瑞数信息防护“三板斧”,如何有效提升攻防演练能力?
实战攻防演练是检阅政企机构安全防护和应急处置能力的有效手段之一 。每年举行的国家级实战攻防演练 , 聚集了国内多支顶尖攻击团队 , 在攻击手段和强度上远远超过日常安全检查 , 防守方都面临着非常严峻的考验 。
今年网络攻防演练专项行动在即 , 相信不少的企业和机构早已开始了准备 。那么 , 如何高效应对网络安全实战攻防演练?与以前相比 , 今年的网络攻防训练有什么新特征呢?
一、从合规到实战 , 攻防训练呈现五大趋势
现在网络空间形势复杂 , 如何在攻防对抗环境中具有实战能力 , 已成为所有行业和政治企业网络安全建设的重要目标 。
瑞数信息首席安全顾问周浩表示 , 从2016-2020年的攻防训练实践来看 , 从训练规模和攻击技术来看 , 不断升级 。
例如 , 2016年 , 攻击方法以传统应用系统攻击为主 , 攻击手段比较单一 , 但到了2020年 , 攻击范围进一步扩大 , 自动攻击、武器攻击越来越多 , 大量的0day在训练中使用 , 攻击范围也扩大到安全设备本身 , 各种高级实战的攻击手段也被使用 。
从去年攻防训练的实战情况来看 , 攻防训练呈现出五大攻击倾向:
通过武器库可快速高效的对各类0day、Nday漏洞进行探测利用 , 在攻击过程中还可对特征识别、IP封锁等防护措施进行突破 。
除了漏洞检测利用工具外 , 红队还利用动态加密网络通过WAF防护 , 进行权限维护和跳板构筑 , 例如哥斯拉、冰蝎等网络采用动态加密方式 , 通信过程没有稳定可识别的特征蓝队基于规则的防护实际上是降维打击 。
攻击手法2:人员和管理脆弱性检测
除了攻击应用脆弱性外 , 红队还检测到弱密码、网络遗漏备份文件等 , 特别是VPN、邮箱、管理平台等系统
攻击手法3:多源低频攻击
攻击训练中 , 封印IP是最主要的防护手段之一 。实战过程中 , 红队会通过分布在全国各地的IP代理发起攻击 , 这些IP地址可能来自机房 , 也可能来自家庭宽带、手机基站等 。贸然堵塞这些IP , 可能无法使用业务 , 也可能达到防火墙IP黑名单的数量上限 。
攻击手法4:社工钓鱼
社工钓鱼在实战中的应用越来越广泛 。红队从人的角度出发 , 向相应的员工、外包人发送钓鱼邮件 , 构筑钓鱼用的WIFI热点 , 雇佣混入蓝队 , 插入USB、木马等 。
攻击手法5:0day攻击成为常态
在攻击训练中 , 0day攻击成为常态 , 0day脆弱性能够贯穿现有基于规则的防护技术 , 被视为红队最有效的手段之一 。在2020年的攻防训练中 , 出现了数百个0day脆弱性 , 这些脆弱性与暴露在互联网上的网络应用有关 , 直接威胁到核心系统的安全 。
总的来说 , 在实战化、高级化、常态化的攻击倾向下 , 攻防训练的力量前所未有 。今年建党100周年等重大活动很多 , 海外恶势力的攻击更加激烈 , 各种重保活动的时间也持续延长 。
二、从人防到技防 , 瑞数信息三板斧构建实战能力
攻易守难 , 安全工作者在攻防演练中往往要承受巨大的压力 。由于蓝队处于被动 , 当发现攻击事件、溯源攻击时 , 整体已经处于滞后状态 , 所以在攻防演练中 , 蓝队需要投入大量精力做防守 , 甚至是7*24小时的人工值守 , 处于非常态化的安全运营中 。
那么 , 是否能够通过一些技术手段来降低蓝队安全人员的工作量 , 并达到很好的防护效果呢?瑞数信息首席安全顾问周浩认为 , 要做到从人防到技防 , 可以从攻击的三个阶段入手:
? 第一阶段:自动化攻击、信息收集
在攻击前期 , 红队的重点在于以自动化攻击、信息收集为主 , 如:资产探测、已知漏洞探测;利用工具发起批量攻击;弱口令嗅探、路径遍历、批量POC等 。
第二阶段:手动攻击、多源低频、重点突破
信息收集后 , 红队转向重点系统攻击 , 人工分析脆弱性 , 发起方向性攻击 , 同时突破现有安全对策 。
第三阶段:横向移动、核心渗透
红队获得一定权限后 , 提高权限 , 建立代理跳板、横向移动、渗透核心系统目标 。拿下目标时 , 意味着红队的胜利 。
对于以上三个阶段 , 周浩建议蓝方通过瑞数信息三板斧模式 , 采用三种不同的防护手段 , 制作相应的阻止 。
为了弥补特征识别的缺陷 , 工具的保护可以根据攻击工具本身的特征 , 采用等级分层、按需对抗的战略 。针对不同级别的工具 , 采用相应的识别拦截手段:
实现效果:
通用漏扫防护方面 , 瑞数信息能够提供漏洞隐藏功能 , 将所有的高危、中危漏洞、网页目录结构做隐藏 , 让红方扫描器得不到任何有价值的信息 。
0day防护方面 , 通过瑞数信息独有的动态验证、封装、混淆、令牌四大动态安全技术 , 能够实现不基于规则的防护 。从0day漏洞利用工具请求的固有属性出发 , 只要识别到是工具行为 , 那么就可以直接对0day攻击进行阻断 , 从而实现对业务的动态保护 。
插件扫描和被动漏扫防护方面 , 基于瑞数信息特有的动态安全技术 , 能够通过敏感信息隐藏、针对扫描器做重放性检测、动态挑战等方式来进行防护 , 摆脱传统封禁IP的繁琐 , 让红方无法获取有价值的信息 。
密码破解方面 , 通过准确的人机识别技术 , 可不依赖频率阈值的情况下对密码破解攻击进行拦截 , 可实现首次破解即被拦截的效果 。
同时 , 瑞数信息可以通过指纹跟踪相关的形式 , 对整个攻击组进行攻击图像 , 正确定位攻击者的身份 , 直接封杀攻击者的设备指纹 。
<迷惑人工渗透行为 , 提高红方分析的难易度 。
随着对抗的升级 , 基于规则和特征的传统安全设备的防护效率越来越低 。人工攻击可以改变构想 , 从妨碍攻击行为的观点进行防护 。
作为动态安全技术的代表制造商 , 瑞数信息具有网络代码混乱、JS混乱、前端反调、Cookie混乱、中介检查等多种动态干扰功能 , 可以不基于任何特征、规则进行有效的防护 。
例如 , 瑞数信息可以将URL的动态变成乱码 , 隐藏链接地址 , 攻击者可以通过分析代码 , 定位攻击入口 , 通过高强度、动态混淆机制 , 保证前端JS代码不泄漏的干扰攻击者的调整分析
<切断红方网络等跳板工具 。
webshell可以说是网络渗透的工具 , 只要开放网络服务 , 就有可能利用代理商进行网络渗透 。
目前 , 网络主要分为两类:一类是传统的 , 具有明显的通信特征;另一个是动态加密 , 可以隐藏攻击特征 , 很难防御 。
动态加密类webshell , 如哥斯拉Godzila、蝎子等 , 也可以采用瑞数信息的动态安全技术 , 通过令牌等判定为违法访问 , 直接切断 , 不依赖攻击特征的识别 。
总的来说 , 瑞数信息彻底改变了传统防护的构想 , 通过独特的动态安全技术 , 通过多维层次的对抗战略 , 自动化工具和攻击者不能轻易发现攻击入口 , 大幅度提高攻击的难易度和成本 。同时 , 通过对终端环境和设备指纹的多维图片 , 可以有效识别各种恶意自动化工具 , 实时追踪通过大量跳板隐藏攻击源的恶意终端 。
对于蓝队来说 , 基于瑞数信息的动态防护系统可以有效地实现从人防到技防 。无论是攻防训练还是日常运输 , 安全人员都可以从安全对抗和值守中释放出来 。
三、从被动到积极 , 瑞数信息发布重保神器
在当今严峻的网络安全形势下 , 动态防护、积极防御成为安全建设的趋势 。面对各种攻击方法和未知的安全威胁 , 瑞士数字信息已经推出了许多安全产品 , 涵盖网络、移动应用程序、H5、应用编程接口和IoT应用程序 , 从应用防护到业务透视 , 从动态防御到持续对抗 。
对于攻防训练、重大活动保障等特殊场景 , 瑞数信息也相应地提出了重大活动动态安全保障、网站屏蔽等解决方案 , 帮助政治企业的保护者更加高效、灵活地应对复杂的攻击 。
目前 , 瑞数动态安全防护系统已应用于政府、金融、能源、运营商等多个行业 , 被广大行业客户防守方作为重保神器 。从2016年到2020年 , 瑞数信息参与了数百家公司的攻防训练防守 , 瑞数动态安全防护系统对攻击工具的防护能力大大提高了攻击门槛 , 无法开始攻击队的信息收集、漏洞扫描、0day检测等 , 得到了客户的高度认可 。
据《2020网络安全行业研究白皮书》显示 , 某政务服务网站尽管已部署了传统安全防御产品 , 但系统仍经常被攻击 , 网页无法打开 , 投诉量持续增加 。紧急在线瑞数动态安全产品后 , 60小时内 , 即识别和拦截近4500万次异常访问请求 , 异常请求占该网站发起的总请求数的78% 。深入分析后 , 许多爬虫攻击工具采用多源低频方式 , 通过更换大量IP避免传统安全检测机制 , 追踪困难 , 传统手段失效 。瑞数信息利用动态安全技术进行人机识别 , 批量防止爬虫类 , 具有独特的优势 。
【瑞数信息防护“三板斧”,如何有效提升攻防演练能力?】基于瑞数信息的动态安全技术和重保神器解决方案 , 有效帮助攻防训练的防守方开展实战工作 , 提高用户网络安全防御能力 , 真正实现从人防到技防 , 从被动到积极 。
