“系統(tǒng)運(yùn)行正常,風(fēng)險(xiǎn)態(tài)勢可控�,安全管理有序,到點(diǎn)正常交接”�,可以說是每一位藍(lán)隊(duì)成員都向往的生活。
這幾年談到攻防演練,關(guān)注度最高的非0day�����、1day漏洞莫屬�。顧名思義,0day漏洞指的就是尚未公開的新漏洞��;而1day漏洞指的則是剛公開不久的漏洞�����,由于沒有對(duì)應(yīng)的PoC檢測用例����,也缺乏確定的漏洞利用檢測規(guī)則,因此常被攻擊者們用來實(shí)施出其不意的打擊���,對(duì)用戶而言���,防守難度大����,極易成為防線失守的決堤點(diǎn)。
“盡管0day漏洞威脅較大,也難以預(yù)知�,但并非防不勝防”,防護(hù)線市場總監(jiān)聶曉磊說到�����,“我們可以從攻擊者的視角來分析其利用路徑�����,找到防守的關(guān)鍵點(diǎn)”��。
以一個(gè)典型場景為例���,假設(shè)用戶所用OA系統(tǒng)存在0day漏洞���,而攻擊者的目標(biāo)是攻陷內(nèi)網(wǎng)核心數(shù)據(jù)服務(wù)器,那么攻擊路徑可能分為如下幾步:
通過對(duì)攻擊路徑的分析不難看出�����,0day漏洞固然可怕���,但攻擊者想要成功利用���,至少還需要幾個(gè)必要條件:一��、繞過邊界防護(hù)����,二��、找到關(guān)鍵系統(tǒng)��,三���、可以在內(nèi)網(wǎng)擴(kuò)大戰(zhàn)果�����。那么對(duì)防守方而言��,做好暴露面自查�����、守好關(guān)鍵路徑���、加強(qiáng)內(nèi)網(wǎng)橫向防護(hù)和對(duì)重要系統(tǒng)的保護(hù)則是控制0day漏洞影響的關(guān)鍵點(diǎn)。
通過對(duì)攻擊路徑的分析不難看出��,0day漏洞固然可怕����,但攻擊者想要成功利用,至少還需要幾個(gè)必要條件:一����、繞過邊界防護(hù),二�、找到關(guān)鍵系統(tǒng),三����、可以在內(nèi)網(wǎng)擴(kuò)大戰(zhàn)果。那么對(duì)防守方而言���,做好暴露面自查��、守好關(guān)鍵路徑���、加強(qiáng)內(nèi)網(wǎng)橫向防護(hù)和對(duì)重要系統(tǒng)的保護(hù)則是控制0day漏洞影響的關(guān)鍵點(diǎn)。
盛邦安全Web應(yīng)用防護(hù)系統(tǒng)(RayWAF)結(jié)合自身攻擊檢測與防御的經(jīng)驗(yàn)����,形成一套專門應(yīng)對(duì)0day漏洞攻擊的五重保障方案��,無論是在日常管理還是重保值守中���,都能夠?yàn)橛脩籼峁┚珳?zhǔn)、可靠的防護(hù)能力����。
第一重:敏感信息防泄露,減少暴露面
攻防首先拼的是信息和情報(bào)���。對(duì)于攻擊者而言����,提前搜集足夠多的目標(biāo)信息后��,可以發(fā)起釣魚攻擊����,也可以做定向打擊,這樣就能更快地找到突破口���,攻擊成功的機(jī)會(huì)也更大�����。因此對(duì)防守方而言�����,就要盡量避免敏感信息被獲取和利用�。
RayWAF敏感信息防泄露功能�����,既可以防止服務(wù)器關(guān)鍵信息外泄�����,讓攻擊者不得其法�;又能夠識(shí)別和過濾用戶敏感信息,如員工姓名�����、聯(lián)系方式等���,從而降低被釣魚風(fēng)險(xiǎn)��,幫助用戶減少暴露面風(fēng)險(xiǎn)�。
第二重:掃描陷阱加限速,收斂攻擊面
除了對(duì)自身暴露面風(fēng)險(xiǎn)加強(qiáng)管控����,減少非必要對(duì)外開放的系統(tǒng)和服務(wù)、避免帶病資產(chǎn)運(yùn)行之外�����,還需要通過技術(shù)手段進(jìn)一步強(qiáng)化邊界防護(hù)和訪問控制�。
RayWAF支持掃描陷阱防護(hù)功能,可以準(zhǔn)確識(shí)別非法掃描行為��,配合智能限速模塊���,有效攔截攻擊者的初期試探和暴力破解等活動(dòng)�����,從而幫助用戶收斂攻擊面����。
第三重:人機(jī)識(shí)別加語義,擴(kuò)大防護(hù)面
針對(duì)0day攻擊等新型����、未知和隱蔽的威脅,傳統(tǒng)的靜態(tài)檢測規(guī)則通常僅能覆蓋已知威脅�,難以做到全面發(fā)現(xiàn)和準(zhǔn)確識(shí)別。
RayWAF人機(jī)識(shí)別能力�����,則可以主動(dòng)出擊��,對(duì)攻擊源進(jìn)行反向驗(yàn)證�,區(qū)分正常訪問和異常行為�����;同時(shí)��,RayWAF還支持語義分析檢測引擎��,可以利用語義和上下文線索來判斷攻擊邏輯�����,從而有效發(fā)現(xiàn)未知威脅,從整體上實(shí)現(xiàn)防護(hù)面的擴(kuò)大�����。
第四重:業(yè)務(wù)建模白名單�����,守好關(guān)鍵點(diǎn)
對(duì)于重要系統(tǒng)和核心業(yè)務(wù)�,RayWAF可以通過流量自學(xué)習(xí)建模的功能,為其建立業(yè)務(wù)訪問白名單模型����,僅允許匹配白名單的正常行為通過,對(duì)于任何異常和非法的訪問一律進(jìn)行攔截�,從而提供最強(qiáng)硬的防護(hù)手段,幫助用戶守好關(guān)鍵點(diǎn)����。
第五重:外聯(lián)檢測加蜜罐,內(nèi)網(wǎng)防失陷
針對(duì)內(nèi)網(wǎng)安全的加固����,用戶一方面需要清晰劃分業(yè)務(wù)區(qū)域、合理分配訪問權(quán)限�,另一方面還可以利用行為分析和誘捕防御等手段來提升內(nèi)網(wǎng)安全性。
RayWAF的外聯(lián)檢測功能,可以及時(shí)發(fā)現(xiàn)內(nèi)網(wǎng)主機(jī)失陷后的受控外聯(lián)通道并進(jìn)行阻截�����;同時(shí)還支持蜜罐策略��,可以充分利用用戶空閑的網(wǎng)絡(luò)資源來建立誘捕環(huán)境���,一旦攻擊者在內(nèi)網(wǎng)發(fā)起掃描活動(dòng)���,可以第一時(shí)間將其捕獲并進(jìn)行溯源反制��。
通過五重保障方案�����,盛邦安全RayWAF不僅能夠幫助用戶建立可靠的安全防護(hù)體系�、抵御0day攻擊等威脅;還能夠有效減輕用戶單位重保及攻防演練期間的值守壓力����,讓藍(lán)隊(duì)get屬于防守方的向往的生活。有備����,則無患����。
