本期嘉宾
当代的攻与防——攻防对抗的历史变迁
曾经大家谈攻防演练,更多的是指通过渗透测试的方法来发现被测目标或安全解决方案的风险及问题,而当代攻防演练则较为侧重模拟实战场景下的攻与防的对抗,具体变化如下:
年以前
对于攻击方——主要通过常规渗透测试评估资产安全风险(漏扫+漏洞验证模式)。实施前攻击方会得到具体的资产信息列表,实施过程是有规范和约束的,基本点到为止,且有固定的时间。
对于防守方——堆砌安全设备,满足等保要求,满足国家监管机构的安全审查。
年之后
对于攻击方——以目标单位的内部数据为目标牵引,攻击队伍对目标进行深度进攻,挖掘实际场景下的安全问题。演练过程只给攻击队伍提供单位名称和靶标名称(例如被攻击单位名:华为,靶标名:华为云XX系统),攻击过程不限攻击路径,任意方式攻到靶标都有效。在攻击路径上所有的资产都会被攻击影响,如下图所示。
对于防守方——需要专业的安全运维人员(甚至有些人之前是攻击队伍成员)对安全事件进行分析。除常规的攻击流量日志分析、防御策略下发外,溯源也成为一大新的工作项目。攻防演练甚至把溯源作为防守方重点得分项。
攻防演练典型攻击手法及防御手段
一般攻防演练攻击方的大体流程如下图所示。
1、信息收集:被动(目标调查、各类帐号收集、资产信息收集)+主动(部署自动化扫描、挂代理池、使用云函数)
2、突破边界:分析信息收集阶段获取的信息,进行攻击打点,通过0day/Nday漏洞+口令破解等突破网络边界,获取权限。
3、权限维持+横向渗透:进入内网、关闭设备告警实现内网漫游,获取目标数据及权限。
下面从攻击的各个阶段来说说典型攻击手法以及对应的处置方法。
一信息收集阶段:自动化多源IP扫描
攻击方通过部署大量的自动化扫描来实施信息的快速收集,这些扫描大部分通过代理池、云函数服务来实施,以绕过防守方对扫描方IP封禁的操作。下图为通过某云函数来进行扫描,技术原理与代理池不同,但同样能实现多源IP扫描绕过IP封禁的效果。
使用云函数实现多源IP扫描
下图为被扫描的服务器端的日志,可以看到攻击IP在不断变换,均为云函数出口IP。
检测、处置思路:
针对该类攻击没有绝对的防御手法,但可以通过各类手段减少可用的攻击IP,大大降低攻击队伍的效率。大致方法如下:
1、对单台或多台安全设备威胁日志进行汇总分析,及时阻断和封禁有风险的外网IP。
2、对重点被扫描或爆破业务及时排查,如非重要业务可暂时关停。
二边界突破阶段:0day和Nday漏洞攻击
0day和Nday漏洞攻击一直是近年来攻防演练的重头戏,相当一部分攻击队伍在提前完成资产信息搜集后,直接利用0day/Nday漏洞+口令破解进入内网。
通过对近期某大型攻防演练漏洞信息进行整理,漏洞类型分布如下图。
而从产品维度来说,攻防演练中的漏洞主要涉及OA/ERP软件、安全类产品、Web各类管理平台、Web框架/组件/套件几类产品。
检测、处置思路:
1、密切