重保季|從“閃電戰(zhàn)”到“持久戰(zhàn)”，構建云上安全三道防線

隨著國際、國內(nèi)網(wǎng)絡安全局面的復雜化、企業(yè)數(shù)字化程度的加深以及數(shù)字世界不同主體之間的聯(lián)動加深,組織、參與實戰(zhàn)演練就成為政府、企業(yè)及社會各界非常重視,也是我們安全建設者們一年一度的重要工作。

參與單位不斷擴大,覆蓋企業(yè)業(yè)務單元越來越豐富,對抗演練越來越“真實”,攻防過程也逐漸從完成任務似的“交作業(yè)”,變成真正檢驗自身業(yè)務安全和體系穩(wěn)定的利器。

另外,針對今年攻防演練行動的特殊變化,也需要相應的能力升級。例如,時間長度的拉長和參與主體的增多,一方面會導致原有安全防御策略的失效,另一方面也會更大程度的暴露攻擊面,尤其是一些新納入攻防演練的主體,可能會陷入“被攻破后原地躺平”的風險。

俗話說,“工欲善其事,必先利其器”,這里我們就針對2024年的一些新任務、新變化和新挑戰(zhàn),向大家推薦實戰(zhàn)攻防演練的“神器”。

——云原生安全——

隨著企業(yè)的數(shù)據(jù)&業(yè)務部分或全量上云,就勢必會遇到云安全的問題?；氐焦シ姥菥毜膱鼍皝砜?最直接的就是讓攻防兩端的戰(zhàn)場變大、攻防手段增多、攻擊烈度增加。對于防御者,要做到云安全和傳統(tǒng)安全相輔相成。

首先,是安全產(chǎn)品。諸如主機安全、終端安全、威脅情報等傳統(tǒng)高能效產(chǎn)品,同樣可以在云上應用,快速構建云安全的基石。

其次,云上的安全工具和云端的資源池,可以快速提供風險評估、威脅檢測、安全事件溯源取證的工作,有效提升現(xiàn)有安全體系的防御效能和效率,或是在特殊的時間節(jié)點快速提升主體的安全防御力。

第三,落實到特定行業(yè),如金融、交通、出行等大型行業(yè),除了網(wǎng)絡安全法等“上位法”以外,還有大量的行業(yè)法規(guī)、規(guī)定、規(guī)范要遵循。通過選用云平臺的安全資源,也可以保證企業(yè)在云端運行的資產(chǎn)可以快速滿足合規(guī)要求,以較低成本建立安全基線。

——紅藍對抗的五個階段——

Step1信息收集:東搜西羅,打探軍情

信息收集是攻擊第一步,也是最關鍵的一個階段。信息的收集深度直接決定了滲透過程的復雜程度。在展開攻擊前,藍軍往往會先對企業(yè)資產(chǎn)暴露面進行分析,對目標企業(yè)進行資產(chǎn)信息收集。

●從公開信息入手,利用FOFA、SHODAN、搜索引擎等,搜集域名、IP等資產(chǎn)信息;利用天眼查、企查查等獲取企業(yè)相關信息;

●通過主機掃描、端口掃描、系統(tǒng)類型掃描等途徑,發(fā)現(xiàn)攻擊目標的開放端口、服務和主機,并對目標服務器指紋和敏感路徑進行探測識別,完成攻擊面測繪及企業(yè)防護薄弱點的梳理;

除了技術手段,攻擊者還會利用社會工程學或企業(yè)泄露在外的敏感信息,借助釣魚攻擊等方式獲取賬號密碼等關鍵信息,提升攻擊成功率。

※ 應對要訣:摸清家底、部署防線

資產(chǎn)管理是安全防護的第一要務。建議企業(yè)先通過云安全中心明晰防護對象現(xiàn)狀,對IP、端口、Web服務等暴露在外的資產(chǎn)進行全盤測繪。同時,構建云上三道防線,實時感知安全風險,做好資產(chǎn)加固。

Step2漏洞分析:順藤摸瓜,伺機行事

漏洞是藍軍撕開防線的重要武器,藍軍攻擊路徑的確認依賴于對漏洞的探測分析結(jié)果。

●根據(jù)信息收集階段梳理的企業(yè)資產(chǎn)信息(包括Web指紋、高危服務等),利用漏洞掃描器、指紋對應的已知漏洞或自行代碼審計挖掘的0day漏洞來進行外網(wǎng)打點;

●尋找到可被利用的攻擊突破口后,確認外部攻擊入侵路徑并進行攻擊驗證。

※ 應對要訣:非必要不暴露,先緩解再修復

完成資產(chǎn)清點后如何對藍軍的攻擊路徑進行封堵?首先,企業(yè)需進一步收斂資產(chǎn)暴露面,做到非必要不暴露,必須對外的業(yè)務務必重點加固。針對漏洞風險,集成三道防線和云安全中心統(tǒng)籌能力對漏洞等互聯(lián)網(wǎng)暴露面做有效收斂。

Step3滲透攻擊:順手牽羊,乘虛而入

當分析得到有效漏洞入侵攻擊路徑之后,藍軍將針對目標服務器的脆弱性發(fā)起滲透攻擊。

●利用反序列化漏洞、命令執(zhí)行漏洞、代碼執(zhí)行漏洞、任意文件上傳漏洞、文件包含漏洞、表達式注入漏洞、JNDI注入漏洞、SSTI、SSI、XXE、SQL注入、未授權訪問漏洞等類型的已知高危漏洞或挖掘的0day漏洞來getshell或獲取敏感數(shù)據(jù)庫權限;

●獲取外網(wǎng)入口點,為進一步進行橫向滲透打下?lián)c。

※ 應對要訣:知己知彼,對癥下藥

針對不同類型的攻擊,可通過云安全中心聯(lián)動三道防線部署全面的安全管控策略。針對已知來源、手法攻擊進行實時檢測、攔截;針對未知威脅,利用云防火墻網(wǎng)絡蜜罐能力,將仿真服務通過探針暴露在公網(wǎng)對未知攻擊者進行誘捕并反制。

Step4橫向滲透:聲東擊西,持續(xù)滲透

藍軍成功通過外網(wǎng)打點突破邊界之后,會基于getshell的入口點繼續(xù)進行橫向滲透,逐步擴大攻擊成果。

●為了深入了解內(nèi)網(wǎng)情況,攻擊者會先對本機系統(tǒng)信息、網(wǎng)絡架構信息、域信息等進行收集,梳理目標內(nèi)網(wǎng)資產(chǎn)信息(包括內(nèi)網(wǎng)網(wǎng)段、開啟的主機、服務等);

●針對內(nèi)網(wǎng)存在漏洞的資產(chǎn)進行滲透攻擊并搭建內(nèi)網(wǎng)隧道,增加滲透入侵攻擊路徑。

※ 應對要訣:精準隔離,部署陷阱

針對內(nèi)網(wǎng)滲透攻擊,需進行細粒度網(wǎng)絡隔離。同時主動出擊,對藍軍行為進行持續(xù)監(jiān)控,在內(nèi)網(wǎng)增設網(wǎng)絡蜜罐陷阱,有效溯源反制攻擊者,拖延攻擊時間,為正常業(yè)務爭取寶貴的安全加固時間。

Step5瞞天過海,長期潛伏

在后滲透階段,藍軍會盡可能保持對系統(tǒng)的控制權,并進行痕跡清理防止?jié)B透入侵行為被溯源。

●根據(jù)是否為高權限用戶來決定是否進行權限提升;拿到高權限之后,為了持久化滲透目標內(nèi)網(wǎng),藍軍會利用各種持久化后門技術來進行長久的權限維持,包括Rootkit、內(nèi)存馬、crontab后門、寫ssh公鑰、LD_PRELOAD劫持函數(shù)、新增隱藏用戶、替換bash后門、環(huán)境變量植入后門、啟動項后門等等利用方式;

●在整個滲透測試目標達成之后,藍軍會對滲透的目標主機進行痕跡清除,包括history清理、應用日志清理、系統(tǒng)日志清理、權限維持后門清理、新增用戶清理等。

※ 應對要訣:做好日志管理,有效取證溯源

在這個階段,藍軍需要持續(xù)做好日志管理,以確保無論是在事前、事中、事后,都可以通過日志分析提升自身的應對效率?？梢越柚瓢踩行穆?lián)動分析報告、攻擊日志統(tǒng)一管理能力,結(jié)合威脅情報提供攻擊者行為畫像(包括戰(zhàn)術、手法、環(huán)境、樣本等),有效實現(xiàn)攻擊溯源和反制。

三道防線

建立高效全面的防護體系

根據(jù)過往重保經(jīng)驗,外網(wǎng)打點、釣魚攻擊、內(nèi)存馬攻擊在攻防演練場景中經(jīng)常出現(xiàn)。為幫助企業(yè)建立更全面、高效的防護體系,騰訊安全推出“一站式重保解決方案,構筑三道堅實的安全防線。

(騰訊云上安全三道防線, 一站式重保解決方案)

第一道防線——騰訊云防火墻:提供訪問控制、入侵防御、身份認證等安全能力,可自動梳理云上資產(chǎn)、發(fā)現(xiàn)并收斂暴露面;

第二道防線——騰訊云Web應用防火墻:可為企業(yè)提供面向Web網(wǎng)站、APP和小程序的多端一體化防護能力,幫助用戶應對Web攻擊、0day漏洞利用、爬蟲、敏感數(shù)據(jù)泄漏、DDoS攻擊等安全防護問題,保障重保及常態(tài)情景下的業(yè)務與數(shù)據(jù)安全;

第三道防線——騰訊云主機/容器安全:可為企業(yè)實時監(jiān)控內(nèi)存馬、變種病毒等新型威脅,一鍵精準防御熱點漏洞攻擊,自動化調(diào)查入侵事件;為云上、云下主機/容器提供進程級縱深防護;

安全中心——管理三道防線、多賬號、多云統(tǒng)一管理:聯(lián)動各產(chǎn)品原子能力,實現(xiàn)云安全的一站式聯(lián)動控制、功能互通與數(shù)據(jù)協(xié)同,極大提效安全運營與響應。

由于云安全的范疇十分寬泛,這里選擇幾個典型的攻防演練場景,為遇到類似問題的客戶提供“錦囊”。

重保場景下基于情報的自動化封禁:

在執(zhí)行重保任務或攻防演練期間,往往面臨著攻擊數(shù)量和頻次的指數(shù)級增長,原有的防御體系會瞬間承壓。通過人工手動封禁IP,無法面對重大安全保障活動期間的快速響應要求。

那么在發(fā)現(xiàn)惡意IP訪問、內(nèi)網(wǎng)反連C2服務器端時,必須實時自動化封禁以實現(xiàn)精準打擊,并降低誤傷概率。云端(通過云WAF和WAF的API)、數(shù)據(jù)中心(通過WAF)集成威脅情報平臺,自動導入威脅來源種子,實施自動化的導入和封禁。

同時,還可以利用威脅情報平臺集成開源情報、商業(yè)情報和安全團隊自研情報,增強打擊力度。

(騰訊安全威脅情報基于多場景復雜異構的情報源積累)

APP&小程序安全防護體系:

APP和小程序是多數(shù)企業(yè)鏈接用戶和客戶的最直接路徑,同樣也是近幾年安全風險的最大敞口。以汽車行業(yè)為例,供應鏈上下游聯(lián)動、內(nèi)部管理、客戶服務、生產(chǎn)交付等,往往都依賴APP&小程序,使得大量新的終端(手機、PAD、車機、車輛系統(tǒng)等)具備聯(lián)網(wǎng)能力。

黑客或者攻擊方,很有可能針對APP&小程序的漏洞發(fā)起攻擊。通過騰訊云安全提供的小程序安全加速防護體系,可以幫助客戶實現(xiàn)Web端、小程序端和APP端的統(tǒng)一安全保障。

首先它通過微信的私有安全協(xié)議,二次加密封裝企業(yè)的數(shù)據(jù)和接口,大大提高了外部抓包破解門檻,有效保障了企業(yè)端到端的數(shù)據(jù)傳輸安全;其次通過整合端側(cè)賬號風控能力、用戶特征分析模型、分布式安全抗D能力和WAF的AI+規(guī)則雙引擎防護優(yōu)勢,為用戶APP和小程序提供了“端+網(wǎng)關”的的雙重安全保障,全方位保障重保時期企業(yè)用戶業(yè)務的安全、高效、穩(wěn)定運行。

AI安全大模型賦能基礎安全解決方案:

大模型正在加速產(chǎn)業(yè)應用的落地,在云安全范疇,同樣可以通過AI大模型的力量,來改善和強化產(chǎn)品體驗與能力。另一方面,云平臺也可以通過AI算法的增強,提升剪出效率,優(yōu)化性能占用率。

在安全服務方面,引入大模型能力提升服務的精度、增強響應時間和自動化服務的程度和覆蓋面。收斂到攻防的場景,一是利用AI針對高頻操作場景實現(xiàn)自動化,使原本繁雜的人工處置工作被大大提速;另一方面比較依賴知識擴展的場景,也可以利用AI幫助做一些分析,使復雜問題簡單化、顯性化。

此外,涉及到數(shù)據(jù)庫和開發(fā)環(huán)境的問題,可以基于AI的引入,最小化事件響應時間,快速觸達事件的本因,從而實現(xiàn)快速處理。

（免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。 ）