官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
Coisini10- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
本文由
Coisini10 创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
1.概述
近年来,随着攻防演练常态化,以及《中华人民共和国网络安全法》、《关键信息基础设施安全保护条例》等法律法规的相继颁布,网络安全建设从“合规驱动”逐步过渡到 “实战驱动”的阶段。传统的安全事件响应也由被动“亡羊补牢”的方式,向主动“先发现、先预防、先处理”的持续检测响应转变。数字化转型加快了我国的信息技术基础设施向数字化基础设施转变,数字化时代带来更新的安全挑战。数字化转型使得我们网络安全的战场、网络安全的攻击手段、网络安全的目标等都发生了变化。
仅针对漏洞的检测在新的实战化攻防博弈中远远不够,仅仅基于治理的角度下进行无差别防御性检测,难以确保防御能力的有效性。站在攻击者视角,包括敏感信息、漏洞、弱口令、不合安全要求而开放的敏感端口服务、易忽略的不安全配置、不受控的访问认证策略等都是可能导致IT系统失陷的问题,这些问题如果不能先于攻击者进行发现、整改和预防,则可能导致辛苦构筑的安全防御体系,因这些细小的问题功亏一篑。
2018年,在Gartner首次提出“攻击面”概念后,网络安全攻防博弈的焦点已悄然发生转变,迎来一次升维跨越所谓攻击面,一般是指“位于系统(包括系统组件、资产环境)边界的一组入口,导致攻击者可以通过该入口进入系统进行破坏或者盗取数据”。攻击面是将攻击者可能引发攻击的向量进行汇聚和关联,所有的主机设备、信息系统入口点、访问和特权、面向互联网的应用程序与服务,甚至供应商产品、开放API等等都是企业的暴露面,而这些暴露面是否具有漏洞、不安全配置、不合规管理、不达标防御策略在未来都可能酿成较大的安全事故。不同于漏洞的检测和发现,攻击面的检测是对提早发现任何可能演化成安全事故的问题,通过攻击视角汇集所有可能发生问题攻击向量,通过扩大检测面来提高网络安全风险预防的全面性,包括融入了漏洞、人员、防御配置等多方面因素。
2.安全防御体系的新挑战
安全的本质是攻与防的对抗较量,仅站在防守的角度依赖WAF、IPS、EDR等安全产品进行安全防御体系的构建是远远不够的。为了通过攻防验证自身的防御体系,渗透服务作为最常见的一种以攻击视角进行安全检测的方式常备用于业务系统的上线前检测,然而大部分的渗透服务都是浅尝辄止,增加了安全成本的同时并不能全面的发现企业存在的攻击面,这导致企业并不清楚真实攻击是怎样的,无法基于数据和客观事实驱动自身构建安全防御体系,造成大量冗余而无用的投入。
(1)渗透测试成本高,质量效果无法得到保障
渗透测试是企业安全防御体系建设中不可或缺的环节之一,企业通过渗透测试,以仿照攻击者的角度黑盒测试自身的信息系统,从而找到可能存在的web漏洞、系统漏洞、逻辑漏洞。面对渗透测试的昂贵的价格和较长的周期,考虑到成本,往往无法对每次上线的版本以及全面的信息系统做测试,从而留下安全隐患。,另外渗透测试对实施测试服务人员的要求较高,渗透测试的结果严重依赖渗透工程师的个人经验,很难保证所有渗透都是由实战经验丰富的高级渗透人员进行的,于是渗透成为一种“类合规”服务,加上有限投入进行服务的方式,无法将完整的攻击链路测试出来,渗透质量对实战的有效性如何保障成为一大难题。
(2)现有主动检测工具无法绘制完整攻击面
攻击面不同于漏洞,针对攻击面的检测要求更高,不仅要扫描发现软件自身的缺陷导致可以被攻击者利用的某个漏洞,还需要进行更深度的检测和利用,发现一些潜在的攻击面,比如泄露的信息数据、多漏洞组合后新的危害等,这些潜在的攻击面在实际对抗中,将信息系统被攻陷的原因,提早以攻击者的视角发现系统中的这些攻击面,对企业安全防御有着重大意义。然而这些攻击面隐藏较深,各类安全产品的信息是离散的,弱点难以组合成面,也无法将已有的防御纳入攻击面的绘制中,任何小的遗漏都有可能导致安全防守工作本就是千里之堤毁于蚁穴,但凡有一个小的遗漏都可能导致整个防守功亏一篑。
(3)无法站在业务角度描绘攻击面的危害性
面对大量存在的攻击面,了解攻击面对业务具体的影响是非常关键的一环。从攻击者的角度来看,每次的攻击也是需要成本的,攻击实际的价值是攻击者最关心的内容。站在防守角度,一次多手段、多弱点利用的组合攻击,对业务的影响范围有哪些,会造成怎样的影响,是防守投入产出最大化的关键。在漏洞、配置缺陷的修复过程中,安全部门对此类漏洞不清楚可能带来的危害,往往会和修复业务部门产生较大的摩擦,并且对海量的漏洞也无法评估出贴合实际业务的风险评级,所以辨别漏洞的价值和可能产生的危害也是攻击面检测环节中的难题。
(4)安全防御体系建设对于攻击态势的有效性无法确认
不论是“等保”,还是安全攻防演习,大部分企业早已买了大量的安全产品,但是面对攻击者层出不穷的攻击手段,自身的安全体系是否可以满足对外界攻击的拦截、发现等防御手段,这都需要企业站在攻击者视角下对自身进行安全防御有效性进行审视和检测,确保自身防御的有效,但现阶段仅通过渗透的方式远远不够,在边界内的安全失陷一年仅有一次HVV可以检测,针对新爆发的漏洞或攻击手段,不能进行动态的有效性评测。
(5)如何清楚攻击者是怎样进行攻击的?
面对复杂的信息化系统,不仅需要知道他有哪些弱点,还需要知道攻击者是如何对自己发动攻击的,以及攻击路径是怎样的。通过了解攻击路径从而清楚的知道自己的信息资产节点其弱点所在以及可能产生的攻击面,提前进行预防。然而不论是渗透还是扫描,都无法将攻击有效的完整记录,也不能将多个节点的模拟攻击串联在一起形成完整的攻击链路,使得企业人员无法了解攻击者可能进行的攻击手段,从而出现可能的疏漏演变成安全事件。
3.解决方案
将攻防专家经验与人工智能相结合,对目标网络进行可控渗透测试和无害化模拟攻击,利用KillChain模型、路径规则、战法推演,实现企业内外部攻击面的分析、验证、研判、预测等对抗场景。具有智能目标分析、弱点可控利用、多层内网穿透、智能路径决策、迭代攻击调度的特点,助力企业摸清真实存在的攻击面,并进行安全防御体系有效性的自动化验证和评价。
(1)内网暴露面收集
内网信息是攻击面中最为重要的一环,通过内网的信息收集可以放大检测到的弱点价值,是决策攻击链路最重要的前置条件。攻击者在已经进入企业内网后,突破内网的前提就是基于内网环境最大化的进行信息收集,内网信息收集对比与外网要复杂的多,不仅是网络区域的复杂,还包括资产分布的复杂,除了各类管理系统的Web站,还有高危端口、主机信息、权限信息等等。
智能化渗透平台以单点开展侦查工作,获取目标内网环境、主机信息、登录凭证等,以外部视角对企业资源和网络环境进行观察,确定是否值得攻击。通过信息收集可以确认企业网络防护是否薄弱、有无高价值敏感数据。内网信息的价值往往决定了攻击者攻击的入侵的深度,可完成基于本机对内网同网段主机进行端口和服务的检测,或Web指纹、目录的探测,也可以基于攻击拿到的权限进一步深度收集,包括域内信息、网络配置信息、进程、用户等多种数据,以攻击者视角全面绘制企业内部的内网暴露面,企业可根据内网暴露的信息与自身安全管理策略进行比对,发现内网暴露的非合规问题和可能存在的安全缺陷。
内网主机信息 | 硬件产品、软件产品、产品版本、补丁、开发端口、启用服务等 |
内网网络信息 | 网络域、网络端口开放、域名信息、网卡信息等 |
安全信息收集 | 终端杀软、防火墙配置等 |
用户信息收集 | 用户权限、登录信息、用户组、域管理信息、账户信息等 |
凭据信息收集 | 用户hash、凭证文件、等 |
敏感信息收集 | 个人隐私数据,如姓名、身份证号、电话、银行账号、密码,企业敏感数据,如企业邮箱、敏感文件等 |
(2)验证性漏洞检测
通过模拟攻击者对目标进行全自动化的渗透测试与攻击模拟检测,识别目标系统中可能存在的安全脆弱性。不同于漏洞扫描工具,通过AI指纹预测引擎、事件流分类处理引擎、PoC检测引擎联动极大化的提升漏洞的检测覆盖度和精准度。通过识别可能的指纹并综合比对指纹权重,调用事件流动态加载安全检测插件,实现最优化安全漏洞检测方案。
基于尝试性请求的返回,智能化渗透测试系统可智能识别目标网络环境上下文分析,自动启用最佳的检测配置,包括扫描精度、扫描速度等,保障扫描的可靠性,从而进行Web漏洞、系统组件漏洞、弱口令漏洞等多种安全检测。可通过系统暴露的端口识别对应的服务指纹,利用PoC模型构造动态Payload,从而验证是否存在真实漏洞。
(3)深度弱点利用
通过漏洞利用深度发现高隐蔽性漏洞和弱点,通过自动化利用,还原可能发生的攻击路径,为防守方提供客观的安全弱点数据以便精细化进行防守决策。通过Exp模块将攻击者的每一个攻击动作以及动作之间的关联以图谱的节点关系进行存储和关联调度,实现漏洞利用的可组合化、可配置化,完全自动化对目标进行自动化渗透和模拟攻击测试,将漏洞利用不再成为限制安全管理人员进行安全检测的方式和手段。
(4)攻击链路可视化
对系统内进行的完整攻击链路以图形化的形式直观呈现,以拓扑形式呈现不同网段内系统的风险主机、失陷主机、攻击链路等情况。并支持按攻击事件时间线查看攻击链路的详细情况,可直观发现系统内对安全影响最大的关键节点,包括多攻击链路共用节点、跨网段横移节点等。按照KillChain模型将攻击链路拆解成每一个阶段的行为,包括侦查跟踪、武器构建、在和投递、漏洞利用、安装植入、命令控制,用户可按照攻击阶段,检索和查看相关行为,进一步分析内部主机失陷的情况,直观了解攻击者攻击过程中的时间线和链路行为。
(5)攻击面影响评价
针对目标系统的检测,从易受攻击类型、易匹配攻击战法等多个维度对完整的攻击面进行分析,并对本次任务的结果进行安全风险评价。影响评价主要从两个维度进行,一方面从红队视角进行攻击评价,整理所有的攻击请求、攻击事件,并对攻击事件的类型、目标进行关联,发现企业最容易遭受的攻击,整理针对企业可能受影响的攻击战法类型,和易遭受攻击的资产薄弱点。另一方面,从蓝队视角分析企业失陷主机的整体分布情况,以及失陷等级。同时针对每个漏洞进行攻击链路安全影响关联,告知业务方某漏洞可以造成的实际业务安全业务危害,拉齐安全部门与业务部门的认知,提高配合效率,同时也便于安全部门对漏洞是否要修复提供快速的评价与参考。
4.部署方案
采用B/S架构设计,分为管理端和探针端两个部分,管理端等同于大脑,控制所有探针的执行和任务的调度情况。
在实际网络检测需求中,将智能化渗透测试系统部署在目标网络环境中,所在的网络环境可根据实际测试需要部署在内网或外网,用于测试不同场景下,可能出现的安全风险,将基于部署节点进行自动化渗透测试。
已在FreeBuf发表 31 篇文章
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
- 31 文章数
- 13 关注者