从2013年,黑客组织Carbanak成功攻击乌克兰一家银行的系统,实现“线上抢银行”,到现在各类的网络攻防战层出不穷。网络安全攻与防之间的博弈从未停止。
面对攻击方层出不穷的攻击手段,防守方如何实时发现绕过传统安全防护手段的攻击行为,如何准确识别深度威胁,白山云科技安全解决方案专家陈云领在安全+第一期《透视网络攻防》中深度剖析企业安全现状,解构攻防双方特点,从实战告诉你如何“以攻促防”。
一、演习中的攻防博弈
白山ATD团队总结了以往参加过的国家级、省市级攻防演练的实战经验,我们发现攻防双方具备以下特点:
攻击方:
1)24小时攻击,搭建分布式、自动化漏扫平台,对企业资产不间断扫描;
2)擅长利用框架漏洞攻击,如Jenkins、Weblogic、Struts2、RMI、Jboss、Tomcat、Spring、ActiveMQ、Zabbix等;
3)提权后,通过内网资产探测、内网业务漏洞扫描、主机漏洞扫描、远程控制等手段,获取敏感数据。
防守方:
1)防守方主要依赖安全设备规则,常用手段仍依靠安全运维人员封禁IP;
2)安全防护设备如果需要临时扩容,流程复杂、效率低;
3)依赖大量安全运维人员值守。
网络攻击常见流程
上图是网络攻防战中常见的攻击流程,主要分为信息收集、漏洞分析、渗透测试和后渗透测试阶段。以信息收集为例,主要包括:域名端口信息收集、人员资产信息搜集等。
在攻防演习中,攻击方装备较为精良,且以团队形式作战,通常具有明确的攻击目标,和较强的攻击强度,攻击方式多种多样。而防守方发现即便做了“全面”的安全防护,尤其是针对通讯网络、区域边界、技术环境等,仍有绕过安全设备的威胁存在。
二、防护技术和手段
目前传统安全设备的防护手段都还有进一步提升的空间:
- 硬件部署:存在性能瓶颈,无法弹性扩容;
- 依赖现有规则库:包括WAF、IDS、IPS等,定制成本高、维护性差,难以应对因安全运维人员的流动性导致的遗漏,尤其是难以发现未知威胁;
- 串行部署:串行接入则可能存在接入复杂、存在延迟、兼容性差等问题,有存在中断正常业务的可能;
- 过度依赖设备指纹:设备指纹存在易被伪造的风险;
- 过度依赖情报中心:情报中心具有滞后性,无法有效识别首次攻击;
- 威胁处置灵活性差:无法对现有安全设备进行联动分析。
针对以上问题,白山ATD团队总结出安全产品应具备一些新特点:
1.支持云化部署,弹性扩容;
2.旁路部署,不影响现有的网络架构;
3.无需在主机、客户终端接入Agent;
4.具备UEBA(用户及实体行为分析),识别未知威胁;
UBA(用户行为分析)最早应用在网站访问和精准营销等方面,后来被移植到网络安全领域,Gartner在UBA的基础上融入实体行为,并认为关注实体行为分析可以更准确地识别威胁。UEBA不只是SIEM的补充,更是理解网络安全的全新方式。
UEBA的前提条件是转换思维,以用户为视角,从基于规则分析到关联分析、行为建模、异常分析,弥补传统SIEM的不足,通过用户实体行为异常分析来检测各种业务与安全风险。
5.应用AI替代人工规则和策略;
AI利用有监督、无监督机器学习算法,对输入数据进行个群对比建模和规律学习建模,无需人工设定规则策略就能够有效识别出异常行为,特别是未知威胁。
6.支持SOAR(安全编排和自动化响应),联动所有安全设备进行威胁处置。
目前在安全事件处置过程中,安全运维人员一般通过安全设备进行简单的阻断、通知、放行等处理。安全事件处置是一个多安全设备协调处理的过程,经过安全识别、确认、阻断、记录等处置阶段,形成威胁处置的闭环。这种背景下,应用安全编排和自动化响应就成为安全团队的必然选择。
三、攻防演习实例详解
在某次攻防演习中,白山ATD团队基于用户访问行为的攻击链内置模型,成功识别出攻击者绕过防火墙、绕过WAF等安全防护设备的攻击。
攻击链模型
攻击过程如下:攻击者发现网站path路径结尾为.action,初步判断业务后端采用Java语言代码,可能使用了Struts2 框架,采用漏洞扫描工具进行探测是否存在Struts2反序列化漏洞;攻击者通过漏漏洞扫描工具确认网站存在漏洞后,远程执行系统权限命令并开放通信端口,远程登录服务器,进行内网横向渗透测试,尝试连接业务数据库获取敏感信息。
攻击路径
ATD以用户访问行为为视角,基于时间、地点、人/ID、作用域、动作和结果六元组模型,定义行为概念,进行行为建模。ATD具体根据攻击者攻击时间序列变化、攻击源、攻击方式、攻击结果等,精准识别和记录攻击者整个攻击过程,为防守方溯源取证提供了详细的证据。
攻击案例
攻防演习的最终目的在于“以攻促防”,通过攻防对抗,考验防守方的安全防护能力,从而提升对安全事件的监测发现能力和应急处置能力。
除网络攻防演习外,ATD在航空、金融、家电、教育、出版业等领域相关场景下同样得到了广泛应用。
关注微信公众号白山云服务,回复“透视网络攻防”,获取完整PPT内容。