攻防演练审视企业蓝队建设

沙明 上交所技术有限责任公司 msha@sse.com.cn

侯春晓 上交所技术有限责任公司 cxhou@sse.com.cn

一、概述

就以往而言,绝大多数企业都是从自身角度考虑蓝队建设,而近年来,由于国家对网络安全的重视,通过网络攻防演练的模式以攻促防、攻防相长,有效帮助各个企业对自身的安全建设有一个更为客观的认识,以站在全局角度考虑蓝队建设对企业发展的重要意义。不难发现,如果企业仅专注于自身的安全建设而忽略了攻防演练,长此以往,安全建设势必会停滞不前。由此可见,攻防演练也逐步成为企业蓝队建设中不可或缺的一环。本文以攻防演练为视角,全面阐述企业蓝队建设,以提升安全建设能力。

二、备战阶段

(一)指挥中心、调兵遣将

良好的统筹规划能够推动企业蓝队建设的稳步发展,企业可以成立攻防演练专项工作领导小组,统筹规划攻防演练相关事宜,并下设专家支持组、监测分析组、自查整改组、应急处置组等多个小组,积极配合领导小组制定的演练方针,以便圆满完成攻防演练工作。

图1:攻防演练组织架构图

在备战阶段,专家支持组配合领导小组制定并细化演练整体方针,并整合内外部专家力量,对其他部门进行技术指导、风险评估,以及协助各个小组制定应急预案、自查手册等关键材料,从全局角度把控蓝队建设进度。

网络环境瞬息万变,在攻防演练中,红队的攻击无处不在,任何松懈都可能被攻击队趁虚而入,因此,安全监测作为整个防护体系的第一道保障,至关重要。君子生非异也,善假于物也。在应对攻防演练期间的大量攻击时,最有效的方式是针对企业安全现状,基于已部署的安全防护设备,结合厂商安全技术人员专业优势,在流量中发现攻击者的蛛丝马迹,及时阻断攻击,防患于未然。同时,协助完善上报流程,实时上报,协助处置。

知己知彼,方能百战不殆,明确企业自身资产范围、数量、网络情况是构建企业防护体系的基础。为此,自查整改组需要对企业资产进行全方位的排查,分类汇总整理,并根据梳理的资产列表逐项进行安全检测,督促安全问题整改,确保企业资产可查、可控。

攻防演练中充满着不确定性,为应对可能发生的突发状况以及攻击事件,应急处置组预先制定了详细的应急处置预案,覆盖常见的各类紧急事件,确保发生紧急情况时能够及时响应;同时,对监测分析组上报的相关信息进行溯源追踪,完成攻击反制。

(二)明确资产、构建防御阵地

资产梳理。攻防演练过程中,资产暴露面的大小很大程度上决定了资产被攻击的可能性,全面的资产测绘能够帮助企业明确资产类型、数量,确定资产暴露面。基于企业自身资产管理积累,结合第三方安全厂商技术优势,对企业互联网、内网资产进行全面收集,主要涉及资产类型包括:主机资产、域名资产、Web应用资产、微信公众号、APP应用资产、GitHub、网盘等互联网敏感信息泄漏等,并对测绘结果进行确认,责任到人,确保演练期间能够在第一时间找到问题资产负责人,及时开展处置工作。在明确资产测绘结果后,需要暴露面进行收敛,对于不必要开放的Web应用、端口、主机等进行关停处理,对于收集到的暴露在互联网上的敏感信息,联系相关人员进行删除,在不影响业务的前提下,尽可能收缩资产暴露面,加强资产可控性。

网络路径梳理。只有充分了解自身现状才能进行针对性整改、加固,为此,企业有必要开展全面的网络架构梳理工作,明确现有网络区域划分以及各区域部署的安全设备情况,根据整理结果,汇总形成企业整体的网络拓扑图。基于网络拓扑,划定多个安全域,分别梳理企业内网、外网、开发测试网等区域的资产,以便统筹监测。

防护、监控类设备关键节点部署。面对互联网庞大的攻击流量,全量监测实现难度高、代价大,自动化攻击阻断、流量清洗是一种不错的手段。在各网络边界均部署防火墙,设置端口级访问控制策略,对互联网流量实现初步过滤;防火墙后依次部署IPS、WAF等阻断类设备对流量进行规则匹配,阻断其中绝大多数攻击流量;同时,在各个安全域部署流量分析设备探针,对流量中的攻击行为进行人工分析,如此层层过滤,实现攻击流量全方位监控。

蜜罐类产品,必要路径、系统克隆部署。传统安全防护设备侧重于被动防御,但是防守方不一定只能是被动挨打,通过部署蜜罐类设备,可具备一定程度的主动防护能力,在被攻击过程中,能够根据捕获的攻击者信息进行溯源反制。对此,企业分别在内外网部署多套蜜罐系统对攻击者进行诱捕。互联网区域资产以Web资产为主,攻击者会在信息收集阶段对目标Web系统进行收集,进而对收集到的目标进行渗透测试,根据这一特性,在互联网侧部署大量高交互Web蜜罐,诱导攻击者对蜜罐系统进行攻击,为提高迷惑性,此类蜜罐均克隆自企业真实的业务系统,例如:邮箱系统、网盘系统等等,攻击者一旦对上述蜜罐发起攻击,蜜罐管理端即可监控到攻击者的源IP、攻击手法、时间等信息,通过蜜罐内置信息获取脚本,可读取够攻击者浏览器缓存的社交账号信息,通过这些信息,应急处置组专家可开展溯源反制相关工作;进入内网环境,区别于互联网攻击,攻击者通常会先对各网段进行探测,尝试对暴露的端口服务进行攻击,根据这一特性,内网部署了大量服务型蜜罐,用于迷惑攻击者,增加攻击发现概率。

主机、终端类防护产品部署,企业内网拥有数量庞大的服务器以及个人终端,一旦进入内网,终端很容易成为攻击队拿下权限的突破口,因此主机、终端等应被妥善监控起来并且具有一定的抗攻击能力,针对上述需求,对企业全部终端及主机均部署EDR进行监控,一旦发现主机异常行为,能够立即定位问题主机,及时处理安全事件。

(三)自查加固、摸排风险除威胁

风险无处不在,威胁无孔不入。攻防演练过程中,红蓝双方处于不对等状态,攻击方由点突破,防守方则需要开展立体化、全方位防护,然而却很难做到面面俱到。防守体系稍有差池,攻击方便可突破屏障,由点及面,对防守方发起全面的横向攻击。风险自查、加固是抵御攻击行为的基础、关键、核心工作。

风险摸排,心中有数方可智行。基于防守方整合的信息资产,开展有针对性的风险自查。以自身的管理优势结合厂商的技术优势,采取黑、白盒的方式发现问题、加固问题以及规避风险。主要自查手段有漏洞扫描、基线核查、渗透测试、弱口令检查、敏感信息检查以及专项安全检查。定期或专项漏洞扫描,批量、快速检测常规性漏洞;基线核查,检验各类硬件设备、软件配置层面可能存在的安全风险;对互联网、办公网、DMZ等网络区域开展渗透测试工作,检验不同区域的信息安全风险;弱口令检查、敏感信息泄露检查,检验口令安全性及暴露的敏感信息;专项安全检查,如集权类、VPN类、数据库类、代码仓库、共享类、邮箱类等,对可能存在的安全隐患进行逐一摸排。整个风险摸排过程中,企业充分发挥管理优势,厂商充分发挥技术及解决方案优势,双方共同推进风险摸排工作高效开展。

专项专治,重点治理。攻防演练较日常安全建设工作相比,涉及资产广、风险问题多、部门跨度大。内网生产系统由于业务风险等历史因素,长期积累了众多安全隐患,大范围的安全加固工作,打破了当前业务系统的稳定运行,势必带来业务和安全的矛盾及冲突,此时,通过专项专治、重点问题重点治理的方式,利用收敛网络路径、点对点白名单等手段推进安全治理工作,将安全风险控制在可接受范围之内,实现风险相对清零。

(四)模拟演练,全流程模拟实战

实践是检验真理的唯一标准。开展全流程攻防演练,检验安全建设工作是否存在木桶效应、安全防护体系是否完备。攻击方不限企业资产、不限地理位置、不限攻击路径、不限攻击方式,突破防守方层层防护,尝试获取设备权限、数据等,通过主动攻击的方式,从攻击者角度审视企业安全建设工作,发现防守体系脆弱面。作为防守方而言,全员战备,全面防护、实时监控、快速处置、精确溯源,发现攻击方攻击行为。

打破壁垒,优化防守流程。防守工作涉及系统、部门、人员众多,流程跨多个部门,利用全流程模拟实战演练,打破壁垒,有效精简、疏通、完善防守流程。通过完整的红蓝复盘工作,整合红队攻击、蓝队防守信息,查缺补漏,进一步推进企业信息安全建设工作。

心往一处想,劲往一处使。攻防演练本是一场全员参与的大型活动,打赢这场没有硝烟的战争的关键在于团结、协作,任何一个环节出现安全风险均有可能导致防守工作功亏一篑。明确防守目标,各部门、各厂商精诚合作、团结一致,实现全面监控、快速处置,不留任何防守死角,方能达到优秀的防守效果。

三、决战阶段

(一)监控分析

明确分工,各司其职。基于现有的安全设备,监测分析组将分析值守人员细分为多种职责类型,包括:主机防护监测、邮件监测、流量监测、蜜罐监测等,分别对应用、流量、邮件、内网主机等多个维度的攻击行为进行监测预警,各监测小组相互配合,互为补充,一旦发现异常行为后立即同步给其他小组进行多维度研判。所有监测小组均预先设置多个班次,每个班次之间进行妥善交接,确保做到全天候监测。

按部就班,灵活调整。演练过程中,监测分析组制定了一套完整的攻击发现上报流程:安全设备告警分析->发现攻击行为->保留证据,形成事件报告->上报处置组->协助开展事件处置、溯源分析。在实际监测过程中,经监测人员专业分析,发现绝大多数攻击仅是自动化扫描工具触发的告警,据此,企业灵活调整监测上报流程,对于未成功事件定期收集IP地址,集中封禁;对于攻击成功事件,则采用原定流程进行上报,极大地简化了监测上报流程,提高了监测及处置效率。对于各安全设备策略,监测分析组根据监测情况,结合企业实际业务情况进行实时调整,对于过时策略,采取关闭或修改措施,对于演练期间新发现的攻击手段,根据其特征设置针对性监测策略,持续优化安全设备监测能力。

主动出击,攻守兼备。蜜罐作为一种新型的安全防护产品,是目前攻防演练中溯源反制常用手段之一,演练过程中,在确保无攻击成功事件的同时,监测分析组尝试通过已部署的多套蜜罐对攻击者进行溯源,基于邮件网关截获的攻击队钓鱼邮件,蜜罐监测小组主动出击,修改外网高交互Web蜜罐样式,诱导攻击队成员对该页面进行攻击,获取其攻击特征及社交信息,据此进行溯源分析,实现攻击反制。

情报联动,精准监控。演练期间,监测分析组时刻关注互联网威胁情报,安排专人定期收集整理互联网恶意IP,筛选可靠信息,对上述目标进行重点监控,对行为异常的IP及时阻断,提升监测效率以及精确度。

图2:实战监测分析示意图

(二)应急处置

未雨绸缪,有备无患。为应对演习中可能出的网络安全突发事件,企业针对常见的安全事件制定了相应预案,防患于未然。预案主要针对扫描探测攻击、漏洞攻击、木马后门攻击等场景制定详细操作步骤,指导现场人员快速处置各类安全事件。

诱敌深入,威胁狩猎。为应对社工类安全事件,企业根据蜜罐捕获到的攻击者信息,对攻击者进行初步画像,利用攻击者攻击轨迹、手段等信息借助于威胁情报平台进一步收集攻击数据并完善画像,再通过反社工、反制等手段,多维度的推演及论证,以获取到至关重要的信息,如QQ号、微信号、支付宝账号、百度账号、身份证号、手机号、公司信息等,最终达到溯源其真实身份的目的。

图3:应急处置示意图

(三)查漏补缺

演练结束后进行全方面的梳理,对整个演练过程进行复盘,通过红队角度从攻击层面进行分析,主要包括入侵方式方法、漏洞利用过程、横向攻击过程等内容;通过蓝队角度从防守层面进行分析总结,主要包括防护成果、处置手段、响应流程、溯源分析等内容。进而查漏补缺,针对演练中出现的安全风险及安全事件进行分析,有针对性地进行调整和优化,提出整改建议,形成可切实落地的整改方案。

四、总结

在信息化程度越来越高的当今时代,网络安全威胁和风险日益突出,大多数企业网络安全防控能力薄弱,难以有效应有组织、高强度的网络攻击,无形之中成为受害者,网络安全建设工作任重而道远。企业蓝队建设是一个持续学习、持续改进的过程,它的效果和价值因为攻防演练的开展而变的更加容易量化。攻防演练模拟真实网络攻击,全方位多维度审视现有防护体系,以实战化的结果评估蓝队建设的成果,更加直观地暴露网络中存在的脆弱性和风险,更有效推动网络安全建设。

选自《交易技术前沿》第42期 网络安全防护专刊

声明:本文来自证券信息技术研发中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。