【兵臨城下】系列公開(kāi)課是盛邦安全基于多年攻防實(shí)戰(zhàn)經(jīng)驗(yàn)，針對(duì)重保及攻防演習(xí)等場(chǎng)景而推出的系列直播活動(dòng)，將從資產(chǎn)暴露面梳理、攻擊面管理、脆弱性自查、安全防線加固、協(xié)同聯(lián)動(dòng)防御以及攻擊溯源、應(yīng)急響應(yīng)等全流程進(jìn)行梳理。

本期公開(kāi)課的主題是“構(gòu)建藍(lán)隊(duì)第一道防線之基于人機(jī)識(shí)別的攻擊面收斂”，以下實(shí)錄文字供大家參考。

各位線上的朋友大家好，我是盛邦安全的聶曉磊，接下來(lái)的幾期我們會(huì)重點(diǎn)為大家分享攻防實(shí)戰(zhàn)當(dāng)中防守側(cè)的一些實(shí)用技巧。今天這一期的主題是如何利用人機(jī)識(shí)別等技術(shù)構(gòu)建藍(lán)隊(duì)防守中的第一道防線。

通過(guò)前面幾期的分享，大家了解了實(shí)戰(zhàn)化對(duì)抗中的關(guān)鍵點(diǎn)以及暴露面風(fēng)險(xiǎn)管理的重要性，我們說(shuō)防守之所以困難，主要原因就在于攻防不對(duì)等。對(duì)于攻擊者而言，可以有漏洞利用、口令爆破、后門(mén)等各種攻擊手段，只要找到一個(gè)突破口就可以達(dá)到目的；而對(duì)于防守方來(lái)說(shuō)卻需要面面俱到，疲于應(yīng)付各種入侵威脅，往往都存在暴露面不清、風(fēng)險(xiǎn)不明、人員不足等問(wèn)題。所以說(shuō)，攻防是一場(chǎng)資源的比拼，防守側(cè)無(wú)法做到不計(jì)成本的投入，只有從攻擊者的視角來(lái)分析，找到防守的關(guān)鍵點(diǎn)才是制勝之道。

首先，我們來(lái)看幾個(gè)真實(shí)案例：某高校的師生信息泄露，導(dǎo)致攻擊者利用掌握的信息對(duì)VPN進(jìn)行口令試探并成功登錄，直接進(jìn)入內(nèi)網(wǎng)；某企業(yè)的官網(wǎng)存在未修復(fù)的漏洞，攻擊者通過(guò)漏洞利用，獲取到了網(wǎng)站后臺(tái)權(quán)限，直接繞過(guò)了邊界防護(hù)進(jìn)入內(nèi)網(wǎng)；第三個(gè)例子是一家研究機(jī)構(gòu)，他們的出口防火墻有0day漏洞，攻擊者通過(guò)漏洞直接獲得了防火墻權(quán)限，并且隨意修改了安全策略，從而繞過(guò)邊界防護(hù)?？偨Y(jié)來(lái)看，一條完整的攻擊路徑都是先找到目標(biāo)暴露面的薄弱點(diǎn)，通過(guò)各種手段繞過(guò)邊界后進(jìn)入內(nèi)網(wǎng)，之后再想方設(shè)法找到關(guān)鍵系統(tǒng)，最終獲取目標(biāo)權(quán)限。

我們可以從邏輯上進(jìn)一步分解攻擊路徑。概況來(lái)講，攻擊的過(guò)程大體可以分為：前期試探、邊界突破、定向打擊和橫向擴(kuò)散。

在前期試探和邊界突破時(shí)，攻擊者需要搜集足夠的目標(biāo)信息，掌握目標(biāo)的暴露面情況，嘗試各種可利用的突破口；當(dāng)繞過(guò)邊界之后就開(kāi)始找關(guān)鍵系統(tǒng)，比如域控、集中管理平臺(tái)、云管平臺(tái)等各類(lèi)集權(quán)系統(tǒng)實(shí)施重點(diǎn)打擊。這時(shí)候可能就會(huì)使用破壞力強(qiáng)的0day漏洞，嘗試各種口令爆破和越權(quán)攻擊，只有成功攻陷才能掌握內(nèi)網(wǎng)的制高點(diǎn)；之后在內(nèi)網(wǎng)還需要嘗試各種橫向的掃描滲透，找到核心系統(tǒng)并獲取其權(quán)限，再植入后門(mén)，最終竊取重要數(shù)據(jù)，這樣才算達(dá)成目標(biāo)。

雖然攻擊者可利用的手段非常之多，但依然有必要條件，所以反過(guò)來(lái)就防守而言，則可以根據(jù)其必要條件來(lái)制定防護(hù)要點(diǎn)，那就是收斂攻擊面、守好關(guān)鍵點(diǎn)、防內(nèi)網(wǎng)失陷，也就是我們所講的防守時(shí)的三道防線。

今天的內(nèi)容我們先來(lái)看第一道防線——基于人機(jī)識(shí)別的攻擊面收斂。針對(duì)攻擊方前期的“踩點(diǎn)式”攻擊，我們可以利用人機(jī)識(shí)別、行為分析等技術(shù)來(lái)構(gòu)筑工事，形成第一道防線。這道防線一方面需要防止敏感信息泄露，減少攻擊者的可乘之機(jī)；另一方面需要攔截各種掃描與試探行為，過(guò)濾攻擊噪音，減輕內(nèi)網(wǎng)的防守壓力，從而達(dá)到收斂攻擊面的目標(biāo)。

第一道防線可以選擇的產(chǎn)品很多，我們用WAF和API防護(hù)系統(tǒng)舉例，可以啟用防護(hù)對(duì)象識(shí)別、API資產(chǎn)識(shí)別、敏感信息過(guò)濾、弱口令試探檢測(cè)與攔截等功能，部署位置可以根據(jù)實(shí)際情況來(lái)定。

在這里需要注意的一點(diǎn)是，我們必須要改變傳統(tǒng)的設(shè)備部署思路，比如WAF就應(yīng)該放在對(duì)外發(fā)布區(qū)的邊界，API防護(hù)放在業(yè)務(wù)服務(wù)區(qū)的邊界等等。實(shí)際上，安全管理區(qū)也有web服務(wù)，比如各種設(shè)備的管理入口，辦公區(qū)也可能有對(duì)外服務(wù)，比如有人會(huì)私搭一些測(cè)試環(huán)境，而這些服務(wù)才有可能成為攻擊者的突破口。防護(hù)設(shè)備的部署，必須針對(duì)防守中的薄弱環(huán)節(jié)和可能的失陷點(diǎn)，靈活地進(jìn)行“查漏補(bǔ)缺”。

接下來(lái)我們介紹第一道防線中涉及的幾個(gè)核心能力。首先是保護(hù)對(duì)象識(shí)別。以WAF為例，我們可以通過(guò)流量學(xué)習(xí)、主動(dòng)探測(cè)和手動(dòng)錄入等多種方式，幫助用戶(hù)建立全面清晰的資產(chǎn)信息庫(kù)，區(qū)分不同類(lèi)型的保護(hù)對(duì)象，之后按照不同的業(yè)務(wù)類(lèi)型來(lái)設(shè)定防護(hù)。這里舉了兩個(gè)例子，一是按照業(yè)務(wù)范圍來(lái)匹配防護(hù)模板，不同的防護(hù)模板中有適用于該保護(hù)對(duì)象的安全策略；二是根據(jù)資產(chǎn)屬性來(lái)匹配具體的安全規(guī)則，實(shí)現(xiàn)精準(zhǔn)防護(hù)。

第二個(gè)是敏感信息保護(hù)能力。我們所熟悉的保護(hù)范圍包括系統(tǒng)的各類(lèi)敏感信息，比如中間件的信息、數(shù)據(jù)庫(kù)的信息，還有一些錯(cuò)誤代碼等，這類(lèi)信息的泄露會(huì)讓攻擊者找到可利用的風(fēng)險(xiǎn)點(diǎn)來(lái)進(jìn)行針對(duì)性打擊。那么在實(shí)戰(zhàn)當(dāng)中，還有兩類(lèi)信息需要重點(diǎn)關(guān)注，一是用戶(hù)的人員信息，包括各種聯(lián)系方式，我們需要識(shí)別和過(guò)濾這類(lèi)隱私信息，防止被釣魚(yú)和口令爆破的風(fēng)險(xiǎn)；另外還需要關(guān)注供應(yīng)鏈的信息，可以通過(guò)自定義關(guān)鍵詞的方式來(lái)防止用戶(hù)關(guān)鍵設(shè)備或系統(tǒng)的信息被泄露，消除被利用風(fēng)險(xiǎn)。

第三個(gè)是掃描試探防護(hù)能力，可以通過(guò)“特征匹配+行為分析”相結(jié)合的檢測(cè)模式來(lái)實(shí)現(xiàn)。一方面可以通過(guò)識(shí)別威脅特征，發(fā)現(xiàn)并攔截非法掃描；另一方面可以通過(guò)行為分析的方式，比如構(gòu)建一些掃描陷阱來(lái)捕獲異常訪問(wèn)，從而攔截惡意試探等風(fēng)險(xiǎn)行為。

第四個(gè)是BOT攻擊防護(hù)能力，我們知道實(shí)際攻擊當(dāng)中，攻擊者會(huì)用一些自動(dòng)化的腳本工具代替人工來(lái)執(zhí)行高頻的、大量的、持續(xù)的攻擊試探，也就是我們常說(shuō)的機(jī)器人攻擊，從防守而言，我們可以針對(duì)BOT攻擊的特點(diǎn)，通過(guò)驗(yàn)證碼、動(dòng)態(tài)令牌和限速等方式來(lái)反制BOT攻擊，用高效的方式來(lái)屏蔽掉一些腳本工具、暴力破解、掃描工具和爬蟲(chóng)工具等，進(jìn)一步減輕防守壓力。

構(gòu)筑第一道防線可以總結(jié)為以下三點(diǎn)：

1、收緊暴露面，降低被攻擊風(fēng)險(xiǎn)；

2、過(guò)濾噪音攻擊，減輕藍(lán)隊(duì)的值守壓力；

3、識(shí)別未知風(fēng)險(xiǎn)，提升主動(dòng)防護(hù)的能力。