域名預(yù)訂/競價，好“米”不錯過

筆者按

最近圈內(nèi)關(guān)于紅藍對抗,Red Team服務(wù)的討論很熱烈,原因相信大家都是很清楚的。目前來看,很多企事業(yè)單位對“安全之痛”還缺乏體會,國內(nèi)安全防護水平的發(fā)展很大程度上仍然需要監(jiān)管部門來推動。

筆者所在的公司(安全狗)在今年年初,也把原來做滲透測試的團隊升級成為了可提供Red Team服務(wù)的隊伍,一方面是因為滲透測試服務(wù)市場受到了眾測服務(wù)一定程度的沖擊,另外一方面是隨著攻擊手段隱蔽性和復(fù)雜性的逐年提升,國內(nèi)Red Team服務(wù)需求會大幅上升?，F(xiàn)在回過頭來看,我們的預(yù)判很準確。

最近很多文章都在強調(diào)Red Team服務(wù)攻擊能力的重要性,由于我本人長年從事安全防護產(chǎn)品研究和設(shè)計工作,所以本文將從Red Team服務(wù)促進安全體系改進提升的角度進行探討。

Red Team服務(wù)(國內(nèi)團隊也稱為藍軍)旨在通過全場景、多維度的“真實”攻擊來檢驗企業(yè)實際的安全防護水平和發(fā)現(xiàn)安全防護體系的缺陷。

Red Team服務(wù)與傳統(tǒng)滲透測試相比最大的區(qū)別在于:

1、傳統(tǒng)滲透測試目的在于盡可能找全某個系統(tǒng)的漏洞,對于漏洞的利用基本是點到為止(確認其可利用性和危害);Red Team服務(wù)的目的則不是為了找全漏洞,而是為了找到可利用的風險點,并繞過防護體系滲透到企業(yè)內(nèi)部,全面檢驗企業(yè)各個維度的安全防護能力和安全感知能力;

2、傳統(tǒng)滲透測試的攻擊手段相對比較單一,比如針對web業(yè)務(wù)系統(tǒng)的滲透測試基本就是利用web攻擊的相關(guān)方法;而Red Team服務(wù)會利用多維度的攻擊方法(如web滲透、郵件釣魚、魚叉攻擊、無線攻擊甚至物理攻擊);

3、傳統(tǒng)滲透測試一般會選用模擬測試環(huán)境進行;而Red Team更傾向于在真實環(huán)境和場景中進行真實的對抗,會有攻擊方和防守方甚至有裁判組,整個過程相對更加復(fù)雜。

我們的Red Team方案把整個攻擊鏈條總結(jié)為“從外到內(nèi)、從內(nèi)到內(nèi)和從內(nèi)到外”三個環(huán)節(jié),從這三個環(huán)節(jié)基本能完整檢驗一個企業(yè)的真實防守能力,如下圖所示:

“從外到內(nèi)” 主要檢驗企業(yè)的邊界防護能力、員工的安全意識以及供應(yīng)鏈上的安全風險等;這部分的攻擊方法會涉及到web攻擊、郵件釣魚、社工測試、第三方供應(yīng)鏈攻擊等。

“從內(nèi)到內(nèi)” 主要檢驗企業(yè)內(nèi)部安全的防護能力和內(nèi)部安全威脅感知能力等;這部分的攻擊方法會涉及到內(nèi)部的橫向滲透、系統(tǒng)提權(quán)攻擊、后門隱藏甚至?xí)玫揭恍?Day漏洞,有點APT的味道。

“從內(nèi)到外” 主要檢驗企業(yè)對于安全威脅感知能力和信息數(shù)據(jù)外傳泄露的檢測能力等;這部分的攻擊方法會涉及隱藏的反彈Shell(繞過防火墻)、隱蔽隧道數(shù)據(jù)傳輸?shù)取?/p>

從這個三個方面的攻擊鏈條來看,安全防護體系的縱深性、聯(lián)動性和全面感知是非常重要的。由于Red Team能檢驗的防守點很多,接下來我們結(jié)合對應(yīng)的產(chǎn)品,分別從三個階段給出提升防護體系的建議。

一、從外到內(nèi)

這個階段重點推薦RASP(應(yīng)用運行時自保護),這是針對web安全的縱深防護手段。目前大部分企業(yè)在邊界上都部署了云WAF、硬件WAF,但如果出現(xiàn)一個未知web中間件漏洞或應(yīng)用系統(tǒng)漏洞,直接繞過邊界上的WAF是相當容易的(如各種JAVA中間件的反序列化漏洞);而如果此時web后端有個RASP模塊進行保護,就可以輕松地發(fā)現(xiàn)這些高級攻擊,如:web進程執(zhí)行命令、web進程敏感文件讀寫行為、web進程對系統(tǒng)賬號的修改行為、web進程對外網(wǎng)絡(luò)連接行為等;對這些行為再加以分析基本就可以判斷系統(tǒng)是否已經(jīng)被攻陷并快速采取處置動作。

具體的原理如下圖:

當然這類產(chǎn)品優(yōu)點雖然很明顯,但缺點也很突出,就是侵入性太強。對于業(yè)務(wù)連續(xù)性要求很高的行業(yè),一般不敢輕易嘗試。從我們實際部署的經(jīng)驗看,可以考慮從一些邊緣的系統(tǒng)開始測試,穩(wěn)定后逐步覆蓋到關(guān)鍵系統(tǒng)。在部署安裝的時候可利用多節(jié)點負載備份和選擇非工作時段,同時要求RASP安全策略和自身模塊支持熱更新模式,無需重啟服務(wù)。

二、從內(nèi)到內(nèi)

從去年的某大型攻防演練中可以看到,很多大型企業(yè)內(nèi)部防護基本是空白的(大部分單位認為內(nèi)部網(wǎng)絡(luò)隔離就是安全的),因此今年企業(yè)對這方面也特別重視。這個階段重點推薦兩種類型產(chǎn)品:

第一類是 (云)服務(wù)器主機EDR產(chǎn)品。 EDR(終端檢測和響應(yīng))是Gartner針對終端安全提出的下一代產(chǎn)品,連續(xù)四年進入Gartner的年度安全技術(shù)榜單。筆者在實際的產(chǎn)品研究過程中發(fā)現(xiàn)EDR的能力要求更適合(云)服務(wù)器主機環(huán)境:

EDR要求Agent輕量化:很多甲方客戶不敢在服務(wù)器上裝安全Agent,就是擔心安全Agent占用資源影響到業(yè)務(wù),由此導(dǎo)致內(nèi)部主機大面積裸奔的情況,而EDR的Agent輕量化正好符合服務(wù)器場景的要求;

EDR要求檢測能力:PC終端安全的大部分問題在于容易感染病毒,而服務(wù)器主機更多問題在于如何發(fā)現(xiàn)入侵和違規(guī)行為,因此服務(wù)器場景對于檢測能力的要求高于殺毒能力,所以EDR的檢測能力非常適合在服務(wù)器場景上應(yīng)用;

EDR要求快速響應(yīng)能力:主機Agent可以滿足阻斷、隔離、還原等快速響應(yīng)的要求。

綜上,服務(wù)器主機EDR產(chǎn)品在內(nèi)部安全威脅檢測中可以起到很好的效果,既可以彌補內(nèi)部檢測能力的不足,同時也很適用于云的場景,不受網(wǎng)絡(luò)區(qū)域限制。

第二類是欺騙防御產(chǎn)品。 欺騙防御系統(tǒng)也是這幾年比較新興的一種產(chǎn)品品類,由原來的蜜罐產(chǎn)品升級而來,但又不同于傳統(tǒng)意義上的蜜罐。我們認為欺騙防御產(chǎn)品是對安全檢測體系一個很好的補充,很適合在一些特殊的內(nèi)網(wǎng)進行部署。

欺騙技術(shù)分為不同層次,需具備真實網(wǎng)絡(luò)的所有特征,包括真正的數(shù)據(jù)和設(shè)備。這種欺騙技術(shù)可以模仿并分析不同類型的流量,提供對賬戶和文件的虛假訪問,更為神似地模仿內(nèi)部網(wǎng)絡(luò),同時還要求可以自動部署,讓攻擊者被耍得團團轉(zhuǎn),陷入無窮無盡追逐更多信息的循環(huán)中。欺騙防御產(chǎn)品按既定意圖運作時,黑客會真的相信自己已經(jīng)滲透到了受限網(wǎng)絡(luò)中。

三、從內(nèi)到外

這個階段對于數(shù)據(jù)外傳的檢測是相當重要的,這里重點推薦流量威脅檢測類型的產(chǎn)品。不少人認為流量威脅檢測產(chǎn)品是IDS的下一代升級版,這樣認為有一定道理(都是旁路流量檢測)但又不完全準確,筆者認為好的流量威脅檢測產(chǎn)品須具備以下特性:

不依賴威脅情報情況下對于反彈外聯(lián)的檢測能力(依賴檢測算法);

依賴威脅情報對于C&C的快速檢測能力;

依賴AI模型對于隱蔽傳輸通道的識別能力;

元數(shù)據(jù)的采集、存儲和分析能力,同時能對接給態(tài)勢感知平臺;

威脅事件的溯源取證能力(存儲原始的package)

當然,介紹了這么多的防護產(chǎn)品,最終還是需要聯(lián)動起來才能發(fā)揮作用,這就要依靠安全大數(shù)據(jù)分析和響應(yīng)平臺(也就是大家常說的態(tài)勢感知平臺或安全大腦)。在缺乏有效的全局安全威脅情報共享聯(lián)動作支撐的情況下,不同廠商、不同類型的傳統(tǒng)安全產(chǎn)品難以協(xié)同,容易發(fā)生安全威脅和整體態(tài)勢研判誤報、漏報的現(xiàn)象。

而依托安全大數(shù)據(jù)分析和響應(yīng)平臺,部署的各類防護軟件和系統(tǒng)既可以針對目標進行實時防護,同時又可將攻擊數(shù)據(jù)匯總至態(tài)勢感知平臺,全面展示安全態(tài)勢,實現(xiàn)對全局的安全風險可視和可預(yù)測,為安全決策提供可靠的依據(jù)和手段,這也是我們發(fā)展此類平臺的重要意義。

“九層之臺起于壘土”,安全防護體系的建設(shè)也需要一個過程,這個過程中,既考驗甲方的安全規(guī)劃和安全運營能力,也挑戰(zhàn)乙方的產(chǎn)品能力和服務(wù)能力。相信隨著國內(nèi)網(wǎng)絡(luò)安全產(chǎn)業(yè)不斷地向前發(fā)展,我們整體的安全防護水平也會不斷提升到新的高度。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！