纵观多年政府行业信息安全建设,以合规导向为目标的安全体系建设每年都在进行,传统安全防护产品已逐步齐备,但信息安全事件却依然频发。回归信息安全的本质,当实战攻防成为当今网络安全界的主旋律时,真正检验安全防护能力的时代已然来到。
一、实战化背景下凸显的安全问题
近年来,很多政府单位的信息系统都已接受过攻防实战的洗礼。在攻防演练中,有些单位感觉防守工作捉襟见肘,系统被轻松攻破。过程中有时会出现关闭业务系统、封锁IP进行过度防守的情况,这样的做法违背了实战演练的原则,且对自身的业务开展也有较大的影响。一旦攻击侧的战线拉长,这种不成熟的防线将显得脆弱无力,极易被撕破。
部分政府单位通过实战攻防演练,发现了自身存在一定的网络安全问题:
1、人:因编制限制等因素,人手不够、没有专职网络安全岗位成了部分政府单位的常态,面对演练及关键时期的网络安全值守任务,常常“临时抓壮丁做值守”,而没有从体系化、可持续的角度来培养与使用网络安全人员。
2、管理:网络安全层面的组织架构不清晰、安全职责不明确、安全相关制度无法有效落地等问题,常常对网络安全责任部门带来困扰。多数人一提到网络安全,就矛头直指安全责任处室,未曾考虑网络安全是IT相关业务的附属属性,IT建设、运维、使用的相关人员应共同承担安全职责。如安全职责不能全面落实,在攻防实战过程中会导致管理问题凸显,安全事件监测、预警、分析和处置效率低,整体防护能力不足。
3、意识:部分政府单位存在人员网络安全意识薄弱的情况,甚至部分信息化部门的专业人员安全意识也很淡薄。在历年的实战攻防演练过程中,攻击队通过邮件钓鱼等方式攻击工作人员及IT运维人员办公用机并获取数据及内网权限的案例数不胜数。另外,随着政务系统上云的趋势,一些安全责任的划分也出现了误区,有些系统运营者认为托管至云平台就可以转嫁安全风险,常常忽略运营单位的主体责任,轻视云上系统的安全防护。
4、资产:资产不清是很多政府单位面临的现状。过去因为资产管理不善、轻视边缘业务系统,造成被攻击、被监管单位通报的事件屡有发生。有些单位还存在一些老旧业务“年久失修、无开发维护保障”,但又因为业务重要不能下线,成为网络安全的隐患。
5、工具:已有安全产品的防护能力、安全策略有效性亟待考量。部分政府单位老旧的防护设备策略配置混乱,安全防护依靠这些系统发挥中坚力量,势必力不从心。流量监测及主机监控工具缺失,仅依靠传统防护设备的告警去判断攻击、甚至依靠人工去翻阅海量的日志,导致“巧妇难为无米之炊”。
二、攻击方视角的安全弱点
实战攻防演练中,攻击方是有组织的攻击队伍,会针对目标系统执行多角度、混合、对抗性的模拟攻击。以攻击方的视角来看防守方常见的弱点,并列举有组织的攻击所采取的攻击手法。
1、系统弱点之:弱口令及同口令
弱口令历来都是利用难度最低、危害最大、出现频率最高的脆弱点。实战中通过弱口令获得权限的情况占比高达70%以上。另外,有些系统密码复杂度虽然高,但是所有服务器的密码设置相同或者有规律,这种密码也极易被抓取后来进行猜解、碰撞。
2、系统弱点之:漏洞
除常规漏洞外,往往在演练前期所暴露出的“新鲜”漏洞,都会成为攻击方重点关注的方向。例如2019年出现的weblogic反序列化漏洞、一些商业化邮件系统、OA系统等暴露出的漏洞。这些系统和组件在许多政府单位的系统中都有应用。
3、系统弱点之:集权类系统安全隐患
集权类系统一般会成为攻击者在攻击时所打击的主要目标。拿下集权类系统,可以实现对其所属管辖范围内的所有主机控制权,域控服务器、运维管理系统、堡垒机等集成监控维护系统、运维终端、VPN及单点登录入口等。
4、攻击手法之:旁路攻击渗透
如果正面入侵困难,则攻击方可能通过旁路迂回渗透。例如一个省级政府单位,其业务系统按照行政属性进行省、市、县三级架构部署,只要敲开任意一个防守薄弱的门,就可以通过内网漫游,逐步摸到省中心的核心业务系统。
5、攻击手法之:社工攻击
当攻击方发现系统侧防护严密,通常会把思路转向到对人的入侵。通过钓鱼邮件等攻击方式来对政府职员进行钓鱼,一旦控制了相关人员的计算机,攻击方可直接进入到政府单位的内网,以终端为跳板向关键业务系统移动。
6、攻击手法之:秘密渗透与多点潜伏
攻击方会实施精细化的攻击,甚至编写可以绕过防护设备的代码来实施攻击操作。所以只依靠签名规则告警的监测手段,无法感知到入侵,导致在攻击发生的很长一段时间内,攻击者不仅拿到了主机权限及数据,而且建立多个打通内外网的据点来做权限维持和战果扩大。
三、该如何做好安全防护工作
首先,最重要的是对自己的系统有掌控力,对于系统的资产情况、安全状态要有明确的认知,并且有针对性的对缺陷做加固和修补。
其次,要有体系化的组织,要全面合理地部署职责明晰、覆盖全面的安全专职队伍,并要有对应能力的人员匹配到相应岗位,技术人员应当具备攻防理论、威胁分析、应急处置等能力。
最后,要解决工具问题,要保证所有流量可见、全量日志可查、有可靠的情报输入,只依靠传统防护设备的被动防护是远远不够的。
下图将安全防护工作与滑动标尺模型进行对应,以阐述安全防护的体系化:
1、攻击面收敛
“点的突破”会加大面防守的难度。对外暴露的资产越多,安全工作开展越困难。这就要求系统运营者必须充分了解自己的资产情况,即使一个不起眼的API接口都会成为定时炸弹。
要定期梳理自己的网络边界、可能被攻击的路径,尤其是有省-市-县多级网络架构的单位和外联接入的单位。如果正面攻击不成,攻击者往往会选择攻击下级单位、供应商等与目标系统有业务连接的单位,通过这些单位绕至目标系统内网。
2、全面评估和预演练
系统运营者不仅要对自己的资产基础情况有明确的认知,对资产的安全状况也必须有充分的了解,周期性系统渗透测试是必须开展的工作,发现隐患,及时修补。通过自主开展演练工作(以红蓝对抗的模式)来检验安全加固工作的有效性,进行防护体系的动态评价。
3、防突破和内网横向渗透
一旦外层防线被撕破,攻击者会迅速进行内网横向移动,如果没有纵深防御体系,攻击方将如入无人之境。战争中的纵深防御理论同样适用于网络防护,内外部访问控制(安全域之间,甚至每台机器之间)、主机层防护、重点集权系统防护、无线网络防护甚至物理层面的防护,都需要考虑。同时要加强内部的监测手段,从网络流量,主机日志、进程、文件等层面进行排查。
4、目标系统重点把守
核心目标系统是攻击方的最终目标,是整个系统的大本营。对关键系统进行定期的评估检查、渗透测试、整改加固是必要的,同时要保持安全监测工作的常态化开展。
5、全方位安全监控
攻击者会尽量隐藏痕迹,而防守者恰好相反,需要尽量提前发现攻击痕迹,并通过分析攻击痕迹,调整防护策略、溯源攻击路径。所以建立全方位的安全监控体系是安全防护的最有力武器,监控工作应当从网络层面的全流量监控、主机监控、日志监控、情报监控等多个维度开展。
声明:本文来自奇安信安全服务,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。