隨著國際、國內(nèi)網(wǎng)絡(luò)安全局面的復(fù)雜化、企業(yè)數(shù)字化程度的加深以及數(shù)字世界不同主體之間的聯(lián)動加深,組織、參與實戰(zhàn)演練就成為政府、企業(yè)及社會各界非常重視,也是我們安全建設(shè)者們一年一度的重要工作。

參與單位不斷擴(kuò)大,覆蓋企業(yè)業(yè)務(wù)單元越來越豐富,對抗演練越來越“真實”,攻防過程也逐漸從完成任務(wù)似的“交作業(yè)”,變成真正檢驗自身業(yè)務(wù)安全和體系穩(wěn)定的利器。

另外,針對今年攻防演練行動的特殊變化,也需要相應(yīng)的能力升級。例如,時間長度的拉長和參與主體的增多,一方面會導(dǎo)致原有安全防御策略的失效,另一方面也會更大程度的暴露攻擊面,尤其是一些新納入攻防演練的主體,可能會陷入“被攻破后原地躺平”的風(fēng)險。

俗話說,“工欲善其事,必先利其器”,這里我們就針對2024年的一些新任務(wù)、新變化和新挑戰(zhàn),向大家推薦實戰(zhàn)攻防演練的“神器”。

——云原生安全——

隨著企業(yè)的數(shù)據(jù)&業(yè)務(wù)部分或全量上云,就勢必會遇到云安全的問題。回到攻防演練的場景來看,最直接的就是讓攻防兩端的戰(zhàn)場變大、攻防手段增多、攻擊烈度增加。對于防御者,要做到云安全和傳統(tǒng)安全相輔相成。

首先,是安全產(chǎn)品。諸如主機(jī)安全、終端安全、威脅情報等傳統(tǒng)高能效產(chǎn)品,同樣可以在云上應(yīng)用,快速構(gòu)建云安全的基石。

其次,云上的安全工具和云端的資源池,可以快速提供風(fēng)險評估、威脅檢測、安全事件溯源取證的工作,有效提升現(xiàn)有安全體系的防御效能和效率,或是在特殊的時間節(jié)點(diǎn)快速提升主體的安全防御力。

第三,落實到特定行業(yè),如金融、交通、出行等大型行業(yè),除了網(wǎng)絡(luò)安全法等“上位法”以外,還有大量的行業(yè)法規(guī)、規(guī)定、規(guī)范要遵循。通過選用云平臺的安全資源,也可以保證企業(yè)在云端運(yùn)行的資產(chǎn)可以快速滿足合規(guī)要求,以較低成本建立安全基線。

——紅藍(lán)對抗的五個階段——

Step1信息收集:東搜西羅,打探軍情

信息收集是攻擊第一步,也是最關(guān)鍵的一個階段。信息的收集深度直接決定了滲透過程的復(fù)雜程度。在展開攻擊前,藍(lán)軍往往會先對企業(yè)資產(chǎn)暴露面進(jìn)行分析,對目標(biāo)企業(yè)進(jìn)行資產(chǎn)信息收集。

●從公開信息入手,利用FOFA、SHODAN、搜索引擎等,搜集域名、IP等資產(chǎn)信息;利用天眼查、企查查等獲取企業(yè)相關(guān)信息;

●通過主機(jī)掃描、端口掃描、系統(tǒng)類型掃描等途徑,發(fā)現(xiàn)攻擊目標(biāo)的開放端口、服務(wù)和主機(jī),并對目標(biāo)服務(wù)器指紋和敏感路徑進(jìn)行探測識別,完成攻擊面測繪及企業(yè)防護(hù)薄弱點(diǎn)的梳理;

除了技術(shù)手段,攻擊者還會利用社會工程學(xué)或企業(yè)泄露在外的敏感信息,借助釣魚攻擊等方式獲取賬號密碼等關(guān)鍵信息,提升攻擊成功率。

※ 應(yīng)對要訣:摸清家底、部署防線

資產(chǎn)管理是安全防護(hù)的第一要務(wù)。建議企業(yè)先通過云安全中心明晰防護(hù)對象現(xiàn)狀,對IP、端口、Web服務(wù)等暴露在外的資產(chǎn)進(jìn)行全盤測繪。同時,構(gòu)建云上三道防線,實時感知安全風(fēng)險,做好資產(chǎn)加固。

Step2漏洞分析:順藤摸瓜,伺機(jī)行事

漏洞是藍(lán)軍撕開防線的重要武器,藍(lán)軍攻擊路徑的確認(rèn)依賴于對漏洞的探測分析結(jié)果。

●根據(jù)信息收集階段梳理的企業(yè)資產(chǎn)信息(包括Web指紋、高危服務(wù)等),利用漏洞掃描器、指紋對應(yīng)的已知漏洞或自行代碼審計挖掘的0day漏洞來進(jìn)行外網(wǎng)打點(diǎn);

●尋找到可被利用的攻擊突破口后,確認(rèn)外部攻擊入侵路徑并進(jìn)行攻擊驗證。

※ 應(yīng)對要訣:非必要不暴露,先緩解再修復(fù)

完成資產(chǎn)清點(diǎn)后如何對藍(lán)軍的攻擊路徑進(jìn)行封堵?首先,企業(yè)需進(jìn)一步收斂資產(chǎn)暴露面,做到非必要不暴露,必須對外的業(yè)務(wù)務(wù)必重點(diǎn)加固。針對漏洞風(fēng)險,集成三道防線和云安全中心統(tǒng)籌能力對漏洞等互聯(lián)網(wǎng)暴露面做有效收斂。

Step3滲透攻擊:順手牽羊,乘虛而入

當(dāng)分析得到有效漏洞入侵攻擊路徑之后,藍(lán)軍將針對目標(biāo)服務(wù)器的脆弱性發(fā)起滲透攻擊。

●利用反序列化漏洞、命令執(zhí)行漏洞、代碼執(zhí)行漏洞、任意文件上傳漏洞、文件包含漏洞、表達(dá)式注入漏洞、JNDI注入漏洞、SSTI、SSI、XXE、SQL注入、未授權(quán)訪問漏洞等類型的已知高危漏洞或挖掘的0day漏洞來getshell或獲取敏感數(shù)據(jù)庫權(quán)限;

●獲取外網(wǎng)入口點(diǎn),為進(jìn)一步進(jìn)行橫向滲透打下?lián)c(diǎn)。

※ 應(yīng)對要訣:知己知彼,對癥下藥

針對不同類型的攻擊,可通過云安全中心聯(lián)動三道防線部署全面的安全管控策略。針對已知來源、手法攻擊進(jìn)行實時檢測、攔截;針對未知威脅,利用云防火墻網(wǎng)絡(luò)蜜罐能力,將仿真服務(wù)通過探針暴露在公網(wǎng)對未知攻擊者進(jìn)行誘捕并反制。

Step4橫向滲透:聲東擊西,持續(xù)滲透

藍(lán)軍成功通過外網(wǎng)打點(diǎn)突破邊界之后,會基于getshell的入口點(diǎn)繼續(xù)進(jìn)行橫向滲透,逐步擴(kuò)大攻擊成果。

●為了深入了解內(nèi)網(wǎng)情況,攻擊者會先對本機(jī)系統(tǒng)信息、網(wǎng)絡(luò)架構(gòu)信息、域信息等進(jìn)行收集,梳理目標(biāo)內(nèi)網(wǎng)資產(chǎn)信息(包括內(nèi)網(wǎng)網(wǎng)段、開啟的主機(jī)、服務(wù)等);

●針對內(nèi)網(wǎng)存在漏洞的資產(chǎn)進(jìn)行滲透攻擊并搭建內(nèi)網(wǎng)隧道,增加滲透入侵攻擊路徑。

※ 應(yīng)對要訣:精準(zhǔn)隔離,部署陷阱

針對內(nèi)網(wǎng)滲透攻擊,需進(jìn)行細(xì)粒度網(wǎng)絡(luò)隔離。同時主動出擊,對藍(lán)軍行為進(jìn)行持續(xù)監(jiān)控,在內(nèi)網(wǎng)增設(shè)網(wǎng)絡(luò)蜜罐陷阱,有效溯源反制攻擊者,拖延攻擊時間,為正常業(yè)務(wù)爭取寶貴的安全加固時間。

Step5瞞天過海,長期潛伏

在后滲透階段,藍(lán)軍會盡可能保持對系統(tǒng)的控制權(quán),并進(jìn)行痕跡清理防止?jié)B透入侵行為被溯源。

●根據(jù)是否為高權(quán)限用戶來決定是否進(jìn)行權(quán)限提升;拿到高權(quán)限之后,為了持久化滲透目標(biāo)內(nèi)網(wǎng),藍(lán)軍會利用各種持久化后門技術(shù)來進(jìn)行長久的權(quán)限維持,包括Rootkit、內(nèi)存馬、crontab后門、寫ssh公鑰、LD_PRELOAD劫持函數(shù)、新增隱藏用戶、替換bash后門、環(huán)境變量植入后門、啟動項后門等等利用方式;

●在整個滲透測試目標(biāo)達(dá)成之后,藍(lán)軍會對滲透的目標(biāo)主機(jī)進(jìn)行痕跡清除,包括history清理、應(yīng)用日志清理、系統(tǒng)日志清理、權(quán)限維持后門清理、新增用戶清理等。

※ 應(yīng)對要訣:做好日志管理,有效取證溯源

在這個階段,藍(lán)軍需要持續(xù)做好日志管理,以確保無論是在事前、事中、事后,都可以通過日志分析提升自身的應(yīng)對效率?？梢越柚瓢踩行穆?lián)動分析報告、攻擊日志統(tǒng)一管理能力,結(jié)合威脅情報提供攻擊者行為畫像(包括戰(zhàn)術(shù)、手法、環(huán)境、樣本等),有效實現(xiàn)攻擊溯源和反制。

三道防線

建立高效全面的防護(hù)體系

根據(jù)過往重保經(jīng)驗,外網(wǎng)打點(diǎn)、釣魚攻擊、內(nèi)存馬攻擊在攻防演練場景中經(jīng)常出現(xiàn)。為幫助企業(yè)建立更全面、高效的防護(hù)體系,騰訊安全推出“一站式重保解決方案,構(gòu)筑三道堅實的安全防線。

(騰訊云上安全三道防線, 一站式重保解決方案)

第一道防線——騰訊云防火墻:提供訪問控制、入侵防御、身份認(rèn)證等安全能力,可自動梳理云上資產(chǎn)、發(fā)現(xiàn)并收斂暴露面;

第二道防線——騰訊云Web應(yīng)用防火墻:可為企業(yè)提供面向Web網(wǎng)站、APP和小程序的多端一體化防護(hù)能力,幫助用戶應(yīng)對Web攻擊、0day漏洞利用、爬蟲、敏感數(shù)據(jù)泄漏、DDoS攻擊等安全防護(hù)問題,保障重保及常態(tài)情景下的業(yè)務(wù)與數(shù)據(jù)安全;

第三道防線——騰訊云主機(jī)/容器安全:可為企業(yè)實時監(jiān)控內(nèi)存馬、變種病毒等新型威脅,一鍵精準(zhǔn)防御熱點(diǎn)漏洞攻擊,自動化調(diào)查入侵事件;為云上、云下主機(jī)/容器提供進(jìn)程級縱深防護(hù);

安全中心——管理三道防線、多賬號、多云統(tǒng)一管理:聯(lián)動各產(chǎn)品原子能力,實現(xiàn)云安全的一站式聯(lián)動控制、功能互通與數(shù)據(jù)協(xié)同,極大提效安全運(yùn)營與響應(yīng)。

由于云安全的范疇十分寬泛,這里選擇幾個典型的攻防演練場景,為遇到類似問題的客戶提供“錦囊”。

重保場景下基于情報的自動化封禁:

在執(zhí)行重保任務(wù)或攻防演練期間,往往面臨著攻擊數(shù)量和頻次的指數(shù)級增長,原有的防御體系會瞬間承壓。通過人工手動封禁IP,無法面對重大安全保障活動期間的快速響應(yīng)要求。

那么在發(fā)現(xiàn)惡意IP訪問、內(nèi)網(wǎng)反連C2服務(wù)器端時,必須實時自動化封禁以實現(xiàn)精準(zhǔn)打擊,并降低誤傷概率。云端(通過云WAF和WAF的API)、數(shù)據(jù)中心(通過WAF)集成威脅情報平臺,自動導(dǎo)入威脅來源種子,實施自動化的導(dǎo)入和封禁。

同時,還可以利用威脅情報平臺集成開源情報、商業(yè)情報和安全團(tuán)隊自研情報,增強(qiáng)打擊力度。

(騰訊安全威脅情報基于多場景復(fù)雜異構(gòu)的情報源積累)

APP&小程序安全防護(hù)體系:

APP和小程序是多數(shù)企業(yè)鏈接用戶和客戶的最直接路徑,同樣也是近幾年安全風(fēng)險的最大敞口。以汽車行業(yè)為例,供應(yīng)鏈上下游聯(lián)動、內(nèi)部管理、客戶服務(wù)、生產(chǎn)交付等,往往都依賴APP&小程序,使得大量新的終端(手機(jī)、PAD、車機(jī)、車輛系統(tǒng)等)具備聯(lián)網(wǎng)能力。

黑客或者攻擊方,很有可能針對APP&小程序的漏洞發(fā)起攻擊。通過騰訊云安全提供的小程序安全加速防護(hù)體系,可以幫助客戶實現(xiàn)Web端、小程序端和APP端的統(tǒng)一安全保障。

首先它通過微信的私有安全協(xié)議,二次加密封裝企業(yè)的數(shù)據(jù)和接口,大大提高了外部抓包破解門檻,有效保障了企業(yè)端到端的數(shù)據(jù)傳輸安全;其次通過整合端側(cè)賬號風(fēng)控能力、用戶特征分析模型、分布式安全抗D能力和WAF的AI+規(guī)則雙引擎防護(hù)優(yōu)勢,為用戶APP和小程序提供了“端+網(wǎng)關(guān)”的的雙重安全保障,全方位保障重保時期企業(yè)用戶業(yè)務(wù)的安全、高效、穩(wěn)定運(yùn)行。

AI安全大模型賦能基礎(chǔ)安全解決方案:

大模型正在加速產(chǎn)業(yè)應(yīng)用的落地,在云安全范疇,同樣可以通過AI大模型的力量,來改善和強(qiáng)化產(chǎn)品體驗與能力。另一方面,云平臺也可以通過AI算法的增強(qiáng),提升剪出效率,優(yōu)化性能占用率。

在安全服務(wù)方面,引入大模型能力提升服務(wù)的精度、增強(qiáng)響應(yīng)時間和自動化服務(wù)的程度和覆蓋面。收斂到攻防的場景,一是利用AI針對高頻操作場景實現(xiàn)自動化,使原本繁雜的人工處置工作被大大提速;另一方面比較依賴知識擴(kuò)展的場景,也可以利用AI幫助做一些分析,使復(fù)雜問題簡單化、顯性化。

此外,涉及到數(shù)據(jù)庫和開發(fā)環(huán)境的問題,可以基于AI的引入,最小化事件響應(yīng)時間,快速觸達(dá)事件的本因,從而實現(xiàn)快速處理。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）