过去,在我们谈论网络安全防御的话题时,无论是涉及监控、响应、处置的流程体系,还是云计算、大数据、人工智能等热门技术的应用,哪怕是具体到FW、WAF、漏洞扫描等常规手段的使用,都会有一个无法回避但是往往又不想面对的问题——管理边界(责任划分)。而在绝大多数的规划、方案、话题讨论中,我们又总是有意无意的做了一个“默认设置(隐含前提)”——所有的防御措施和手段都会以管理边界为界限。边界以外那是别人的地盘,对不起,无能力为。
现在,来自于甲方、乙方以及监管机构的有识之士,将目光越来越多的投向了管理边界以外的世界。态势感知(知己知彼)的能力、红蓝队的建设等突破了传统管理边界的防御思维,逐渐成为有识之士们最为津津乐道的话题。
今天,我们就尝试着探讨一下这个突破了安全管理边界的话题——主动防御。
一、什么是主动防御?
“主动防御”一词最早来源于军事领域,美军在《Joint Publication 3-01》出版物中首次提出了主动防御的概念。其直接的翻译就是:采取直接防御行动,摧毁、消除或降低攻击对我方资产威胁的有效性。
如果觉得上述定义仍不够清晰,可以翻阅一下各种新闻中提到的美军全球鹰无人机的“猎杀行动”、萨德导弹在敏感地区部署引发的风波,以及航空母舰编队在全世界游弋的身影,都能在其中感受到“主动防御”的存在。
在网络安全领域,我们一般使用美国国土安全部在2016年《Into the Gray Zone: The Private Sector and Active Defense against Cyber Threats》这一报告中提出的关于主动防御的定义:主动防御是处于传统的被动防御和进攻之间的,一系列主动的网络安全措施的范围。主动防御活动分为两类,第一类涉及防御者和攻击者之间的技术交互。第二类包括使防御者能够收集关于互联网上的威胁方法和攻击指标的情报的行动,以及可以限制攻击者行为的其他政策工具(作者注:例如制裁,起诉)。
结合我们日常的安全工作,简单概括,主动防御就是在管理边界以外,部署和采用的不违反法律的手段和措施。
根据上面的定义,将管理边界以内的手段和措施均归为被动防御,而管理边界以外的手段和措施则归为主动防御范畴。以一个企业传统IT架构(暂时请忽略采用公有云的IT架构)为例,我们可以笼统的认为在企业网络以内部署和实施的安全措施均可归为被动防御;而在企业网络范围以外部署和采用的手段和措施都可以称为主动防御。 按照这一分类方法,基于流量还原及沙箱分析的各种检测产品(APT检测、未知威胁检测)、部署在企业内部的蜜罐类产品、各类动态防御(甚至所谓的拟态防御)新产品,仍然应该归属于被动防御范围。
只有那些真正被部署在企业边界以外,又确实为企业安全防御贡献了价值的措施,我们才划分为主动防御范畴。比如收集外部安全情报、部署互联网蜜罐(部署在企业内部的蜜罐不属于主动防御范畴)、发布各类攻击分析报告(尤其是APT分析报告)、针对攻击事件进行报案和起诉等,都是比较常见的可以划入主动防御范畴的措施。
二、为什么需要实施主动防御策略?
一般认为,采取了主动防御策略的组织,至少可以在以下几个方面有所收益:
- 将安全对抗的前沿阵地从原来的企业边界前移到互联网区域,将战火烧到了“国门之外”。假使部分主动防御策略失效或出错,也不会直接影响到内部,使得组织和企业的安全防御获得了更多的战略纵深。
- 可以显著提升安全事件的检测响应效率,缩短信息获取周期,一定程度上使得“安全预警”成为了可能。
- 显著增加了攻击者成本,使得攻防双方在成本上的严重不对等形式有所缓解。
- 主动防御措施的特点(处于管理边界以外,且要求更专业),决定了更容易引入第三方专业服务商,可以更容易划分责任。
三、有哪些可以尝试部署主动防御的措施?
目前已经有很多的专业机构、安全团队甚至政府部门,都提供了不同品类的主动防御产品和服务。结合近年的工作实践,在此尝试列举一些目前相对成熟的主动防御手段,受限于知识面,可能尚不完整,抛砖引玉。
- 信息共享
网络信息共享交换从传统上来说,通常是基于行业部门的,因为处在同一个行业的组织,倾向于使用相同的业务语言。他们往往有类似的业务线,有类似的数字资产,面对类似的网络威胁,并有类似的组织实践。组织和企业之间无论是直接“点对点”交换,还是加入一个与自身业务密切相关的信息共享和分析中心(ISAC),都是最为推荐的主动防御策略。
通过网络信息共享,企业不仅将会在第一时间获得与我们密切相关的安全资讯、动态和情报,还能够更快的获知上级主管部门和监管机构所发布的安全通报。同时,也能够将自己发现的安全事件以情报的形式提供出去,为行业和区域的安全防御做出贡献。另外,如果企业自身是拥有复杂的、跨区域的行政和网络架构,那么在分支机构间建立信息共享体系也是值得考虑的安全策略。- 互联网蜜罐
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
这几年,蜜罐技术受到了越来越多的关注,也渐形成低、中、高等不同交互程度的蜜罐;从web业务蜜罐、ssh应用蜜罐、网络协议栈蜜罐到系统主机型蜜罐的各种功能型蜜罐;小到一个word文档的蜜标,到一个系统级的服务蜜罐,再到多功能蜜罐组成的蜜网,大到包含流控制重定向分布式蜜网组成的蜜场。随着虚拟化技术的发展,各种虚拟蜜罐也同步得到发展,可以通过虚拟机来实现高交互蜜罐,以及通过docker实现的业务型蜜罐,不再像是以前需要昂贵硬件设备的部署支撑,大大降低了蜜罐的部署成本,一台主机就可以实现整个集数据控制、数据捕获和数据分析于一体多功能多蜜罐高交互蜜网的体系架构- 威胁捕猎
为帮助企业检测和分析已经渗透入企业基础设施的高级威胁,许多专业的安全团队推出了威胁狩猎服务,为企业提供全天候的专家取证和分析服务。对于那些还未准备雇佣计算机取证专家的企业来说,这一服务提供了一个将主动搜查和分析可疑行为任务外包的机会;对于已经建立了SOC团队的企业,则可以获得额外的资源和技术来检测复杂的攻击。
- 安全情报收集
这是一项已经被大多数组织认为可以显著提高安全防御水平的手段。企业和组织通过持续搜集与自身相关的威胁情报、漏洞情报、事件情报和资产情报,可以有效缩短攻击检测响应周期,提升安全分析水平。
目前获取情报的渠道主要分为:专业情报厂商、开源情报社区以及上面提到的行业情报共享体系,如何选择最合适的情报来源,本身就是一个极具争议的话题。从作者的实践经验看,如果你所在行业或区域恰好有比较成熟的情报共享体系和分析中心,加入他们是一个毫无争议的选择。当然,企业也可以通过选取多家(考虑到不同专业公司情报的覆盖面以及侧重点不同)专业的商业情报,来作为最主要的情报获取手段。最终,所有的情报一定需要合适的应用落地方案,才能真正解决实际问题。至于收集到的情报如何与现有的安全措施结合产生价值,那就是另一个话题了。- 品牌保护
利钓鱼网站、仿冒网站、仿冒app、冒名社交媒体帐号等手段,进行网络诈骗的事件,对受害企业的品牌声誉造成严重的负面影响,针对这类安全事件的监控和快速关停服务越来越受到企业和组织的重视,有些企业甚至将域名劫持、安全舆情等纳入了品牌保护的范畴,可见其重视程度。品牌保护的成果直观,属于少数可以直接衡量安全价值的安全手段。
目前,国内外都有专业的团队为企业推出了具有针对性的品牌保护服务,而随着电子支付、在线服务逐渐成为各类企业的核心业务,争取选择并实施品牌保护策略,能够给业务带来越来越多的直接价值。- 恶意网址接管
一些专业的安全公司和研究机构,通过技术、法律等手段获取了恶意网址的所有权,从而可以观察到受恶意网址影响的受害者,甚至接管一些大型的僵尸网络。
这一手段可以直接掌握并打击攻击者的核心能力,但是因为技术和法律门槛较高,一般只有大型专业公司(或大型公司里的专业团队)和政府机构有能力实施。- 外部渗透测试
在组织外部建立临时或长期的渗透测试能力,可以持续发现组织或企业安全对坑的薄弱环节,具体形式多样,包括专业公司渗透测试服务、安全社区众测、安全红队(模拟敌军)等。
虽然渗透测试服务已经成为安全工作的标准配置,但是真正能够具备独立且持续不断检验安全防御能力的团队(模拟敌军,一般称为红队)在国内还不多见。作者认为,真正有效的渗透测试发起方应该完全独立于企业的安全团队,甚至应该独立于整个IT部门(例如审计部)。- 损失追回
一种新出现但是尚未成熟的服务形式。如字面所述,就是帮助企业和组织找回数字资产(例如跨国转账的诈骗款)的服务,正在逐步兴起。
- 制裁&起诉
例如美国对俄罗斯黑客组织和个人的经济制裁行为(可查阅具体新闻)、企业对网络攻击者的报案和起诉行为,都将会对未来潜在的攻击者,造成有效的震慑作用。
另外,安全公司发布各种安全分析报告(尤其是APT分析报告)的行为,也是一种非常重要的主动防御手段,通过曝光攻击者的信息,极大的提高了攻击者的成本。
四、如何掌握主动防御的责任边界?
一般认为,主动防御措施介于被动防御和攻击行为之间的区域,所使用的技术和手段多样,一不小心就会进入灰色地带。所以在实施主动防御策略时应采取适度原则,充分了解法律界限,做好风险控制。
- 法律原则
在执行主动防御策略时,要充分考虑不同国家的网络安全法律、个人隐私保护法律等法规条文的约束,千万不要触碰红线。
- 非入侵原则
要明确主动防御和“hacking back”有明显区别,避免一切非授权的攻击行为。
五、结语
主动防御并不是一个全新的概念,但将其由军事概念引申到网络安全领域,正契合如今全球网络安全形势的发展。国家、企业、研究机构、黑客团体、利益集团都或多或少的将网络空间攻防对抗作为维护自己利益的手段,甚至是获取利益的重要途径。那么正如开篇所言,打破组织或企业的安全管理边界的主动防御策略,将会在今后的安全管理体系中,占据重要一席。
最后,怎样有效的展开主动防御策略?是直接使用第三方服务,还是选择部署那些结合了主动防御思想的新型产品?这个话题,我们下次再说。
作者:驭龙
声明:本文来自Sec-UN,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。