域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過
筆者按
最近圈內(nèi)關(guān)于紅藍(lán)對(duì)抗,Red Team服務(wù)的討論很熱烈,原因相信大家都是很清楚的。目前來(lái)看,很多企事業(yè)單位對(duì)“安全之痛”還缺乏體會(huì),國(guó)內(nèi)安全防護(hù)水平的發(fā)展很大程度上仍然需要監(jiān)管部門來(lái)推動(dòng)。
筆者所在的公司(安全狗)在今年年初,也把原來(lái)做滲透測(cè)試的團(tuán)隊(duì)升級(jí)成為了可提供Red Team服務(wù)的隊(duì)伍,一方面是因?yàn)闈B透測(cè)試服務(wù)市場(chǎng)受到了眾測(cè)服務(wù)一定程度的沖擊,另外一方面是隨著攻擊手段隱蔽性和復(fù)雜性的逐年提升,國(guó)內(nèi)Red Team服務(wù)需求會(huì)大幅上升?,F(xiàn)在回過頭來(lái)看,我們的預(yù)判很準(zhǔn)確。
最近很多文章都在強(qiáng)調(diào)Red Team服務(wù)攻擊能力的重要性,由于我本人長(zhǎng)年從事安全防護(hù)產(chǎn)品研究和設(shè)計(jì)工作,所以本文將從Red Team服務(wù)促進(jìn)安全體系改進(jìn)提升的角度進(jìn)行探討。
Red Team服務(wù)(國(guó)內(nèi)團(tuán)隊(duì)也稱為藍(lán)軍)旨在通過全場(chǎng)景、多維度的“真實(shí)”攻擊來(lái)檢驗(yàn)企業(yè)實(shí)際的安全防護(hù)水平和發(fā)現(xiàn)安全防護(hù)體系的缺陷。
Red Team服務(wù)與傳統(tǒng)滲透測(cè)試相比最大的區(qū)別在于:
1、傳統(tǒng)滲透測(cè)試目的在于盡可能找全某個(gè)系統(tǒng)的漏洞,對(duì)于漏洞的利用基本是點(diǎn)到為止(確認(rèn)其可利用性和危害);Red Team服務(wù)的目的則不是為了找全漏洞,而是為了找到可利用的風(fēng)險(xiǎn)點(diǎn),并繞過防護(hù)體系滲透到企業(yè)內(nèi)部,全面檢驗(yàn)企業(yè)各個(gè)維度的安全防護(hù)能力和安全感知能力;
2、傳統(tǒng)滲透測(cè)試的攻擊手段相對(duì)比較單一,比如針對(duì)web業(yè)務(wù)系統(tǒng)的滲透測(cè)試基本就是利用web攻擊的相關(guān)方法;而Red Team服務(wù)會(huì)利用多維度的攻擊方法(如web滲透、郵件釣魚、魚叉攻擊、無(wú)線攻擊甚至物理攻擊);
3、傳統(tǒng)滲透測(cè)試一般會(huì)選用模擬測(cè)試環(huán)境進(jìn)行;而Red Team更傾向于在真實(shí)環(huán)境和場(chǎng)景中進(jìn)行真實(shí)的對(duì)抗,會(huì)有攻擊方和防守方甚至有裁判組,整個(gè)過程相對(duì)更加復(fù)雜。
我們的Red Team方案把整個(gè)攻擊鏈條總結(jié)為“從外到內(nèi)、從內(nèi)到內(nèi)和從內(nèi)到外”三個(gè)環(huán)節(jié),從這三個(gè)環(huán)節(jié)基本能完整檢驗(yàn)一個(gè)企業(yè)的真實(shí)防守能力,如下圖所示:
“從外到內(nèi)” 主要檢驗(yàn)企業(yè)的邊界防護(hù)能力、員工的安全意識(shí)以及供應(yīng)鏈上的安全風(fēng)險(xiǎn)等;這部分的攻擊方法會(huì)涉及到web攻擊、郵件釣魚、社工測(cè)試、第三方供應(yīng)鏈攻擊等。
“從內(nèi)到內(nèi)” 主要檢驗(yàn)企業(yè)內(nèi)部安全的防護(hù)能力和內(nèi)部安全威脅感知能力等;這部分的攻擊方法會(huì)涉及到內(nèi)部的橫向滲透、系統(tǒng)提權(quán)攻擊、后門隱藏甚至?xí)玫揭恍?Day漏洞,有點(diǎn)APT的味道。
“從內(nèi)到外” 主要檢驗(yàn)企業(yè)對(duì)于安全威脅感知能力和信息數(shù)據(jù)外傳泄露的檢測(cè)能力等;這部分的攻擊方法會(huì)涉及隱藏的反彈Shell(繞過防火墻)、隱蔽隧道數(shù)據(jù)傳輸?shù)取?/p>
從這個(gè)三個(gè)方面的攻擊鏈條來(lái)看,安全防護(hù)體系的縱深性、聯(lián)動(dòng)性和全面感知是非常重要的。由于Red Team能檢驗(yàn)的防守點(diǎn)很多,接下來(lái)我們結(jié)合對(duì)應(yīng)的產(chǎn)品,分別從三個(gè)階段給出提升防護(hù)體系的建議。
一、從外到內(nèi)
這個(gè)階段重點(diǎn)推薦RASP(應(yīng)用運(yùn)行時(shí)自保護(hù)),這是針對(duì)web安全的縱深防護(hù)手段。目前大部分企業(yè)在邊界上都部署了云WAF、硬件WAF,但如果出現(xiàn)一個(gè)未知web中間件漏洞或應(yīng)用系統(tǒng)漏洞,直接繞過邊界上的WAF是相當(dāng)容易的(如各種JAVA中間件的反序列化漏洞);而如果此時(shí)web后端有個(gè)RASP模塊進(jìn)行保護(hù),就可以輕松地發(fā)現(xiàn)這些高級(jí)攻擊,如:web進(jìn)程執(zhí)行命令、web進(jìn)程敏感文件讀寫行為、web進(jìn)程對(duì)系統(tǒng)賬號(hào)的修改行為、web進(jìn)程對(duì)外網(wǎng)絡(luò)連接行為等;對(duì)這些行為再加以分析基本就可以判斷系統(tǒng)是否已經(jīng)被攻陷并快速采取處置動(dòng)作。
具體的原理如下圖:
當(dāng)然這類產(chǎn)品優(yōu)點(diǎn)雖然很明顯,但缺點(diǎn)也很突出,就是侵入性太強(qiáng)。對(duì)于業(yè)務(wù)連續(xù)性要求很高的行業(yè),一般不敢輕易嘗試。從我們實(shí)際部署的經(jīng)驗(yàn)看,可以考慮從一些邊緣的系統(tǒng)開始測(cè)試,穩(wěn)定后逐步覆蓋到關(guān)鍵系統(tǒng)。在部署安裝的時(shí)候可利用多節(jié)點(diǎn)負(fù)載備份和選擇非工作時(shí)段,同時(shí)要求RASP安全策略和自身模塊支持熱更新模式,無(wú)需重啟服務(wù)。
二、從內(nèi)到內(nèi)
從去年的某大型攻防演練中可以看到,很多大型企業(yè)內(nèi)部防護(hù)基本是空白的(大部分單位認(rèn)為內(nèi)部網(wǎng)絡(luò)隔離就是安全的),因此今年企業(yè)對(duì)這方面也特別重視。這個(gè)階段重點(diǎn)推薦兩種類型產(chǎn)品:
第一類是 (云)服務(wù)器主機(jī)EDR產(chǎn)品。 EDR(終端檢測(cè)和響應(yīng))是Gartner針對(duì)終端安全提出的下一代產(chǎn)品,連續(xù)四年進(jìn)入Gartner的年度安全技術(shù)榜單。筆者在實(shí)際的產(chǎn)品研究過程中發(fā)現(xiàn)EDR的能力要求更適合(云)服務(wù)器主機(jī)環(huán)境:
EDR要求Agent輕量化:很多甲方客戶不敢在服務(wù)器上裝安全Agent,就是擔(dān)心安全Agent占用資源影響到業(yè)務(wù),由此導(dǎo)致內(nèi)部主機(jī)大面積裸奔的情況,而EDR的Agent輕量化正好符合服務(wù)器場(chǎng)景的要求;
EDR要求檢測(cè)能力:PC終端安全的大部分問題在于容易感染病毒,而服務(wù)器主機(jī)更多問題在于如何發(fā)現(xiàn)入侵和違規(guī)行為,因此服務(wù)器場(chǎng)景對(duì)于檢測(cè)能力的要求高于殺毒能力,所以EDR的檢測(cè)能力非常適合在服務(wù)器場(chǎng)景上應(yīng)用;
EDR要求快速響應(yīng)能力:主機(jī)Agent可以滿足阻斷、隔離、還原等快速響應(yīng)的要求。
綜上,服務(wù)器主機(jī)EDR產(chǎn)品在內(nèi)部安全威脅檢測(cè)中可以起到很好的效果,既可以彌補(bǔ)內(nèi)部檢測(cè)能力的不足,同時(shí)也很適用于云的場(chǎng)景,不受網(wǎng)絡(luò)區(qū)域限制。
第二類是欺騙防御產(chǎn)品。 欺騙防御系統(tǒng)也是這幾年比較新興的一種產(chǎn)品品類,由原來(lái)的蜜罐產(chǎn)品升級(jí)而來(lái),但又不同于傳統(tǒng)意義上的蜜罐。我們認(rèn)為欺騙防御產(chǎn)品是對(duì)安全檢測(cè)體系一個(gè)很好的補(bǔ)充,很適合在一些特殊的內(nèi)網(wǎng)進(jìn)行部署。
欺騙技術(shù)分為不同層次,需具備真實(shí)網(wǎng)絡(luò)的所有特征,包括真正的數(shù)據(jù)和設(shè)備。這種欺騙技術(shù)可以模仿并分析不同類型的流量,提供對(duì)賬戶和文件的虛假訪問,更為神似地模仿內(nèi)部網(wǎng)絡(luò),同時(shí)還要求可以自動(dòng)部署,讓攻擊者被耍得團(tuán)團(tuán)轉(zhuǎn),陷入無(wú)窮無(wú)盡追逐更多信息的循環(huán)中。欺騙防御產(chǎn)品按既定意圖運(yùn)作時(shí),黑客會(huì)真的相信自己已經(jīng)滲透到了受限網(wǎng)絡(luò)中。
三、從內(nèi)到外
這個(gè)階段對(duì)于數(shù)據(jù)外傳的檢測(cè)是相當(dāng)重要的,這里重點(diǎn)推薦流量威脅檢測(cè)類型的產(chǎn)品。不少人認(rèn)為流量威脅檢測(cè)產(chǎn)品是IDS的下一代升級(jí)版,這樣認(rèn)為有一定道理(都是旁路流量檢測(cè))但又不完全準(zhǔn)確,筆者認(rèn)為好的流量威脅檢測(cè)產(chǎn)品須具備以下特性:
不依賴威脅情報(bào)情況下對(duì)于反彈外聯(lián)的檢測(cè)能力(依賴檢測(cè)算法);
依賴威脅情報(bào)對(duì)于C&C的快速檢測(cè)能力;
依賴AI模型對(duì)于隱蔽傳輸通道的識(shí)別能力;
元數(shù)據(jù)的采集、存儲(chǔ)和分析能力,同時(shí)能對(duì)接給態(tài)勢(shì)感知平臺(tái);
威脅事件的溯源取證能力(存儲(chǔ)原始的package)
當(dāng)然,介紹了這么多的防護(hù)產(chǎn)品,最終還是需要聯(lián)動(dòng)起來(lái)才能發(fā)揮作用,這就要依靠安全大數(shù)據(jù)分析和響應(yīng)平臺(tái)(也就是大家常說的態(tài)勢(shì)感知平臺(tái)或安全大腦)。在缺乏有效的全局安全威脅情報(bào)共享聯(lián)動(dòng)作支撐的情況下,不同廠商、不同類型的傳統(tǒng)安全產(chǎn)品難以協(xié)同,容易發(fā)生安全威脅和整體態(tài)勢(shì)研判誤報(bào)、漏報(bào)的現(xiàn)象。
而依托安全大數(shù)據(jù)分析和響應(yīng)平臺(tái),部署的各類防護(hù)軟件和系統(tǒng)既可以針對(duì)目標(biāo)進(jìn)行實(shí)時(shí)防護(hù),同時(shí)又可將攻擊數(shù)據(jù)匯總至態(tài)勢(shì)感知平臺(tái),全面展示安全態(tài)勢(shì),實(shí)現(xiàn)對(duì)全局的安全風(fēng)險(xiǎn)可視和可預(yù)測(cè),為安全決策提供可靠的依據(jù)和手段,這也是我們發(fā)展此類平臺(tái)的重要意義。
“九層之臺(tái)起于壘土”,安全防護(hù)體系的建設(shè)也需要一個(gè)過程,這個(gè)過程中,既考驗(yàn)甲方的安全規(guī)劃和安全運(yùn)營(yíng)能力,也挑戰(zhàn)乙方的產(chǎn)品能力和服務(wù)能力。相信隨著國(guó)內(nèi)網(wǎng)絡(luò)安全產(chǎn)業(yè)不斷地向前發(fā)展,我們整體的安全防護(hù)水平也會(huì)不斷提升到新的高度。
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!