【兵臨城下】系列公開課是盛邦安全基於多年攻防實戰經驗,針對重保及攻防演習等場景而推出的系列直播活動,將從資產暴露面梳理、攻擊面管理、脆弱性自查、安全防線加固、協同聯動防禦以及攻擊溯源、應急響應等全流程進行梳理,陸續上線十幾場的直播分享活動,大家可以關注【盛邦安全影片號】提前預約直播活動。
本期公開課的主題是“構建藍隊第二道防線——針對駭客行為的專項防護規則”,以下實錄文字供大家參考。
各位線上的朋友大家好,我是盛邦安全的聶曉磊,今天我們繼續來分享攻防實戰中的防守技巧。上一期我們講到,根據攻擊者的特點和路徑分析,在防守過程中需要建立三道防線:收斂攻擊面、守好關鍵點和內網防失陷。
假如攻擊者已經突破了第一道防線,開始尋找重點目標,那麼接下來我們應該怎麼做呢?首先還是要分析攻擊者的下一步動作,上一期我們提到過,攻擊者自己的資源也是有限的,因此他們不會輕易的暴露自己。所以,在重點突擊時,他們既不能大範圍的進行掃描,也不能使用特徵過於明顯的攻擊,這些都很容易暴露而導致攻擊IP被封堵,當然也不能慢條斯理地做各種嘗試。
在有限的時間、有限的資源內,也就是說在有限的攻擊視窗期內,攻擊者會緊盯一些所謂的“高價值”目標採取行動。在這裡我們列舉了三類典型的系統:
一、辦公系統,比如OA系統或者郵件伺服器等。這類系統的特點是目標明顯、好找,但是承載的使用者資訊卻很多,一旦被攻擊者控制就會洩露大量的情報資訊,既可以被用來釣魚,又可以用來製作口令爆破的字典等等,是攻擊者喜歡的突破口之一。
二、遠控系統,比如一些遠端桌面的系統、VPN系統等等。很顯然,這類系統本身就是用來遠端辦公和協作的,所以天然具有直通內網的通道,一旦被控制就相當於暴露了內網環境。
三、集權系統,包括堡壘機、域控,各種管理平臺比如雲管平臺等等,這類系統普遍具有更高的內網許可權,並且與內網的其他系統互動較多,所以是攻擊者關注的重點,一旦被控制就直接威脅到核心系統的安全。
針對這些重點目標,攻擊者採用的突破方式有很多,但這幾年大家提及較多的還是0day漏洞。因為0day漏洞的特點是還未公開或剛剛公佈,所以沒有提前檢測的POC用例,也沒有針對性很強的防護規則,所以對目標系統的威脅較大。
在這裡我們列舉了幾類需要重點注意的漏洞型別,包括OA、專案管理等業務系統的漏洞;各類裝置或產品的漏洞,比如VPN或者防毒軟體的管理控制檯等;當然還有作業系統的漏洞,大家需要重點關注一些身份管理類、遠端控制類和遠端執行類的漏洞;最後就是熱度較高也是大家通常較頭疼的漏洞——中介軟體類的漏洞,這裡列舉的都是容易出現的型別,比如S2的漏洞、WebLogic的漏洞、Shiro的反序列化漏洞等等。
這些系統或元件的利用率高,攻擊者的關注度也高,因此漏洞出現的也很頻繁,對於防守方而言必須要持續關注和反覆檢查。
那麼面對這些防不勝防的攻擊,防守方怎麼做才能守住自己的關鍵系統呢?我們概括了重點目標防護的“三步走”:最小化許可權控制、專項規則防護和白名單防護。
首先,要對系統自身加強安全控制,限制開放的許可權,細化訪問控制策略並做好審計工作;然後針對攻擊者可能採用的手段建立專項的防護規則,針對性的進行攔截,收縮防守陣地;最後,對於核心保護物件,在靠近系統的位置建立白名單策略,採用嚴格的防護手段。這其實也是縱深的一種思路。
這就是我們今天要分享的第二道防線,針對駭客行為的專項防護規則。為了應對攻擊方在中期的定向突破行為,透過專項規則加白名單相結合的方式來構築防線,一方面可以有針對性的攔截高危的攻擊,另一方面可以透過非白即黑的策略來遮蔽異常訪問,從而達到守好關鍵點的效果。總之,在第二道防線中我們要做到三點,嚴把關鍵位置、嚴防定向攻擊和嚴守關鍵系統。
從產品部署和技巧來看,第二道防線除了進行查漏補缺的部署之外,還需要靈活應用縱深防禦的思想,在邊界部署準確率高的專項規則,在靠近目標伺服器的位置則針對性的設定白名單策略,找到業務和安全的平衡點。
第二道防線中的幾個核心技術能力:
一、專項規則。我們根據攻擊者常採用的漏洞利用攻擊和後門工具攻擊,針對性建立了幾套專項檢測規則,包括熱門元件漏洞的規則、重點裝置漏洞的規則,還有各種webshell和遠控工具的規則。這些規則覆蓋了近幾年各類實戰攻防場景中的攻擊手段,以及熱門高危漏洞,後續我們會持續更新,確保防守側能夠進行精準判斷;另外,除了專項規則的維護外,我們還透過語義分析和機器學習引擎來進行訓練以應對變種威脅。
二、口令爆破防護。針對重點目標的口令安全,我們利用口令字典、反向校驗與請求限制等方式來檢查和攔截,包括對預設口令的收集和各類簡單口令、重複口令的編制。概括而言,該技術的要點就是檢查口令的健壯性、訪問來源的真實性和請求行為的合法性。
三、內網防DDoS。在實戰中由於DDoS比較依賴資源支撐並且需要應對各種限制,因此在外網側相對較少。但攻擊者進入內網後,為了獲取目標系統的許可權,則可能會採用DDoS攻擊消耗其系統資源,從而導致系統處理異常並暴露缺陷。因此,在內網,我們可以採用連線限制加DDoS識別清洗的方式來做綜合防護。
四、自學習白名單的能力。針對核心系統,我們在前面專項規則的防護下,還可以再加一道保險,那就是白名單。其實白名單是一種嚴格的安全策略,如果業務系統自身設計不規範,白名單策略很容易造成誤傷。但是在實戰化場景中,白名單的防護又是更可靠的,因此我們為了兼顧業務和安全,一方面需要將白名單策略建立在最貼近業務的位置,另一方面需要採用自學習的方式來建立白名單模型,兼顧業務的可用性。根據以往的經驗,通常會提前至少兩週進行業務學習和建模,保證系統蒐集足夠的正常業務樣本,之後直接啟用白名單策略,這樣就能達到更好的防護效果。
概括而言,構築第二道防線可總結為以下三點:
1、建立專項規則,應對0day威脅等高危攻擊,提高攻擊檢測精度;
2、建立白名單策略,提升對重點系統和關鍵業務的安全防護強度;
3、守好關鍵系統,整體上降低內網失陷風險。
今天關於第二道防線的介紹就到這裡,後續我們還將帶來第三道防線的介紹,歡迎大家在影片號中預約直播活動,下期見~
瞭解更多