我是盛邦安全的聶曉磊,接下來的幾期我們會重點為大家分享攻防實戰當中防守側的一些實用技巧。今天這一期的主題是如何利用人機識別等技術構建藍隊防守中的第一道防線。
透過前面幾期的分享,大家瞭解了實戰化對抗中的關鍵點以及暴露面風險管理的重要性,我們說防守之所以困難,主要原因就在於攻防不對等。對於攻擊者而言,可以有漏洞利用、口令爆破、後門等各種攻擊手段,只要找到一個突破口就可以達到目的;而對於防守方來說卻需要面面俱到,疲於應付各種入侵威脅,往往都存在暴露面不清、風險不明、人員不足等問題。所以說,攻防是一場資源的比拼,防守側無法做到不計成本的投入,只有從攻擊者的視角來分析,找到防守的關鍵點才是制勝之道。
首先,我們來看幾個真實案例:某高校的師生資訊洩露,導致攻擊者利用掌握的資訊對VPN進行口令試探併成功登入,直接進入內網;某企業的官網存在未修復的漏洞,攻擊者透過漏洞利用,獲取到了網站後臺許可權,直接繞過了邊界防護進入內網;第三個例子是一家研究機構,他們的出口防火牆有0day漏洞,攻擊者透過漏洞直接獲得了防火牆許可權,並且隨意修改了安全策略,從而繞過邊界防護。總結來看,一條完整的攻擊路徑都是先找到目標暴露面的薄弱點,透過各種手段繞過邊界後進入內網,之後再想方設法找到關鍵系統,最終獲取目標許可權。
我們可以從邏輯上進一步分解攻擊路徑。概況來講,攻擊的過程大體可以分為:前期試探、邊界突破、定向打擊和橫向擴散。
在前期試探和邊界突破時,攻擊者需要蒐集足夠的目標資訊,掌握目標的暴露面情況,嘗試各種可利用的突破口;當繞過邊界之後就開始找關鍵系統,比如域控、集中管理平臺、雲管平臺等各類集權系統實施重點打擊。這時候可能就會使用破壞力強的0day漏洞,嘗試各種口令爆破和越權攻擊,只有成功攻陷才能掌握內網的制高點;之後在內網還需要嘗試各種橫向的掃描滲透,找到核心系統並獲取其許可權,再植入後門,最終竊取重要資料,這樣才算達成目標。
雖然攻擊者可利用的手段非常之多,但依然有必要條件,所以反過來就防守而言,則可以根據其必要條件來制定防護要點,那就是收斂攻擊面、守好關鍵點、防內網失陷,也就是我們所講的防守時的三道防線。
今天的內容我們先來看第一道防線——基於人機識別的攻擊面收斂。針對攻擊方前期的“踩點式”攻擊,我們可以利用人機識別、行為分析等技術來構築工事,形成第一道防線。這道防線一方面需要防止敏感資訊洩露,減少攻擊者的可乘之機;另一方面需要攔截各種掃描與試探行為,最大化地過濾攻擊噪音,減輕內網的防守壓力,從而達到收斂攻擊面的目標。
第一道防線可以選擇的產品很多,我們用WAF和API防護系統舉例,可以啟用防護物件識別、API資產識別、敏感資訊過濾、弱口令試探檢測與攔截等功能,部署位置可以根據實際情況來定。
在這裡需要注意的一點是,我們必須要改變傳統的裝置部署思路,比如WAF就應該放在對外發布區的邊界,API防護放在業務服務區的邊界等等。實際上,安全管理區也有web服務,比如各種裝置的管理入口,辦公區也可能有對外服務,比如有人會私搭一些測試環境,而這些服務才最有可能成為攻擊者的突破口。防護裝置的部署,必須針對防守中的薄弱環節和可能的失陷點,靈活地進行“查漏補缺”。
接下來我們介紹第一道防線中涉及的幾個核心能力。首先是保護物件識別。以WAF為例,我們可以透過流量學習、主動探測和手動錄入等多種方式,幫助使用者建立全面清晰的資產資訊庫,區分不同型別的保護物件,之後按照不同的業務型別來設定防護。這裡舉了兩個例子,一是按照業務範圍來匹配防護模板,不同的防護模板中有適用於該保護物件的安全策略;二是根據資產屬性來匹配具體的安全規則,實現精準防護。
第二個是敏感資訊保護能力。我們所熟悉的保護範圍包括系統的各類敏感資訊,比如中介軟體的資訊、資料庫的資訊,還有一些錯誤程式碼等,這類資訊的洩露會讓攻擊者找到可利用的風險點來進行針對性打擊。那麼在實戰當中,還有兩類資訊需要重點關注,一是使用者的人員資訊,包括各種聯絡方式,我們需要識別和過濾這類隱私資訊,防止被釣魚和口令爆破的風險;另外還需要關注供應鏈的資訊,可以透過自定義關鍵詞的方式來防止使用者關鍵裝置或系統的資訊被洩露,消除被利用風險。
第三個是掃描試探防護能力,可以透過“特徵匹配+行為分析”相結合的檢測模式來實現。一方面可以透過識別威脅特徵,發現並攔截非法掃描;另一方面可以透過行為分析的方式,比如構建一些掃描陷阱來捕獲異常訪問,從而攔截惡意試探等風險行為。
第四個是BOT攻擊防護能力,我們知道實際攻擊當中,攻擊者會用一些自動化的指令碼工具代替人工來執行高頻的、大量的、持續的攻擊試探,也就是我們常說的機器人攻擊,從防守而言,我們可以針對BOT攻擊的特點,透過驗證碼、動態令牌和限速等方式來反制BOT攻擊,用最高效的方式來遮蔽掉一些指令碼工具、暴力破解、掃描工具和爬蟲工具等,進一步減輕防守壓力。
構築第一道防線可以總結為以下三點:
1、收緊暴露面,降低被攻擊風險;
2、過濾噪音攻擊,減輕藍隊的值守壓力;
3、識別未知風險,提升主動防護的能力。
今天關於構建藍隊第一道防線的內容介紹就到這裡,感謝大家的關注,後續我們將陸續帶來第二道和第三道防線的介紹,希望我們的分享可以切實幫助大家築牢安全防線,下期見~
瞭解更多