當(dāng)前位置:首頁 >  IDC >  安全 >  正文

瑞數(shù)信息防護(hù)“三板斧”,如何有效提升攻防演練能力?

 2021-03-29 18:17  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競價(jià),好“米”不錯(cuò)過

實(shí)戰(zhàn)攻防演練是檢閱政企機(jī)構(gòu)安全防護(hù)和應(yīng)急處置能力的有效手段之一。每年舉行的國家級(jí)實(shí)戰(zhàn)攻防演練,聚集了國內(nèi)多支頂尖攻擊團(tuán)隊(duì),在攻擊手段和強(qiáng)度上遠(yuǎn)遠(yuǎn)超過日常安全檢查,防守方都面臨著非常嚴(yán)峻的考驗(yàn)。

今年網(wǎng)絡(luò)攻防演練專項(xiàng)行動(dòng)在即,相信不少的企業(yè)和機(jī)構(gòu)早已開始了準(zhǔn)備。那么,如何高效應(yīng)對(duì)網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防演練?與之前相比,今年的網(wǎng)絡(luò)攻防演練又會(huì)出現(xiàn)哪些新特點(diǎn)呢?

一、從合規(guī)到實(shí)戰(zhàn),攻防演練呈現(xiàn)五大趨勢

由于目前網(wǎng)絡(luò)空間態(tài)勢復(fù)雜,如何在攻防對(duì)抗環(huán)境中具備實(shí)戰(zhàn)能力,已成為所有行業(yè)和政企機(jī)構(gòu)網(wǎng)絡(luò)安全建設(shè)的重要目標(biāo)。

瑞數(shù)信息首席安全顧問周浩表示,從2016-2020年的攻防演練實(shí)踐看,無論從演練規(guī)模還是攻擊技術(shù)上看,都在不斷升級(jí)演進(jìn)升級(jí)。

例如:2016年,攻擊方法以傳統(tǒng)應(yīng)用系統(tǒng)攻擊為主,攻擊手段相對(duì)單一;但到了2020年,攻擊范圍進(jìn)一步擴(kuò)大,自動(dòng)化攻擊、武器化攻擊越來越多,大批量0day在演練中使用,并且攻擊范圍也擴(kuò)展到了安全設(shè)備自身,各種高級(jí)實(shí)戰(zhàn)的攻擊手段也有所使用。

從去年攻防演練的實(shí)戰(zhàn)情況,可以看到攻防演練已呈現(xiàn)五大攻擊趨勢:

攻擊手法一:自動(dòng)化攻擊、武器化攻擊越加明顯

在攻防演練中,紅隊(duì)會(huì)對(duì)開源工具、泄漏工具、定制工具等進(jìn)行整合,構(gòu)建自己的武器庫。通過武器庫可快速高效的對(duì)各類0day、Nday漏洞進(jìn)行探測利用,在攻擊過程中還可對(duì)特征識(shí)別、IP封鎖等防護(hù)措施進(jìn)行突破。

除了漏洞探測利用工具外,紅隊(duì)還會(huì)利用動(dòng)態(tài)加密Webshell來穿透WAF防護(hù),進(jìn)行權(quán)限維持和跳板搭建,如哥斯拉、冰蝎等Webshell采用動(dòng)態(tài)加密方式,通信過程無穩(wěn)定可識(shí)別的特征,碾壓市面上所有基于特征匹配的傳統(tǒng)WAF。對(duì)于藍(lán)隊(duì)基于規(guī)則的防護(hù)而言,實(shí)則是一種降維打擊。

攻擊手法二:人員和管理漏洞探測

除了攻擊應(yīng)用漏洞之外,紅隊(duì)還會(huì)探測藍(lán)隊(duì)在人員和管理上的漏洞,如:弱口令、網(wǎng)絡(luò)遺漏備份文件等,尤其是VPN、郵箱、管理平臺(tái)等系統(tǒng),已經(jīng)成為重點(diǎn)攻擊對(duì)象。

攻擊手法三:多源低頻攻擊

攻防演練中,封IP是最主要的防護(hù)手段之一。實(shí)戰(zhàn)過程中,紅隊(duì)會(huì)通過分布在全國各地的IP代理發(fā)起攻擊,這些IP地址可能來自機(jī)房,也可能來自家庭寬帶、手機(jī)基站等。貿(mào)然對(duì)這些IP進(jìn)行封堵,可能會(huì)造成業(yè)務(wù)不可用,甚至達(dá)到防火墻IP黑名單的數(shù)量上限。

攻擊手法四:社工釣魚

社工釣魚在實(shí)戰(zhàn)中的應(yīng)用越來越廣泛。紅隊(duì)會(huì)從人的角度下手,給相應(yīng)的員工、外包人員發(fā)釣魚郵件,搭建釣魚用的WIFI熱點(diǎn),甚至雇人混入藍(lán)隊(duì),插U盤、中木馬等等。

攻擊手法五:0day攻擊成為常態(tài)

在攻防演練中,0day攻擊已成為常態(tài),由于0day漏洞能夠穿透現(xiàn)有基于規(guī)則的防護(hù)技術(shù),被視為紅隊(duì)最為有效的手段之一。2020年攻防演練中,出現(xiàn)了上百個(gè)0day漏洞,這些漏洞中大部分和暴露在互聯(lián)網(wǎng)上的Web應(yīng)用相關(guān),直接威脅到核心系統(tǒng)的安全。

總體而言,在實(shí)戰(zhàn)化、高級(jí)化、常態(tài)化的攻擊趨勢下,攻防演練的力度將空前加大。鑒于今年建黨100周年等重大活動(dòng)眾多,境外惡勢力攻擊將更加激烈,各類重?;顒?dòng)的時(shí)間也會(huì)持續(xù)拉長。

二、從人防到技防,瑞數(shù)信息“三板斧”構(gòu)建實(shí)戰(zhàn)能力

攻易守難,安全工作者在攻防演練中往往要承受巨大的壓力。由于藍(lán)隊(duì)處于被動(dòng),當(dāng)發(fā)現(xiàn)攻擊事件、溯源攻擊時(shí),整體已經(jīng)處于滯后狀態(tài),所以在攻防演練中,藍(lán)隊(duì)需要投入大量精力做防守,甚至是7*24小時(shí)的人工值守,處于非常態(tài)化的安全運(yùn)營中。

那么,是否能夠通過一些技術(shù)手段來降低藍(lán)隊(duì)安全人員的工作量,并達(dá)到很好的防護(hù)效果呢?瑞數(shù)信息首席安全顧問周浩認(rèn)為,要做到從“人防”到“技防”,可以從攻擊的三個(gè)階段入手:

第一階段:自動(dòng)化攻擊、信息收集

在攻擊前期,紅隊(duì)的重點(diǎn)在于以自動(dòng)化攻擊、信息收集為主,如:資產(chǎn)探測、已知漏洞探測;利用工具發(fā)起批量攻擊;弱口令嗅探、路徑遍歷、批量POC等。

第二階段:手工攻擊、多源低頻、重點(diǎn)突破

信息收集后,紅隊(duì)會(huì)轉(zhuǎn)向重點(diǎn)系統(tǒng)攻擊,通過人工分析漏洞,發(fā)起定向打擊,同時(shí)對(duì)現(xiàn)有安全措施進(jìn)行突破。

第三階段:橫向移動(dòng)、核心滲透

在紅隊(duì)獲得一定權(quán)限后,會(huì)對(duì)權(quán)限進(jìn)行提升,并搭建代理跳板,橫向移動(dòng),對(duì)核心系統(tǒng)靶標(biāo)進(jìn)行滲透。拿下靶標(biāo)時(shí),意味著紅隊(duì)的勝利。

針對(duì)以上三個(gè)階段,周浩建議,藍(lán)方可以通過瑞數(shù)信息“三板斧”模式,采用三種不同的防護(hù)手段,來做相應(yīng)的阻攔。

板斧一:攔工具。通過對(duì)工具類的探測利用進(jìn)行攔截,降低紅方攻擊效率。

為了彌補(bǔ)特征識(shí)別的缺陷,對(duì)于工具的防護(hù)可以根據(jù)攻擊工具自身的特點(diǎn),采用“分級(jí)分層、按需對(duì)抗”的策略。針對(duì)不同級(jí)別的工具,采用相應(yīng)的識(shí)別攔截手段:

實(shí)現(xiàn)效果:

通用漏掃防護(hù)方面,瑞數(shù)信息能夠提供漏洞隱藏功能,將所有的高危、中危漏洞、網(wǎng)頁目錄結(jié)構(gòu)做隱藏,讓紅方掃描器得不到任何有價(jià)值的信息。

0day防護(hù)方面,通過瑞數(shù)信息獨(dú)有的動(dòng)態(tài)驗(yàn)證、封裝、混淆、令牌四大動(dòng)態(tài)安全技術(shù),能夠?qū)崿F(xiàn)不基于規(guī)則的防護(hù)。從0day漏洞利用工具請(qǐng)求的固有屬性出發(fā),只要識(shí)別到是工具行為,那么就可以直接對(duì)0day攻擊進(jìn)行阻斷,從而實(shí)現(xiàn)對(duì)業(yè)務(wù)的動(dòng)態(tài)保護(hù)。

插件掃描和被動(dòng)漏掃防護(hù)方面,基于瑞數(shù)信息特有的“動(dòng)態(tài)安全”技術(shù),能夠通過敏感信息隱藏、針對(duì)掃描器做重放性檢測、動(dòng)態(tài)挑戰(zhàn)等方式來進(jìn)行防護(hù),擺脫傳統(tǒng)封禁IP的繁瑣,讓紅方無法獲取有價(jià)值的信息。

密碼破解方面,通過準(zhǔn)確的人機(jī)識(shí)別技術(shù),可不依賴頻率閾值的情況下對(duì)密碼破解攻擊進(jìn)行攔截,可實(shí)現(xiàn)首次破解即被攔截的效果。

同時(shí),瑞數(shù)信息還可以通過指紋溯源關(guān)聯(lián)的形式,對(duì)整個(gè)攻擊團(tuán)伙做攻擊畫像,精確定位攻擊者身份,對(duì)攻擊者設(shè)備指紋直接做封殺。

板斧二:擾人工。對(duì)人工滲透行為進(jìn)行迷惑干擾,提升紅方分析難度。

隨著對(duì)抗的升級(jí),基于規(guī)則和特征的傳統(tǒng)安全設(shè)備防護(hù)效率將越來越低。對(duì)于人工攻擊,不妨換個(gè)思路,從干擾攻擊行為的角度出發(fā)進(jìn)行防護(hù)。

作為動(dòng)態(tài)安全技術(shù)的代表廠商,瑞數(shù)信息擁有多種動(dòng)態(tài)干擾功能:web代碼混淆、JS混淆、前端反調(diào)試、Cookie混淆、中間人檢測等,能夠不基于任何特征、規(guī)則的方式進(jìn)行有效防護(hù)。

例如:瑞數(shù)信息可以將URL動(dòng)態(tài)變化成亂碼,隱藏鏈接地址,攻擊者無法通過分析代碼,定位攻擊入口;可以通過高強(qiáng)度、動(dòng)態(tài)混淆機(jī)制,保證前端JS代碼不被泄露;可以通過干擾攻擊者調(diào)試分析,防止通過瀏覽器開發(fā)者工具對(duì)網(wǎng)站進(jìn)行調(diào)試分析,獲取業(yè)務(wù)流程、接口;可以將Cookie內(nèi)容動(dòng)態(tài)變化成亂碼,防止攻擊者攔截Cookie,偽造交易報(bào)文,進(jìn)行中間人攻擊等等。

板斧三:斷跳板。對(duì)紅方webshell等跳板工具進(jìn)行阻斷。

Webshell可以說是內(nèi)網(wǎng)穿透利器,只要開放web服務(wù),就有可能被利用搭建代理進(jìn)行內(nèi)網(wǎng)穿透。

目前,Webshell主要分為兩類:一類是傳統(tǒng)型,具備明顯的通訊特征;另一類是動(dòng)態(tài)加密型,能夠隱藏攻擊特征,很難防御。

對(duì)于動(dòng)態(tài)加密類的webshell,如:哥斯拉Godzilla、冰蝎等,同樣可以采用瑞數(shù)信息的“動(dòng)態(tài)安全”技術(shù),通過令牌等方式判定為非法訪問,并直接進(jìn)行阻斷,而不依賴于攻擊特征的識(shí)別。

總體而言,瑞數(shù)信息徹底轉(zhuǎn)換了傳統(tǒng)防護(hù)的思路,通過獨(dú)特的動(dòng)態(tài)安全技術(shù),以多維度“分級(jí)分層”的對(duì)抗策略,讓自動(dòng)化工具和攻擊者無法輕易發(fā)現(xiàn)攻擊入口,大幅提升攻擊難度與成本。同時(shí),通過對(duì)終端環(huán)境和設(shè)備指紋的多維度畫像,可以有效識(shí)別各類惡意自動(dòng)化工具,并能實(shí)時(shí)追蹤通過大量跳板隱藏攻擊來源的惡意終端。

對(duì)于藍(lán)隊(duì)而言,基于瑞數(shù)信息的動(dòng)態(tài)防護(hù)體系,能夠有效實(shí)現(xiàn)從“人防”到“技防”。無論在攻防演練還是日常運(yùn)維中,都能將安全人員從安全對(duì)抗和值守中釋放出來。

三、從被動(dòng)到主動(dòng),瑞數(shù)信息推出“重保神器”

在如今嚴(yán)峻的網(wǎng)絡(luò)安全形勢下,動(dòng)態(tài)防護(hù)、主動(dòng)防御已經(jīng)成為安全建設(shè)的趨勢。面對(duì)花樣百出的攻擊手段,未知的安全威脅,瑞數(shù)信息已推出多項(xiàng)安全產(chǎn)品,覆蓋Web、移動(dòng)App、H5、API及IoT應(yīng)用,從應(yīng)用防護(hù)到業(yè)務(wù)透視,建立了從動(dòng)態(tài)防御到持續(xù)對(duì)抗的防護(hù)體系。

針對(duì)攻防演練、重大活動(dòng)保障這樣的特殊場景,瑞數(shù)信息也相應(yīng)推出了“重大活動(dòng)動(dòng)態(tài)安全保障”、“網(wǎng)站護(hù)盾”等解決方案,助力政企機(jī)構(gòu)防護(hù)方更高效、靈活地應(yīng)對(duì)復(fù)雜攻擊。

目前,瑞數(shù)動(dòng)態(tài)安全防護(hù)系統(tǒng)已應(yīng)用在政府、金融、能源、運(yùn)營商等多個(gè)行業(yè)中,被眾多行業(yè)客戶防守方作為“重保神器”。從2016到2020年,瑞數(shù)信息參與了上百家單位的攻防演練防守工作,瑞數(shù)動(dòng)態(tài)安全防護(hù)系統(tǒng)對(duì)攻擊工具的防護(hù)能力,大大提高了攻擊門檻,讓攻擊隊(duì)的信息收集、漏洞掃描、0day探測等無法發(fā)起,從而得到了客戶的高度認(rèn)可。

據(jù)《2020網(wǎng)絡(luò)安全行業(yè)研究白皮書》顯示,某政務(wù)服務(wù)網(wǎng)站盡管已部署了傳統(tǒng)安全防御產(chǎn)品,但系統(tǒng)仍經(jīng)常被攻擊,網(wǎng)頁無法打開,投訴量持續(xù)增加。在緊急上線瑞數(shù)動(dòng)態(tài)安全產(chǎn)品后,60小時(shí)內(nèi),即識(shí)別并攔截了近4500萬次異常訪問請(qǐng)求,異常請(qǐng)求占到向該網(wǎng)站發(fā)起的總請(qǐng)求數(shù)的78%。深入分析后發(fā)現(xiàn),大多數(shù)爬蟲攻擊工具都采用多源低頻的方式,通過更換大量IP來規(guī)避傳統(tǒng)安全檢測機(jī)制,使得溯源難度加大,傳統(tǒng)手段失效。而瑞數(shù)信息運(yùn)用“動(dòng)態(tài)安全”技術(shù)進(jìn)行人機(jī)識(shí)別,批量防爬蟲,具備獨(dú)特優(yōu)勢。

可以看到,基于瑞數(shù)信息的動(dòng)態(tài)安全技術(shù)和“重保神器”解決方案,能夠有效幫助攻防演練的防守方開展實(shí)戰(zhàn)工作,提升用戶網(wǎng)絡(luò)安全防御能力,真正實(shí)現(xiàn)從人防到技防,從被動(dòng)到主動(dòng)。

申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)標(biāo)簽
網(wǎng)絡(luò)安全
網(wǎng)站攻擊

相關(guān)文章

  • 2023 年 6 月頭號(hào)惡意軟件:Qbot 成為 2023 年上半年最猖獗惡意軟件

    CheckPointResearch報(bào)告稱,多用途木馬Qbot是2023年上半年最猖獗的惡意軟件。與此同時(shí),移動(dòng)木馬SpinOk于6月份首次位居榜首,該惡意軟件在MOVEit暴出零日漏洞后開始肆虐2023年7月,全球領(lǐng)先的網(wǎng)絡(luò)安全解決方案提供商CheckPoint?軟件技術(shù)有限公司(納斯達(dá)克股票代碼

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 華順信安榮獲“網(wǎng)絡(luò)空間安全產(chǎn)學(xué)協(xié)同育人優(yōu)秀案例”二等獎(jiǎng)

    7月6日,“第三屆網(wǎng)絡(luò)空間安全產(chǎn)學(xué)協(xié)同育人優(yōu)秀案例”評(píng)選活動(dòng)正式公布獲獎(jiǎng)名單,華順信安與湘潭大學(xué)計(jì)算機(jī)學(xué)院·網(wǎng)絡(luò)空間安全學(xué)院聯(lián)合申報(bào)的參選案例獲評(píng)優(yōu)秀案例二等獎(jiǎng)。本次活動(dòng)由教育部高等學(xué)校網(wǎng)絡(luò)空間安全專業(yè)教學(xué)指導(dǎo)委員會(huì)產(chǎn)學(xué)合作育人工作組主辦,四川大學(xué)與華中科技大學(xué)共同承辦。本次評(píng)選,華順信安與湘潭大學(xué)

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • Check Point:攻擊者通過合法email服務(wù)竊取用戶憑證信息

    近日,CheckPoint?軟件技術(shù)有限公司的研究人員對(duì)電子郵件安全展開調(diào)研,結(jié)果顯示憑證收集仍是主要攻擊向量,59%的報(bào)告攻擊與之相關(guān)。它還在商業(yè)電子郵件入侵(BEC)攻擊中發(fā)揮了重要作用,造成了15%的攻擊。同時(shí),在2023年一份針對(duì)我國電子郵件安全的第三方報(bào)告顯示,與證書/憑據(jù)釣魚相關(guān)的不法活

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 百代OSS防勒索解決方案,打造領(lǐng)先安全生態(tài)體系

    Verizon發(fā)布的VerizonBusiness2022數(shù)據(jù)泄露調(diào)查報(bào)告顯示,勒索軟件在2022年同比增長13%,增幅超過過去五年綜合。更危險(xiǎn)的是,今年又出現(xiàn)了許多新的勒索軟件即服務(wù)(RaaS)團(tuán)伙,例如Mindware、Onyx和BlackBasta,以及惡名昭著的勒索軟件運(yùn)營商REvil的回歸

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 2023 CCIA年度榜單出爐,華順信安三度蟬聯(lián)“中國網(wǎng)安產(chǎn)業(yè)成長之星

    6月21日,中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(CCIA)正式發(fā)布由網(wǎng)絡(luò)安全產(chǎn)業(yè)研究機(jī)構(gòu)“數(shù)說安全”提供研究支持的“2023年中國網(wǎng)安產(chǎn)業(yè)競爭力50強(qiáng)、成長之星、潛力之星”榜單。華順信安憑借行業(yè)內(nèi)優(yōu)秀的專業(yè)能力與強(qiáng)勁的核心競爭力再次榮登“2023年中國網(wǎng)安產(chǎn)業(yè)成長之星”榜單。據(jù)悉,中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(CCIA)

    標(biāo)簽:
    網(wǎng)絡(luò)安全

熱門排行

信息推薦