【兵臨城下】系列公開課是盛邦安全基于多年攻防實(shí)戰(zhàn)經(jīng)驗(yàn),針對(duì)重保及攻防演習(xí)等場(chǎng)景而推出的系列直播活動(dòng)��,將從資產(chǎn)暴露面梳理���、攻擊面管理��、脆弱性自查���、安全防線加固���、協(xié)同聯(lián)動(dòng)防御以及攻擊溯源��、應(yīng)急響應(yīng)等全流程進(jìn)行梳����。
本期公開課的主題是“構(gòu)建藍(lán)隊(duì)第三道防線——內(nèi)網(wǎng)防失陷守好最后關(guān)卡”以下實(shí)錄文字供大家參考。
各位線上的朋友大家好����,我是盛邦安全的聶曉磊,今天我們繼續(xù)來分享攻防實(shí)戰(zhàn)中的防守技巧�����。上一期我們講到了針對(duì)重點(diǎn)目標(biāo)的防護(hù)����,在防守時(shí)可以建立第二道防線,包括權(quán)限控制����、專項(xiàng)規(guī)則防護(hù)和白名單的應(yīng)用����。那么如果還是有系統(tǒng)被攻陷導(dǎo)致攻擊者已經(jīng)進(jìn)入了內(nèi)網(wǎng)��,還有什么辦法能夠控制影響呢�?
我們都知道內(nèi)網(wǎng)的典型特點(diǎn)是點(diǎn)多面廣,通常監(jiān)控難度很大�����,相應(yīng)的防守壓力也很大���;同時(shí)�����,由于運(yùn)維人員變更等原因�����,運(yùn)維記錄很容易有缺失����,因此內(nèi)網(wǎng)當(dāng)中的資產(chǎn)統(tǒng)計(jì)也非常困難���。
另外���,內(nèi)網(wǎng)資產(chǎn)自身的安全保障也充滿挑戰(zhàn)���。首先,管理制度不全等原因往往導(dǎo)致內(nèi)網(wǎng)資產(chǎn)的安全性參差不齊�,很容易留下一些未修復(fù)的老舊漏洞���;第二����,即使知道存在漏洞�,很多系統(tǒng)由于比較老舊或者承載的業(yè)務(wù)系統(tǒng)較老,無法隨意升級(jí)或打補(bǔ)丁�,這就導(dǎo)致內(nèi)網(wǎng)當(dāng)中很多資產(chǎn)都是帶病運(yùn)行的一個(gè)狀態(tài);第三���,內(nèi)網(wǎng)的安全建設(shè)也不好做���。內(nèi)網(wǎng)結(jié)構(gòu)復(fù)雜、牽扯面廣��,所以安全改造本身難度很大,設(shè)備上線或者配置變更都需要足夠謹(jǐn)慎�;另外,對(duì)于安全技術(shù)的實(shí)施�,以主機(jī)安全為例,想要成功的部署必須考慮諸多因素�����,還得各種協(xié)調(diào)�����,并且需要多方積極配合��,因此也難落地�。
攻擊者正是抓住內(nèi)網(wǎng)安全相對(duì)松散的特點(diǎn)來進(jìn)行針對(duì)性的打擊,在這里我們總結(jié)了內(nèi)網(wǎng)失陷后的幾個(gè)明顯特點(diǎn):
1���、內(nèi)網(wǎng)服務(wù)系統(tǒng)對(duì)外發(fā)起異常連接����,且本地資源占用明顯升高��;
2、在非辦公時(shí)間異常訪問鄰居區(qū)域���,或者頻繁的訪問核心業(yè)務(wù)數(shù)據(jù)區(qū)域�����;
3����、非法����、違規(guī)的連接其他不相干的區(qū)域����,比如從業(yè)務(wù)區(qū)域訪問管理區(qū)域等;
4���、異常和高頻的訪問總部或其他分支單位��,這種情況很有可能是在進(jìn)行迂回打擊��。
概括而言�,內(nèi)網(wǎng)主機(jī)失陷后最典型的特點(diǎn)就是做橫向擴(kuò)散和外聯(lián)試探����,結(jié)合這些特點(diǎn)和攻擊者可能發(fā)起的后續(xù)攻擊����,可以采用這樣一些思路進(jìn)行防守�。
-
及時(shí)修補(bǔ)漏洞:首先要持續(xù)關(guān)注熱點(diǎn)漏洞影響情況,內(nèi)網(wǎng)系統(tǒng)發(fā)現(xiàn)漏洞則需應(yīng)補(bǔ)盡補(bǔ)��;對(duì)于老舊系統(tǒng)����,即使無法升級(jí),也可以從邏輯上為其劃定最小安全域并在其邊界設(shè)定虛擬補(bǔ)丁策略��;
-
強(qiáng)化橫向隔離:需要改變平坦化的內(nèi)網(wǎng)結(jié)構(gòu)�,按照資產(chǎn)屬性為其嚴(yán)格劃分安全域,設(shè)定細(xì)粒度的訪問控制策略���;對(duì)于無法輕易改造的內(nèi)網(wǎng)結(jié)構(gòu)�,可以采用旁路阻斷等手段進(jìn)行靈活控制����;
-
嚴(yán)守重要系統(tǒng):對(duì)于關(guān)鍵業(yè)務(wù)系統(tǒng),除修復(fù)漏洞強(qiáng)化管理之外,還需要部署必要的本地防護(hù)手段���;同時(shí)�,對(duì)于關(guān)鍵系統(tǒng)對(duì)外的連接請(qǐng)求也要加強(qiáng)非法或受控的外聯(lián)檢測(cè)與控制�����;
-
加強(qiáng)主動(dòng)防護(hù):部署蜜罐是一種有效的內(nèi)網(wǎng)防護(hù)思路��,利用攻擊者無法分辨真?zhèn)蜗到y(tǒng)的弱點(diǎn)����,通過蜜罐捕獲內(nèi)網(wǎng)橫向擴(kuò)散行為,不僅可以準(zhǔn)確發(fā)現(xiàn)攻擊者�����,還有機(jī)會(huì)對(duì)其反制����。
總結(jié)來說��,針對(duì)攻擊方后期的橫向擴(kuò)散等內(nèi)網(wǎng)攻擊行為����,藍(lán)隊(duì)的第三道防線就是要做好內(nèi)網(wǎng)防失陷����,守好最后關(guān)卡���。我們可以通過蜜罐誘捕����、外聯(lián)檢測(cè)控制等手段來構(gòu)筑第三道防線�����,一方面通過誘捕防護(hù)的思路來及時(shí)發(fā)現(xiàn)攻擊者����,并根據(jù)搜集的信息嘗試對(duì)其發(fā)起反制;另一方面是嚴(yán)格控制內(nèi)網(wǎng)失陷后可能產(chǎn)生的擴(kuò)散影響���;同時(shí)還要做好監(jiān)測(cè)和響應(yīng)�����。
概括而言就是要加強(qiáng)主機(jī)防護(hù)�、建立誘捕防護(hù)、強(qiáng)化外聯(lián)檢測(cè)并強(qiáng)化內(nèi)網(wǎng)監(jiān)測(cè)�。
第三道防線常用的產(chǎn)品技巧包括虛擬補(bǔ)丁、外聯(lián)檢測(cè)和蜜罐防護(hù)等��,針對(duì)內(nèi)網(wǎng)的最后一關(guān)��,既要靈活的選擇部署模式�,做敏捷的加固防護(hù);又要充分利用用戶的空閑網(wǎng)絡(luò)資源�����,建立有效的誘捕網(wǎng)絡(luò)��。
我們?nèi)匀灰訵AF為例來介紹下第三道防線的幾個(gè)核心能力:
1�、虛擬補(bǔ)丁技術(shù)。其實(shí)WAF設(shè)備本身就可以看作是一個(gè)大的虛擬補(bǔ)丁��,對(duì)無法隨意升級(jí)或修補(bǔ)的“帶病”資產(chǎn)提供安全防護(hù)��。同時(shí)�����,WAF自身支持的虛擬補(bǔ)丁策略����,可以根據(jù)目標(biāo)系統(tǒng)的漏洞掃描結(jié)果來生成針對(duì)性的補(bǔ)丁防護(hù)策略,從而實(shí)現(xiàn)精準(zhǔn)防御����。
2、旁路阻斷技術(shù)�。針對(duì)內(nèi)網(wǎng)安全實(shí)施和改造的難點(diǎn),我們可以采用旁路阻斷的模式來進(jìn)行敏捷部署�����,以WAF為例�����,采用旁路模式部署在服務(wù)器區(qū)邊界��,主動(dòng)發(fā)送阻斷包以實(shí)現(xiàn)敏捷的橫向防護(hù)����,旁路阻斷的優(yōu)勢(shì)就是無需改變用戶網(wǎng)絡(luò)拓?fù)洌渴痨`活���,并且還沒有單點(diǎn)故障等風(fēng)險(xiǎn)��;另外���,通過分布式部署搭配集中管理平臺(tái)的方式��,還可以實(shí)現(xiàn)統(tǒng)一管理橫向防護(hù)策略��,集中進(jìn)行策略編排�、下發(fā)和收斂�,進(jìn)一步提升內(nèi)網(wǎng)防護(hù)的靈活性。
3�����、外聯(lián)檢測(cè)與控制的技術(shù)����。無論是日常的違規(guī)外聯(lián)監(jiān)測(cè)還是實(shí)戰(zhàn)化當(dāng)中的受控外聯(lián)檢測(cè),其核心在于行為的捕捉與研判����。對(duì)于內(nèi)網(wǎng)系統(tǒng),我們一方面可以根據(jù)其業(yè)務(wù)特點(diǎn)來判斷其外聯(lián)動(dòng)作本身是否合規(guī)�,可以選擇是否直接屏蔽外聯(lián)行為;另一方面就要結(jié)合內(nèi)外部的威脅情報(bào)�����,通過對(duì)外聯(lián)目標(biāo)的分析來判斷主機(jī)是否已經(jīng)失陷受控����。
4、誘捕防護(hù)技術(shù)�����。通過構(gòu)建蜜罐服務(wù)可以捕獲攻擊者進(jìn)入內(nèi)網(wǎng)后的橫向試探行為��,及時(shí)進(jìn)行封禁攔截��;同時(shí)協(xié)同蜜罐對(duì)攻擊者畫像信息進(jìn)行溯源還可以對(duì)其實(shí)施反制���。
5��、可視化的審計(jì)與監(jiān)控�。在高強(qiáng)度的值守當(dāng)中�,直觀的監(jiān)控、高效的檢索和詳細(xì)的舉證也是防守成功的一大保障�����,我們可以根據(jù)實(shí)際場(chǎng)景定制過濾條件,突出顯示高危事件并及時(shí)止損�;同時(shí),利用詳細(xì)的攻擊摘要與軌跡記錄��,取證并形成分析報(bào)告����,從而保證整體態(tài)勢(shì)可見與可控。
概括而言��,通過構(gòu)建第三道防線能夠幫用戶提升內(nèi)網(wǎng)監(jiān)控能力�����、降低失陷擴(kuò)散風(fēng)險(xiǎn)并提高溯源取證的能力�����,為整體防守提供最后一公里的保障���。
那么今天關(guān)于藍(lán)隊(duì)防守的三道防線就告一段落了����,后續(xù)我們會(huì)繼續(xù)介紹防線構(gòu)筑中的其他關(guān)鍵能力,感謝大家的關(guān)注�����,希望我們的分享可以切實(shí)幫助大家提升防護(hù)水平�����,下期見~
