在攻防演練中,紅隊(duì)會(huì)對(duì)開(kāi)源工具、泄漏工具、定制工具等進(jìn)行整合,構(gòu)建自己的武器庫(kù)。通過(guò)武器庫(kù)可快速高效的對(duì)各類0day、Nday漏洞進(jìn)行探測(cè)利用,在攻擊過(guò)程中還可對(duì)特征識(shí)別、IP封鎖等防護(hù)措施進(jìn)行突破。

除了漏洞探測(cè)利用工具外,紅隊(duì)還會(huì)利用動(dòng)態(tài)加密Webshell來(lái)穿透WAF防護(hù),進(jìn)行權(quán)限維持和跳板搭建,如哥斯拉、冰蝎等Webshell采用動(dòng)態(tài)加密方式,通信過(guò)程無(wú)穩(wěn)定可識(shí)別的特征,碾壓市面上所有基于特征匹配的傳統(tǒng)WAF。對(duì)于藍(lán)隊(duì)基于規(guī)則的防護(hù)而言,實(shí)則是一種降維打擊。

除了攻擊應(yīng)用漏洞之外,紅隊(duì)還會(huì)探測(cè)藍(lán)隊(duì)在人員和管理上的漏洞,如:弱口令、網(wǎng)絡(luò)遺漏備份文件等,尤其是VPN、郵箱、管理平臺(tái)等系統(tǒng),已經(jīng)成為重點(diǎn)攻擊對(duì)象。

攻防演練中,封IP是最主要的防護(hù)手段之一。實(shí)戰(zhàn)過(guò)程中,紅隊(duì)會(huì)通過(guò)分布在全國(guó)各地的IP代理發(fā)起攻擊,這些IP地址可能來(lái)自機(jī)房,也可能來(lái)自家庭寬帶、手機(jī)基站等。貿(mào)然對(duì)這些IP進(jìn)行封堵,可能會(huì)造成業(yè)務(wù)不可用,甚至達(dá)到防火墻IP黑名單的數(shù)量上限。

社工釣魚在實(shí)戰(zhàn)中的應(yīng)用越來(lái)越廣泛。紅隊(duì)會(huì)從人的角度下手,給相應(yīng)的員工、外包人員發(fā)釣魚郵件,搭建釣魚用的WIFI熱點(diǎn),甚至雇人混入藍(lán)隊(duì),插U盤、中木馬等等。

在攻防演練中,0day攻擊已成為常態(tài),由于0day漏洞能夠穿透現(xiàn)有基于規(guī)則的防護(hù)技術(shù),被視為紅隊(duì)最為有效的手段之一。2020年攻防演練中,出現(xiàn)了上百個(gè)0day漏洞,這些漏洞中大部分和暴露在互聯(lián)網(wǎng)上的Web應(yīng)用相關(guān),直接威脅到核心系統(tǒng)的安全。

總體而言,在實(shí)戰(zhàn)化、高級(jí)化、常態(tài)化的攻擊趨勢(shì)下,攻防演練的力度將空前加大。鑒于今年建黨100周年等重大活動(dòng)眾多,境外惡勢(shì)力攻擊將更加激烈,各類重?;顒?dòng)的時(shí)間也會(huì)持續(xù)拉長(zhǎng)。

二、從人防到技防,瑞數(shù)信息“三板斧”構(gòu)建實(shí)戰(zhàn)能力

攻易守難,安全工作者在攻防演練中往往要承受巨大的壓力。由于藍(lán)隊(duì)處于被動(dòng),當(dāng)發(fā)現(xiàn)攻擊事件、溯源攻擊時(shí),整體已經(jīng)處于滯后狀態(tài),所以在攻防演練中,藍(lán)隊(duì)需要投入大量精力做防守,甚至是7*24小時(shí)的人工值守,處于非常態(tài)化的安全運(yùn)營(yíng)中。

那么,是否能夠通過(guò)一些技術(shù)手段來(lái)降低藍(lán)隊(duì)安全人員的工作量,并達(dá)到很好的防護(hù)效果呢?瑞數(shù)信息首席安全顧問(wèn)周浩認(rèn)為,要做到從“人防”到“技防”,可以從攻擊的三個(gè)階段入手:

在攻擊前期,紅隊(duì)的重點(diǎn)在于以自動(dòng)化攻擊、信息收集為主,如:資產(chǎn)探測(cè)、已知漏洞探測(cè);利用工具發(fā)起批量攻擊;弱口令嗅探、路徑遍歷、批量POC等。

信息收集后,紅隊(duì)會(huì)轉(zhuǎn)向重點(diǎn)系統(tǒng)攻擊,通過(guò)人工分析漏洞,發(fā)起定向打擊,同時(shí)對(duì)現(xiàn)有安全措施進(jìn)行突破。

在紅隊(duì)獲得一定權(quán)限后,會(huì)對(duì)權(quán)限進(jìn)行提升,并搭建代理跳板,橫向移動(dòng),對(duì)核心系統(tǒng)靶標(biāo)進(jìn)行滲透。拿下靶標(biāo)時(shí),意味著紅隊(duì)的勝利。

針對(duì)以上三個(gè)階段,周浩建議,藍(lán)方可以通過(guò)瑞數(shù)信息“三板斧”模式,采用三種不同的防護(hù)手段,來(lái)做相應(yīng)的阻攔。

為了彌補(bǔ)特征識(shí)別的缺陷,對(duì)于工具的防護(hù)可以根據(jù)攻擊工具自身的特點(diǎn),采用“分級(jí)分層、按需對(duì)抗”的策略。針對(duì)不同級(jí)別的工具,采用相應(yīng)的識(shí)別攔截手段:

實(shí)現(xiàn)效果:

通用漏掃防護(hù)方面,瑞數(shù)信息能夠提供漏洞隱藏功能,將所有的高危、中危漏洞、網(wǎng)頁(yè)目錄結(jié)構(gòu)做隱藏,讓紅方掃描器得不到任何有價(jià)值的信息。

0day防護(hù)方面,通過(guò)瑞數(shù)信息獨(dú)有的動(dòng)態(tài)驗(yàn)證、封裝、混淆、令牌四大動(dòng)態(tài)安全技術(shù),能夠?qū)崿F(xiàn)不基于規(guī)則的防護(hù)。從0day漏洞利用工具請(qǐng)求的固有屬性出發(fā),只要識(shí)別到是工具行為,那么就可以直接對(duì)0day攻擊進(jìn)行阻斷,從而實(shí)現(xiàn)對(duì)業(yè)務(wù)的動(dòng)態(tài)保護(hù)。

插件掃描和被動(dòng)漏掃防護(hù)方面,基于瑞數(shù)信息特有的“動(dòng)態(tài)安全”技術(shù),能夠通過(guò)敏感信息隱藏、針對(duì)掃描器做重放性檢測(cè)、動(dòng)態(tài)挑戰(zhàn)等方式來(lái)進(jìn)行防護(hù),擺脫傳統(tǒng)封禁IP的繁瑣,讓紅方無(wú)法獲取有價(jià)值的信息。

密碼破解方面,通過(guò)準(zhǔn)確的人機(jī)識(shí)別技術(shù),可不依賴頻率閾值的情況下對(duì)密碼破解攻擊進(jìn)行攔截,可實(shí)現(xiàn)首次破解即被攔截的效果。

同時(shí),瑞數(shù)信息還可以通過(guò)指紋溯源關(guān)聯(lián)的形式,對(duì)整個(gè)攻擊團(tuán)伙做攻擊畫像,精確定位攻擊者身份,對(duì)攻擊者設(shè)備指紋直接做封殺。

隨著對(duì)抗的升級(jí),基于規(guī)則和特征的傳統(tǒng)安全設(shè)備防護(hù)效率將越來(lái)越低。對(duì)于人工攻擊,不妨換個(gè)思路,從干擾攻擊行為的角度出發(fā)進(jìn)行防護(hù)。

作為動(dòng)態(tài)安全技術(shù)的代表廠商,瑞數(shù)信息擁有多種動(dòng)態(tài)干擾功能:web代碼混淆、JS混淆、前端反調(diào)試、Cookie混淆、中間人檢測(cè)等,能夠不基于任何特征、規(guī)則的方式進(jìn)行有效防護(hù)。

例如:瑞數(shù)信息可以將URL動(dòng)態(tài)變化成亂碼,隱藏鏈接地址,攻擊者無(wú)法通過(guò)分析代碼,定位攻擊入口;可以通過(guò)高強(qiáng)度、動(dòng)態(tài)混淆機(jī)制,保證前端JS代碼不被泄露;可以通過(guò)干擾攻擊者調(diào)試分析,防止通過(guò)瀏覽器開(kāi)發(fā)者工具對(duì)網(wǎng)站進(jìn)行調(diào)試分析,獲取業(yè)務(wù)流程、接口;可以將Cookie內(nèi)容動(dòng)態(tài)變化成亂碼,防止攻擊者攔截Cookie,偽造交易報(bào)文,進(jìn)行中間人攻擊等等。

Webshell可以說(shuō)是內(nèi)網(wǎng)穿透利器,只要開(kāi)放web服務(wù),就有可能被利用搭建代理進(jìn)行內(nèi)網(wǎng)穿透。

目前,Webshell主要分為兩類:一類是傳統(tǒng)型,具備明顯的通訊特征;另一類是動(dòng)態(tài)加密型,能夠隱藏攻擊特征,很難防御。

對(duì)于動(dòng)態(tài)加密類的webshell,如:哥斯拉Godzilla、冰蝎等,同樣可以采用瑞數(shù)信息的“動(dòng)態(tài)安全”技術(shù),通過(guò)令牌等方式判定為非法訪問(wèn),并直接進(jìn)行阻斷,而不依賴于攻擊特征的識(shí)別。

總體而言,瑞數(shù)信息徹底轉(zhuǎn)換了傳統(tǒng)防護(hù)的思路,通過(guò)獨(dú)特的動(dòng)態(tài)安全技術(shù),以多維度“分級(jí)分層”的對(duì)抗策略,讓自動(dòng)化工具和攻擊者無(wú)法輕易發(fā)現(xiàn)攻擊入口,大幅提升攻擊難度與成本。同時(shí),通過(guò)對(duì)終端環(huán)境和設(shè)備指紋的多維度畫像,可以有效識(shí)別各類惡意自動(dòng)化工具,并能實(shí)時(shí)追蹤通過(guò)大量跳板隱藏攻擊來(lái)源的惡意終端。

對(duì)于藍(lán)隊(duì)而言,基于瑞數(shù)信息的動(dòng)態(tài)防護(hù)體系,能夠有效實(shí)現(xiàn)從“人防”到“技防”。無(wú)論在攻防演練還是日常運(yùn)維中,都能將安全人員從安全對(duì)抗和值守中釋放出來(lái)。

三、從被動(dòng)到主動(dòng),瑞數(shù)信息推出“重保神器”

在如今嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)下,動(dòng)態(tài)防護(hù)、主動(dòng)防御已經(jīng)成為安全建設(shè)的趨勢(shì)。面對(duì)花樣百出的攻擊手段,未知的安全威脅,瑞數(shù)信息已推出多項(xiàng)安全產(chǎn)品,覆蓋Web、移動(dòng)App、H5、API及IoT應(yīng)用,從應(yīng)用防護(hù)到業(yè)務(wù)透視,建立了從動(dòng)態(tài)防御到持續(xù)對(duì)抗的防護(hù)體系。

針對(duì)攻防演練、重大活動(dòng)保障這樣的特殊場(chǎng)景,瑞數(shù)信息也相應(yīng)推出了“重大活動(dòng)動(dòng)態(tài)安全保障”、“網(wǎng)站護(hù)盾”等解決方案,助力政企機(jī)構(gòu)防護(hù)方更高效、靈活地應(yīng)對(duì)復(fù)雜攻擊。

目前,瑞數(shù)動(dòng)態(tài)安全防護(hù)系統(tǒng)已應(yīng)用在政府、金融、能源、運(yùn)營(yíng)商等多個(gè)行業(yè)中,被眾多行業(yè)客戶防守方作為“重保神器”。從2016到2020年,瑞數(shù)信息參與了上百家單位的攻防演練防守工作,瑞數(shù)動(dòng)態(tài)安全防護(hù)系統(tǒng)對(duì)攻擊工具的防護(hù)能力,大大提高了攻擊門檻,讓攻擊隊(duì)的信息收集、漏洞掃描、0day探測(cè)等無(wú)法發(fā)起,從而得到了客戶的高度認(rèn)可。

據(jù)《2020網(wǎng)絡(luò)安全行業(yè)研究白皮書》顯示,某政務(wù)服務(wù)網(wǎng)站盡管已部署了傳統(tǒng)安全防御產(chǎn)品,但系統(tǒng)仍經(jīng)常被攻擊,網(wǎng)頁(yè)無(wú)法打開(kāi),投訴量持續(xù)增加。在緊急上線瑞數(shù)動(dòng)態(tài)安全產(chǎn)品后,60小時(shí)內(nèi),即識(shí)別并攔截了近4500萬(wàn)次異常訪問(wèn)請(qǐng)求,異常請(qǐng)求占到向該網(wǎng)站發(fā)起的總請(qǐng)求數(shù)的78%。深入分析后發(fā)現(xiàn),大多數(shù)爬蟲(chóng)攻擊工具都采用多源低頻的方式,通過(guò)更換大量IP來(lái)規(guī)避傳統(tǒng)安全檢測(cè)機(jī)制,使得溯源難度加大,傳統(tǒng)手段失效。而瑞數(shù)信息運(yùn)用“動(dòng)態(tài)安全”技術(shù)進(jìn)行人機(jī)識(shí)別,批量防爬蟲(chóng),具備獨(dú)特優(yōu)勢(shì)。

可以看到,基于瑞數(shù)信息的動(dòng)態(tài)安全技術(shù)和“重保神器”解決方案,能夠有效幫助攻防演練的防守方開(kāi)展實(shí)戰(zhàn)工作,提升用戶網(wǎng)絡(luò)安全防御能力,真正實(shí)現(xiàn)從人防到技防,從被動(dòng)到主動(dòng)。

分享到

zhupb

相關(guān)推薦