- 攻擊手法一:自動化攻擊�����、武器化攻擊越加明顯
在攻防演練中�����,紅隊會對開源工具���、泄漏工具���、定制工具等進行整合,構(gòu)建自己的武器庫��。通過武器庫可快速高效的對各類0day��、Nday漏洞進行探測利用�����,在攻擊過程中還可對特征識別���、IP封鎖等防護措施進行突破����。
除了漏洞探測利用工具外����,紅隊還會利用動態(tài)加密Webshell來穿透WAF防護,進行權(quán)限維持和跳板搭建����,如哥斯拉、冰蝎等Webshell采用動態(tài)加密方式,通信過程無穩(wěn)定可識別的特征���,碾壓市面上所有基于特征匹配的傳統(tǒng)WAF���。對于藍(lán)隊基于規(guī)則的防護而言,實則是一種降維打擊����。
除了攻擊應(yīng)用漏洞之外,紅隊還會探測藍(lán)隊在人員和管理上的漏洞���,如:弱口令��、網(wǎng)絡(luò)遺漏備份文件等����,尤其是VPN�、郵箱���、管理平臺等系統(tǒng)��,已經(jīng)成為重點攻擊對象�。
攻防演練中,封IP是最主要的防護手段之一����。實戰(zhàn)過程中,紅隊會通過分布在全國各地的IP代理發(fā)起攻擊����,這些IP地址可能來自機房,也可能來自家庭寬帶��、手機基站等�。貿(mào)然對這些IP進行封堵,可能會造成業(yè)務(wù)不可用��,甚至達到防火墻IP黑名單的數(shù)量上限�。
社工釣魚在實戰(zhàn)中的應(yīng)用越來越廣泛。紅隊會從人的角度下手��,給相應(yīng)的員工��、外包人員發(fā)釣魚郵件��,搭建釣魚用的WIFI熱點�,甚至雇人混入藍(lán)隊,插U盤���、中木馬等等�����。
在攻防演練中�,0day攻擊已成為常態(tài),由于0day漏洞能夠穿透現(xiàn)有基于規(guī)則的防護技術(shù)�����,被視為紅隊最為有效的手段之一���。2020年攻防演練中���,出現(xiàn)了上百個0day漏洞,這些漏洞中大部分和暴露在互聯(lián)網(wǎng)上的Web應(yīng)用相關(guān)�����,直接威脅到核心系統(tǒng)的安全�。
總體而言,在實戰(zhàn)化�����、高級化��、常態(tài)化的攻擊趨勢下���,攻防演練的力度將空前加大��。鑒于今年建黨100周年等重大活動眾多�����,境外惡勢力攻擊將更加激烈����,各類重?;顒拥臅r間也會持續(xù)拉長。
二����、從人防到技防,瑞數(shù)信息“三板斧”構(gòu)建實戰(zhàn)能力
攻易守難���,安全工作者在攻防演練中往往要承受巨大的壓力�����。由于藍(lán)隊處于被動�����,當(dāng)發(fā)現(xiàn)攻擊事件�����、溯源攻擊時����,整體已經(jīng)處于滯后狀態(tài),所以在攻防演練中�,藍(lán)隊需要投入大量精力做防守,甚至是7*24小時的人工值守�,處于非常態(tài)化的安全運營中。
那么�����,是否能夠通過一些技術(shù)手段來降低藍(lán)隊安全人員的工作量����,并達到很好的防護效果呢?瑞數(shù)信息首席安全顧問周浩認(rèn)為�,要做到從“人防”到“技防”���,可以從攻擊的三個階段入手:
在攻擊前期�,紅隊的重點在于以自動化攻擊、信息收集為主���,如:資產(chǎn)探測��、已知漏洞探測��;利用工具發(fā)起批量攻擊���;弱口令嗅探、路徑遍歷�、批量POC等。
- 第二階段:手工攻擊��、多源低頻����、重點突破
信息收集后���,紅隊會轉(zhuǎn)向重點系統(tǒng)攻擊,通過人工分析漏洞�,發(fā)起定向打擊,同時對現(xiàn)有安全措施進行突破�����。
在紅隊獲得一定權(quán)限后,會對權(quán)限進行提升�,并搭建代理跳板,橫向移動����,對核心系統(tǒng)靶標(biāo)進行滲透。拿下靶標(biāo)時���,意味著紅隊的勝利���。
針對以上三個階段,周浩建議����,藍(lán)方可以通過瑞數(shù)信息“三板斧”模式�,采用三種不同的防護手段����,來做相應(yīng)的阻攔。
- 板斧一:攔工具��。通過對工具類的探測利用進行攔截�,降低紅方攻擊效率�����。
為了彌補特征識別的缺陷�����,對于工具的防護可以根據(jù)攻擊工具自身的特點���,采用“分級分層�����、按需對抗”的策略�����。針對不同級別的工具��,采用相應(yīng)的識別攔截手段:
實現(xiàn)效果:
通用漏掃防護方面����,瑞數(shù)信息能夠提供漏洞隱藏功能,將所有的高危����、中危漏洞、網(wǎng)頁目錄結(jié)構(gòu)做隱藏���,讓紅方掃描器得不到任何有價值的信息����。
0day防護方面���,通過瑞數(shù)信息獨有的動態(tài)驗證���、封裝、混淆���、令牌四大動態(tài)安全技術(shù)�����,能夠?qū)崿F(xiàn)不基于規(guī)則的防護��。從0day漏洞利用工具請求的固有屬性出發(fā)���,只要識別到是工具行為��,那么就可以直接對0day攻擊進行阻斷,從而實現(xiàn)對業(yè)務(wù)的動態(tài)保護����。
插件掃描和被動漏掃防護方面,基于瑞數(shù)信息特有的“動態(tài)安全”技術(shù)�,能夠通過敏感信息隱藏、針對掃描器做重放性檢測����、動態(tài)挑戰(zhàn)等方式來進行防護,擺脫傳統(tǒng)封禁IP的繁瑣��,讓紅方無法獲取有價值的信息�����。
密碼破解方面,通過準(zhǔn)確的人機識別技術(shù)����,可不依賴頻率閾值的情況下對密碼破解攻擊進行攔截,可實現(xiàn)首次破解即被攔截的效果�。
同時,瑞數(shù)信息還可以通過指紋溯源關(guān)聯(lián)的形式�,對整個攻擊團伙做攻擊畫像,精確定位攻擊者身份�,對攻擊者設(shè)備指紋直接做封殺。
- 板斧二:擾人工�。對人工滲透行為進行迷惑干擾,提升紅方分析難度�����。
隨著對抗的升級��,基于規(guī)則和特征的傳統(tǒng)安全設(shè)備防護效率將越來越低�。對于人工攻擊,不妨換個思路���,從干擾攻擊行為的角度出發(fā)進行防護��。
作為動態(tài)安全技術(shù)的代表廠商���,瑞數(shù)信息擁有多種動態(tài)干擾功能:web代碼混淆����、JS混淆����、前端反調(diào)試、Cookie混淆�����、中間人檢測等��,能夠不基于任何特征����、規(guī)則的方式進行有效防護��。
例如:瑞數(shù)信息可以將URL動態(tài)變化成亂碼��,隱藏鏈接地址�,攻擊者無法通過分析代碼�����,定位攻擊入口�����;可以通過高強度�、動態(tài)混淆機制�����,保證前端JS代碼不被泄露����;可以通過干擾攻擊者調(diào)試分析,防止通過瀏覽器開發(fā)者工具對網(wǎng)站進行調(diào)試分析����,獲取業(yè)務(wù)流程、接口�����;可以將Cookie內(nèi)容動態(tài)變化成亂碼���,防止攻擊者攔截Cookie�����,偽造交易報文�,進行中間人攻擊等等。
- 板斧三:斷跳板��。對紅方webshell等跳板工具進行阻斷���。
Webshell可以說是內(nèi)網(wǎng)穿透利器����,只要開放web服務(wù)����,就有可能被利用搭建代理進行內(nèi)網(wǎng)穿透。
目前��,Webshell主要分為兩類:一類是傳統(tǒng)型�����,具備明顯的通訊特征���;另一類是動態(tài)加密型���,能夠隱藏攻擊特征,很難防御�����。
對于動態(tài)加密類的webshell��,如:哥斯拉Godzilla����、冰蝎等,同樣可以采用瑞數(shù)信息的“動態(tài)安全”技術(shù)��,通過令牌等方式判定為非法訪問����,并直接進行阻斷,而不依賴于攻擊特征的識別��。
總體而言�����,瑞數(shù)信息徹底轉(zhuǎn)換了傳統(tǒng)防護的思路,通過獨特的動態(tài)安全技術(shù)�����,以多維度“分級分層”的對抗策略�����,讓自動化工具和攻擊者無法輕易發(fā)現(xiàn)攻擊入口�����,大幅提升攻擊難度與成本����。同時,通過對終端環(huán)境和設(shè)備指紋的多維度畫像�����,可以有效識別各類惡意自動化工具��,并能實時追蹤通過大量跳板隱藏攻擊來源的惡意終端����。
對于藍(lán)隊而言,基于瑞數(shù)信息的動態(tài)防護體系�����,能夠有效實現(xiàn)從“人防”到“技防”����。無論在攻防演練還是日常運維中,都能將安全人員從安全對抗和值守中釋放出來�。
三、從被動到主動����,瑞數(shù)信息推出“重保神器”
在如今嚴(yán)峻的網(wǎng)絡(luò)安全形勢下,動態(tài)防護���、主動防御已經(jīng)成為安全建設(shè)的趨勢�。面對花樣百出的攻擊手段�,未知的安全威脅,瑞數(shù)信息已推出多項安全產(chǎn)品����,覆蓋Web、移動App、H5��、API及IoT應(yīng)用����,從應(yīng)用防護到業(yè)務(wù)透視,建立了從動態(tài)防御到持續(xù)對抗的防護體系��。
針對攻防演練����、重大活動保障這樣的特殊場景,瑞數(shù)信息也相應(yīng)推出了“重大活動動態(tài)安全保障”����、“網(wǎng)站護盾”等解決方案,助力政企機構(gòu)防護方更高效��、靈活地應(yīng)對復(fù)雜攻擊��。
目前�,瑞數(shù)動態(tài)安全防護系統(tǒng)已應(yīng)用在政府、金融���、能源����、運營商等多個行業(yè)中,被眾多行業(yè)客戶防守方作為“重保神器”�。從2016到2020年�,瑞數(shù)信息參與了上百家單位的攻防演練防守工作,瑞數(shù)動態(tài)安全防護系統(tǒng)對攻擊工具的防護能力����,大大提高了攻擊門檻,讓攻擊隊的信息收集�����、漏洞掃描��、0day探測等無法發(fā)起�����,從而得到了客戶的高度認(rèn)可����。
據(jù)《2020網(wǎng)絡(luò)安全行業(yè)研究白皮書》顯示,某政務(wù)服務(wù)網(wǎng)站盡管已部署了傳統(tǒng)安全防御產(chǎn)品��,但系統(tǒng)仍經(jīng)常被攻擊,網(wǎng)頁無法打開����,投訴量持續(xù)增加。在緊急上線瑞數(shù)動態(tài)安全產(chǎn)品后��,60小時內(nèi)����,即識別并攔截了近4500萬次異常訪問請求,異常請求占到向該網(wǎng)站發(fā)起的總請求數(shù)的78%����。深入分析后發(fā)現(xiàn),大多數(shù)爬蟲攻擊工具都采用多源低頻的方式��,通過更換大量IP來規(guī)避傳統(tǒng)安全檢測機制��,使得溯源難度加大��,傳統(tǒng)手段失效�。而瑞數(shù)信息運用“動態(tài)安全”技術(shù)進行人機識別,批量防爬蟲���,具備獨特優(yōu)勢�����。
可以看到�,基于瑞數(shù)信息的動態(tài)安全技術(shù)和“重保神器”解決方案,能夠有效幫助攻防演練的防守方開展實戰(zhàn)工作����,提升用戶網(wǎng)絡(luò)安全防御能力����,真正實現(xiàn)從人防到技防,從被動到主動�����。
