【兵臨城下】系列公開課是盛邦安全基于多年攻防實戰(zhàn)經驗����,針對重保及攻防演習等場景而推出的系列直播活動���,將從資產暴露面梳理����、攻擊面管理��、脆弱性自查����、安全防線加固、協(xié)同聯(lián)動防御以及攻擊溯源��、應急響應等全流程進行梳理����。
本期公開課的主題是“構建藍隊第二道防線——針對黑客行為的專項防護規(guī)則”,以下實錄文字供大家參考�。
各位線上的朋友大家好,我是盛邦安全的聶曉磊��,今天我們繼續(xù)來分享攻防實戰(zhàn)中的防守技巧。上一期我們講到�����,根據(jù)攻擊者的特點和路徑分析����,在防守過程中需要建立三道防線:收斂攻擊面�����、守好關鍵點和內網(wǎng)防失陷����。
假如攻擊者已經突破了第一道防線,開始尋找重點目標���,那么接下來我們應該怎么做呢��?首先還是要分析攻擊者的下一步動作����,上一期我們提到過���,攻擊者自己的資源也是有限的�,因此他們不會輕易的暴露自己。所以�����,在重點突擊時���,他們既不能大范圍的進行掃描�����,也不能使用特征過于明顯的攻擊����,這些都很容易暴露而導致攻擊IP被封堵���,當然也不能慢條斯理地做各種嘗試�����。
在有限的時間�����、有限的資源內����,也就是說在有限的攻擊窗口期內,攻擊者會緊盯一些所謂的“高價值”目標采取行動�����。在這里我們列舉了三類典型的系統(tǒng):
一�����、辦公系統(tǒng)����,比如OA系統(tǒng)或者郵件服務器等���。這類系統(tǒng)的特點是目標明顯��、好找��,但是承載的用戶信息卻很多�����,一旦被攻擊者控制就會泄露大量的情報信息����,既可以被用來釣魚,又可以用來制作口令爆破的字典等等�����,是攻擊者喜歡的突破口之一����。
二、遠控系統(tǒng)�����,比如一些遠程桌面的系統(tǒng)����、VPN系統(tǒng)等等。很顯然���,這類系統(tǒng)本身就是用來遠程辦公和協(xié)作的���,所以天然具有直通內網(wǎng)的通道����,一旦被控制就相當于暴露了內網(wǎng)環(huán)境��。
三�����、集權系統(tǒng)���,包括堡壘機、域控���,各種管理平臺比如云管平臺等等�����,這類系統(tǒng)普遍具有更高的內網(wǎng)權限�����,并且與內網(wǎng)的其他系統(tǒng)交互較多����,所以是攻擊者關注的重點,一旦被控制就直接威脅到核心系統(tǒng)的安全��。
針對這些重點目標�����,攻擊者采用的突破方式有很多�����,但這幾年大家提及較多的還是0day漏洞��。因為0day漏洞的特點是還未公開或剛剛公布��,所以沒有提前檢測的POC用例�,也沒有針對性很強的防護規(guī)則,所以對目標系統(tǒng)的威脅較大����。
在這里我們列舉了幾類需要重點注意的漏洞類型,包括OA�、項目管理等業(yè)務系統(tǒng)的漏洞;各類設備或產品的漏洞����,比如VPN或者殺毒軟件的管理控制臺等��;當然還有操作系統(tǒng)的漏洞��,大家需要重點關注一些身份管理類����、遠程控制類和遠程執(zhí)行類的漏洞��;最后就是熱度較高也是大家通常較頭疼的漏洞——中間件類的漏洞�����,這里列舉的都是容易出現(xiàn)的類型�����,比如S2的漏洞��、WebLogic的漏洞�����、Shiro的反序列化漏洞等等����。
這些系統(tǒng)或組件的利用率高,攻擊者的關注度也高���,因此漏洞出現(xiàn)的也很頻繁�,對于防守方而言必須要持續(xù)關注和反復檢查�。
那么面對這些防不勝防的攻擊,防守方怎么做才能守住自己的關鍵系統(tǒng)呢����?我們概括了重點目標防護的“三步走”:最小化權限控制、專項規(guī)則防護和白名單防護��。
首先��,要對系統(tǒng)自身加強安全控制�����,限制開放的權限��,細化訪問控制策略并做好審計工作�����;然后針對攻擊者可能采用的手段建立專項的防護規(guī)則,針對性的進行攔截�����,收縮防守陣地���;最后����,對于核心保護對象��,在靠近系統(tǒng)的位置建立白名單策略���,采用嚴格的防護手段��。這其實也是縱深的一種思路�。
這就是我們今天要分享的第二道防線��,針對黑客行為的專項防護規(guī)則�����。為了應對攻擊方在中期的定向突破行為�,通過專項規(guī)則加白名單相結合的方式來構筑防線,一方面可以有針對性的攔截高危的攻擊��,另一方面可以通過非白即黑的策略來屏蔽異常訪問���,從而達到守好關鍵點的效果��?����?傊?��,在第二道防線中我們要做到三點,嚴把關鍵位置���、嚴防定向攻擊和嚴守關鍵系統(tǒng)���。
從產品部署和技巧來看,第二道防線除了進行查漏補缺的部署之外�����,還需要靈活應用縱深防御的思想�����,在邊界部署準確率高的專項規(guī)則,在靠近目標服務器的位置則針對性的設置白名單策略���,找到業(yè)務和安全的平衡點��。
第二道防線中的幾個核心技術能力:
一����、專項規(guī)則���。我們根據(jù)攻擊者常采用的漏洞利用攻擊和后門工具攻擊�����,針對性建立了幾套專項檢測規(guī)則����,包括熱門組件漏洞的規(guī)則��、重點設備漏洞的規(guī)則��,還有各種webshell和遠控工具的規(guī)則�。這些規(guī)則覆蓋了近幾年各類實戰(zhàn)攻防場景中的攻擊手段,以及熱門高危漏洞���,后續(xù)我們會持續(xù)更新�,確保防守側能夠進行精準判斷����;另外,除了專項規(guī)則的維護外�,我們還通過語義分析和機器學習引擎來進行訓練以應對變種威脅。
二�����、口令爆破防護��。針對重點目標的口令安全�����,我們利用口令字典�����、反向校驗與請求限制等方式來檢查和攔截��,包括對默認口令的收集和各類簡單口令、重復口令的編制��。概括而言����,該技術的要點就是檢查口令的健壯性、訪問來源的真實性和請求行為的合法性����。
三、內網(wǎng)防DDoS���。在實戰(zhàn)中由于DDoS比較依賴資源支撐并且需要應對各種限制��,因此在外網(wǎng)側相對較少�����。但攻擊者進入內網(wǎng)后�����,為了獲取目標系統(tǒng)的權限�,則可能會采用DDoS攻擊消耗其系統(tǒng)資源,從而導致系統(tǒng)處理異常并暴露缺陷��。因此�����,在內網(wǎng)�����,我們可以采用連接限制加DDoS識別清洗的方式來做綜合防護�����。
四����、自學習白名單的能力�����。針對核心系統(tǒng)�,我們在前面專項規(guī)則的防護下,還可以再加一道保險��,那就是白名單。其實白名單是一種嚴格的安全策略����,如果業(yè)務系統(tǒng)自身設計不規(guī)范,白名單策略很容易造成誤傷��。但是在實戰(zhàn)化場景中���,白名單的防護又是更可靠的��,因此我們?yōu)榱思骖櫂I(yè)務和安全���,一方面需要將白名單策略建立在最貼近業(yè)務的位置,另一方面需要采用自學習的方式來建立白名單模型����,兼顧業(yè)務的可用性。根據(jù)以往的經驗����,通常會提前至少兩周進行業(yè)務學習和建模,保證系統(tǒng)搜集足夠的正常業(yè)務樣本����,之后直接啟用白名單策略�����,這樣就能達到更好的防護效果�����。
概括而言���,構筑第二道防線可總結為以下三點:
1����、建立專項規(guī)則,應對0day威脅等高危攻擊�,提高攻擊檢測精度;
2���、建立白名單策略��,提升對重點系統(tǒng)和關鍵業(yè)務的安全防護強度����;
3��、守好關鍵系統(tǒng),整體上降低內網(wǎng)失陷風險���。
