當(dāng)前位置:首頁(yè) >  IDC >  安全 >  正文

安全狗談紅藍(lán)對(duì)抗:淺談Red Team服務(wù)對(duì)防護(hù)能力的提升

 2019-06-03 14:19  來(lái)源: 互聯(lián)網(wǎng)   我來(lái)投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過

筆者按

最近圈內(nèi)關(guān)于紅藍(lán)對(duì)抗,Red Team服務(wù)的討論很熱烈,原因相信大家都是很清楚的。目前來(lái)看,很多企事業(yè)單位對(duì)“安全之痛”還缺乏體會(huì),國(guó)內(nèi)安全防護(hù)水平的發(fā)展很大程度上仍然需要監(jiān)管部門來(lái)推動(dòng)。

筆者所在的公司(安全狗)在今年年初,也把原來(lái)做滲透測(cè)試的團(tuán)隊(duì)升級(jí)成為了可提供Red Team服務(wù)的隊(duì)伍,一方面是因?yàn)闈B透測(cè)試服務(wù)市場(chǎng)受到了眾測(cè)服務(wù)一定程度的沖擊,另外一方面是隨著攻擊手段隱蔽性和復(fù)雜性的逐年提升,國(guó)內(nèi)Red Team服務(wù)需求會(huì)大幅上升?,F(xiàn)在回過頭來(lái)看,我們的預(yù)判很準(zhǔn)確。

最近很多文章都在強(qiáng)調(diào)Red Team服務(wù)攻擊能力的重要性,由于我本人長(zhǎng)年從事安全防護(hù)產(chǎn)品研究和設(shè)計(jì)工作,所以本文將從Red Team服務(wù)促進(jìn)安全體系改進(jìn)提升的角度進(jìn)行探討。

Red Team服務(wù)(國(guó)內(nèi)團(tuán)隊(duì)也稱為藍(lán)軍)旨在通過全場(chǎng)景、多維度的“真實(shí)”攻擊來(lái)檢驗(yàn)企業(yè)實(shí)際的安全防護(hù)水平和發(fā)現(xiàn)安全防護(hù)體系的缺陷。

Red Team服務(wù)與傳統(tǒng)滲透測(cè)試相比最大的區(qū)別在于:

1、傳統(tǒng)滲透測(cè)試目的在于盡可能找全某個(gè)系統(tǒng)的漏洞,對(duì)于漏洞的利用基本是點(diǎn)到為止(確認(rèn)其可利用性和危害);Red Team服務(wù)的目的則不是為了找全漏洞,而是為了找到可利用的風(fēng)險(xiǎn)點(diǎn),并繞過防護(hù)體系滲透到企業(yè)內(nèi)部,全面檢驗(yàn)企業(yè)各個(gè)維度的安全防護(hù)能力和安全感知能力;

2、傳統(tǒng)滲透測(cè)試的攻擊手段相對(duì)比較單一,比如針對(duì)web業(yè)務(wù)系統(tǒng)的滲透測(cè)試基本就是利用web攻擊的相關(guān)方法;而Red Team服務(wù)會(huì)利用多維度的攻擊方法(如web滲透、郵件釣魚、魚叉攻擊、無(wú)線攻擊甚至物理攻擊);

3、傳統(tǒng)滲透測(cè)試一般會(huì)選用模擬測(cè)試環(huán)境進(jìn)行;而Red Team更傾向于在真實(shí)環(huán)境和場(chǎng)景中進(jìn)行真實(shí)的對(duì)抗,會(huì)有攻擊方和防守方甚至有裁判組,整個(gè)過程相對(duì)更加復(fù)雜。

我們的Red Team方案把整個(gè)攻擊鏈條總結(jié)為“從外到內(nèi)、從內(nèi)到內(nèi)和從內(nèi)到外”三個(gè)環(huán)節(jié),從這三個(gè)環(huán)節(jié)基本能完整檢驗(yàn)一個(gè)企業(yè)的真實(shí)防守能力,如下圖所示:

“從外到內(nèi)” 主要檢驗(yàn)企業(yè)的邊界防護(hù)能力、員工的安全意識(shí)以及供應(yīng)鏈上的安全風(fēng)險(xiǎn)等;這部分的攻擊方法會(huì)涉及到web攻擊、郵件釣魚、社工測(cè)試、第三方供應(yīng)鏈攻擊等。

“從內(nèi)到內(nèi)” 主要檢驗(yàn)企業(yè)內(nèi)部安全的防護(hù)能力和內(nèi)部安全威脅感知能力等;這部分的攻擊方法會(huì)涉及到內(nèi)部的橫向滲透、系統(tǒng)提權(quán)攻擊、后門隱藏甚至?xí)玫揭恍?Day漏洞,有點(diǎn)APT的味道。

“從內(nèi)到外” 主要檢驗(yàn)企業(yè)對(duì)于安全威脅感知能力和信息數(shù)據(jù)外傳泄露的檢測(cè)能力等;這部分的攻擊方法會(huì)涉及隱藏的反彈Shell(繞過防火墻)、隱蔽隧道數(shù)據(jù)傳輸?shù)取?/p>

從這個(gè)三個(gè)方面的攻擊鏈條來(lái)看,安全防護(hù)體系的縱深性、聯(lián)動(dòng)性和全面感知是非常重要的。由于Red Team能檢驗(yàn)的防守點(diǎn)很多,接下來(lái)我們結(jié)合對(duì)應(yīng)的產(chǎn)品,分別從三個(gè)階段給出提升防護(hù)體系的建議。

一、從外到內(nèi)

這個(gè)階段重點(diǎn)推薦RASP(應(yīng)用運(yùn)行時(shí)自保護(hù)),這是針對(duì)web安全的縱深防護(hù)手段。目前大部分企業(yè)在邊界上都部署了云WAF、硬件WAF,但如果出現(xiàn)一個(gè)未知web中間件漏洞或應(yīng)用系統(tǒng)漏洞,直接繞過邊界上的WAF是相當(dāng)容易的(如各種JAVA中間件的反序列化漏洞);而如果此時(shí)web后端有個(gè)RASP模塊進(jìn)行保護(hù),就可以輕松地發(fā)現(xiàn)這些高級(jí)攻擊,如:web進(jìn)程執(zhí)行命令、web進(jìn)程敏感文件讀寫行為、web進(jìn)程對(duì)系統(tǒng)賬號(hào)的修改行為、web進(jìn)程對(duì)外網(wǎng)絡(luò)連接行為等;對(duì)這些行為再加以分析基本就可以判斷系統(tǒng)是否已經(jīng)被攻陷并快速采取處置動(dòng)作。

具體的原理如下圖:

當(dāng)然這類產(chǎn)品優(yōu)點(diǎn)雖然很明顯,但缺點(diǎn)也很突出,就是侵入性太強(qiáng)。對(duì)于業(yè)務(wù)連續(xù)性要求很高的行業(yè),一般不敢輕易嘗試。從我們實(shí)際部署的經(jīng)驗(yàn)看,可以考慮從一些邊緣的系統(tǒng)開始測(cè)試,穩(wěn)定后逐步覆蓋到關(guān)鍵系統(tǒng)。在部署安裝的時(shí)候可利用多節(jié)點(diǎn)負(fù)載備份和選擇非工作時(shí)段,同時(shí)要求RASP安全策略和自身模塊支持熱更新模式,無(wú)需重啟服務(wù)。

二、從內(nèi)到內(nèi)

從去年的某大型攻防演練中可以看到,很多大型企業(yè)內(nèi)部防護(hù)基本是空白的(大部分單位認(rèn)為內(nèi)部網(wǎng)絡(luò)隔離就是安全的),因此今年企業(yè)對(duì)這方面也特別重視。這個(gè)階段重點(diǎn)推薦兩種類型產(chǎn)品:

第一類是 (云)服務(wù)器主機(jī)EDR產(chǎn)品。 EDR(終端檢測(cè)和響應(yīng))是Gartner針對(duì)終端安全提出的下一代產(chǎn)品,連續(xù)四年進(jìn)入Gartner的年度安全技術(shù)榜單。筆者在實(shí)際的產(chǎn)品研究過程中發(fā)現(xiàn)EDR的能力要求更適合(云)服務(wù)器主機(jī)環(huán)境:

EDR要求Agent輕量化:很多甲方客戶不敢在服務(wù)器上裝安全Agent,就是擔(dān)心安全Agent占用資源影響到業(yè)務(wù),由此導(dǎo)致內(nèi)部主機(jī)大面積裸奔的情況,而EDR的Agent輕量化正好符合服務(wù)器場(chǎng)景的要求;

EDR要求檢測(cè)能力:PC終端安全的大部分問題在于容易感染病毒,而服務(wù)器主機(jī)更多問題在于如何發(fā)現(xiàn)入侵和違規(guī)行為,因此服務(wù)器場(chǎng)景對(duì)于檢測(cè)能力的要求高于殺毒能力,所以EDR的檢測(cè)能力非常適合在服務(wù)器場(chǎng)景上應(yīng)用;

EDR要求快速響應(yīng)能力:主機(jī)Agent可以滿足阻斷、隔離、還原等快速響應(yīng)的要求。

綜上,服務(wù)器主機(jī)EDR產(chǎn)品在內(nèi)部安全威脅檢測(cè)中可以起到很好的效果,既可以彌補(bǔ)內(nèi)部檢測(cè)能力的不足,同時(shí)也很適用于云的場(chǎng)景,不受網(wǎng)絡(luò)區(qū)域限制。

第二類是欺騙防御產(chǎn)品。 欺騙防御系統(tǒng)也是這幾年比較新興的一種產(chǎn)品品類,由原來(lái)的蜜罐產(chǎn)品升級(jí)而來(lái),但又不同于傳統(tǒng)意義上的蜜罐。我們認(rèn)為欺騙防御產(chǎn)品是對(duì)安全檢測(cè)體系一個(gè)很好的補(bǔ)充,很適合在一些特殊的內(nèi)網(wǎng)進(jìn)行部署。

欺騙技術(shù)分為不同層次,需具備真實(shí)網(wǎng)絡(luò)的所有特征,包括真正的數(shù)據(jù)和設(shè)備。這種欺騙技術(shù)可以模仿并分析不同類型的流量,提供對(duì)賬戶和文件的虛假訪問,更為神似地模仿內(nèi)部網(wǎng)絡(luò),同時(shí)還要求可以自動(dòng)部署,讓攻擊者被耍得團(tuán)團(tuán)轉(zhuǎn),陷入無(wú)窮無(wú)盡追逐更多信息的循環(huán)中。欺騙防御產(chǎn)品按既定意圖運(yùn)作時(shí),黑客會(huì)真的相信自己已經(jīng)滲透到了受限網(wǎng)絡(luò)中。

三、從內(nèi)到外

這個(gè)階段對(duì)于數(shù)據(jù)外傳的檢測(cè)是相當(dāng)重要的,這里重點(diǎn)推薦流量威脅檢測(cè)類型的產(chǎn)品。不少人認(rèn)為流量威脅檢測(cè)產(chǎn)品是IDS的下一代升級(jí)版,這樣認(rèn)為有一定道理(都是旁路流量檢測(cè))但又不完全準(zhǔn)確,筆者認(rèn)為好的流量威脅檢測(cè)產(chǎn)品須具備以下特性:

不依賴威脅情報(bào)情況下對(duì)于反彈外聯(lián)的檢測(cè)能力(依賴檢測(cè)算法);

依賴威脅情報(bào)對(duì)于C&C的快速檢測(cè)能力;

依賴AI模型對(duì)于隱蔽傳輸通道的識(shí)別能力;

元數(shù)據(jù)的采集、存儲(chǔ)和分析能力,同時(shí)能對(duì)接給態(tài)勢(shì)感知平臺(tái);

威脅事件的溯源取證能力(存儲(chǔ)原始的package)

當(dāng)然,介紹了這么多的防護(hù)產(chǎn)品,最終還是需要聯(lián)動(dòng)起來(lái)才能發(fā)揮作用,這就要依靠安全大數(shù)據(jù)分析和響應(yīng)平臺(tái)(也就是大家常說的態(tài)勢(shì)感知平臺(tái)或安全大腦)。在缺乏有效的全局安全威脅情報(bào)共享聯(lián)動(dòng)作支撐的情況下,不同廠商、不同類型的傳統(tǒng)安全產(chǎn)品難以協(xié)同,容易發(fā)生安全威脅和整體態(tài)勢(shì)研判誤報(bào)、漏報(bào)的現(xiàn)象。

而依托安全大數(shù)據(jù)分析和響應(yīng)平臺(tái),部署的各類防護(hù)軟件和系統(tǒng)既可以針對(duì)目標(biāo)進(jìn)行實(shí)時(shí)防護(hù),同時(shí)又可將攻擊數(shù)據(jù)匯總至態(tài)勢(shì)感知平臺(tái),全面展示安全態(tài)勢(shì),實(shí)現(xiàn)對(duì)全局的安全風(fēng)險(xiǎn)可視和可預(yù)測(cè),為安全決策提供可靠的依據(jù)和手段,這也是我們發(fā)展此類平臺(tái)的重要意義。

“九層之臺(tái)起于壘土”,安全防護(hù)體系的建設(shè)也需要一個(gè)過程,這個(gè)過程中,既考驗(yàn)甲方的安全規(guī)劃和安全運(yùn)營(yíng)能力,也挑戰(zhàn)乙方的產(chǎn)品能力和服務(wù)能力。相信隨著國(guó)內(nèi)網(wǎng)絡(luò)安全產(chǎn)業(yè)不斷地向前發(fā)展,我們整體的安全防護(hù)水平也會(huì)不斷提升到新的高度。

申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)標(biāo)簽
安全狗
網(wǎng)絡(luò)安全

相關(guān)文章

  • 2023 年 6 月頭號(hào)惡意軟件:Qbot 成為 2023 年上半年最猖獗惡意軟件

    CheckPointResearch報(bào)告稱,多用途木馬Qbot是2023年上半年最猖獗的惡意軟件。與此同時(shí),移動(dòng)木馬SpinOk于6月份首次位居榜首,該惡意軟件在MOVEit暴出零日漏洞后開始肆虐2023年7月,全球領(lǐng)先的網(wǎng)絡(luò)安全解決方案提供商CheckPoint?軟件技術(shù)有限公司(納斯達(dá)克股票代碼

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 華順信安榮獲“網(wǎng)絡(luò)空間安全產(chǎn)學(xué)協(xié)同育人優(yōu)秀案例”二等獎(jiǎng)

    7月6日,“第三屆網(wǎng)絡(luò)空間安全產(chǎn)學(xué)協(xié)同育人優(yōu)秀案例”評(píng)選活動(dòng)正式公布獲獎(jiǎng)名單,華順信安與湘潭大學(xué)計(jì)算機(jī)學(xué)院·網(wǎng)絡(luò)空間安全學(xué)院聯(lián)合申報(bào)的參選案例獲評(píng)優(yōu)秀案例二等獎(jiǎng)。本次活動(dòng)由教育部高等學(xué)校網(wǎng)絡(luò)空間安全專業(yè)教學(xué)指導(dǎo)委員會(huì)產(chǎn)學(xué)合作育人工作組主辦,四川大學(xué)與華中科技大學(xué)共同承辦。本次評(píng)選,華順信安與湘潭大學(xué)

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • Check Point:攻擊者通過合法email服務(wù)竊取用戶憑證信息

    近日,CheckPoint?軟件技術(shù)有限公司的研究人員對(duì)電子郵件安全展開調(diào)研,結(jié)果顯示憑證收集仍是主要攻擊向量,59%的報(bào)告攻擊與之相關(guān)。它還在商業(yè)電子郵件入侵(BEC)攻擊中發(fā)揮了重要作用,造成了15%的攻擊。同時(shí),在2023年一份針對(duì)我國(guó)電子郵件安全的第三方報(bào)告顯示,與證書/憑據(jù)釣魚相關(guān)的不法活

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 百代OSS防勒索解決方案,打造領(lǐng)先安全生態(tài)體系

    Verizon發(fā)布的VerizonBusiness2022數(shù)據(jù)泄露調(diào)查報(bào)告顯示,勒索軟件在2022年同比增長(zhǎng)13%,增幅超過過去五年綜合。更危險(xiǎn)的是,今年又出現(xiàn)了許多新的勒索軟件即服務(wù)(RaaS)團(tuán)伙,例如Mindware、Onyx和BlackBasta,以及惡名昭著的勒索軟件運(yùn)營(yíng)商REvil的回歸

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 2023 CCIA年度榜單出爐,華順信安三度蟬聯(lián)“中國(guó)網(wǎng)安產(chǎn)業(yè)成長(zhǎng)之星

    6月21日,中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(CCIA)正式發(fā)布由網(wǎng)絡(luò)安全產(chǎn)業(yè)研究機(jī)構(gòu)“數(shù)說安全”提供研究支持的“2023年中國(guó)網(wǎng)安產(chǎn)業(yè)競(jìng)爭(zhēng)力50強(qiáng)、成長(zhǎng)之星、潛力之星”榜單。華順信安憑借行業(yè)內(nèi)優(yōu)秀的專業(yè)能力與強(qiáng)勁的核心競(jìng)爭(zhēng)力再次榮登“2023年中國(guó)網(wǎng)安產(chǎn)業(yè)成長(zhǎng)之星”榜單。據(jù)悉,中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(CCIA)

    標(biāo)簽:
    網(wǎng)絡(luò)安全

熱門排行

信息推薦