藍隊視角下企業網絡安全防御體系構建
《藍隊視角下的防御體系構建》是本系列的第二篇,本篇希望通過歸納總結藍隊防御的三個階段、應對攻擊的常用策略,以及建立實戰化的安全體系的基本方法,幫助政企機構彌補薄弱環節,更好地提升演習水平,構筑更有效的安全防御體系。
第一章 什么是藍隊
藍隊,一般是指網絡實戰攻防演習中的防守一方。
藍隊一般是以參演單位現有的網絡安全防護體系為基礎,在實戰攻防演習期間組建的防守隊伍。藍隊的主要工作包括前期安全檢查、整改與加固,演習期間進行網絡安全監測、預警、分析、驗證、處置,后期復盤總結現有防護工作中的不足之處,為后續常態化的網絡安全防護措施提供優化依據。
實戰攻防演習時,藍隊通常會在日常安全運維工作的基礎上,以實戰思維進一步加強安全防護措施、提升管理組織規格、擴大威脅監控范圍、完善監測與防護手段、增加安全分析頻率、提高應急響應速度,提升防守能力。
特別需要說明的是:藍隊并不僅僅由實戰演習中目標系統運營單位一家獨立承擔,而是由目標系統運營單位、攻防專家、安全廠商、軟件開發商、網絡運維隊伍、云提供商等多方組成的防守隊伍。
下面是組成藍隊的各個團隊在演習中的角色與分工情況:
目標系統運營單位:負責藍隊整體的指揮、組織和協調;
安全運營團隊:負責整體防護和攻擊監控工作;
攻防專家:負責對安全監控中發現的可疑攻擊進行分析研判,指導安全運營團隊、軟件開發商等相關部門進行漏洞整改等一系列工作;
安全廠商:負責對自身產品的可用性、可靠性和防護監控策略是否合理進行調整;
軟件開發商:負責對自身系統安全加固、監控和配合攻防專家對發現的安全問題進行整改;
網絡運維隊伍:負責配合安全專家對網絡架構安全、出口整體優化、網絡監控、溯源等工作;
云提供商(如有):負責對自身云系統安全加固,以及對云上系統的安全性進行監控,同時協助攻防專家對發現的問題進行整改。
某些情況下,還會有其他組成人員,這需要根據實際情況具體分配工作。
特別的,作為藍隊,了解對手(紅隊)非常重要。知彼才能知己。從攻擊者角度出發,了解攻擊者的思路與打法,了解攻擊者思維,并結合本單位實際網絡環境、運營管理情況,制定相應的技術防御和響應機制,才能在防守過程中爭取主動權。
第二章 藍隊三步走——防守的三個階段
在實戰環境下的防護工作,無論是面對常態化的一般網絡攻擊,還是面對有組織、有規模的高級攻擊,對于防護單位而言,都是對其網絡安全防御體系的直接挑戰。在實戰環境中,藍隊需要按照備戰、實戰和戰后三個階段來開展安全防護工作。
一、備戰階段——不打無準備之仗
在實戰攻防工作開始之前,首先應當充分地了解自身安全防護狀況與存在的不足,從管理組織架構、技術防護措施、安全運維處置等各方面能進行安全評估,確定自身的安全防護能力和工作協作默契程度,為后續工作提供能力支撐。這就是備戰階段的主要工作。
在實戰攻防環境中,我們往往會面臨技術、管理和運營等多方面限制。技術方面:基礎能力薄弱、安全策略不當和安全措施不完善等問題普遍存在;管理方面:制度缺失,職責不明,應急響應機制不完善等問題也很常見;運營方面:資產梳理不清晰、漏洞整改不徹底、安全監測分析與處置能力不足等問題隨處可見。這些不足往往會導致整體防護能力存在短板,對安全事件的監測、預警、分析和處置效率低下。
針對上述情況,藍隊在演習之前,需要從以下幾個方面進行準備與改進:
1)技術方面
為了及時發現安全隱患和薄弱環節,需要有針對性地開展自查工作,并進行安全整改加固,內容包括系統資產梳理、安全基線檢查、網絡安全策略檢查、Web安全檢測、關鍵網絡安全風險檢查、安全措施梳理和完善、應急預案完善與演練等。
2)管理方面
一是建立合理的安全組織架構,明確工作職責,建立具體的工作小組,同時結合工作小組的責任和內容,有針對性地制定工作計劃、技術方案及工作內容,責任到人、明確到位,按照工作實施計劃進行進度和質量把控,確保管理工作落實到位,技術工作有效執行。
二是建立有效的工作溝通機制,通過安全可信的即時通訊工具建立實戰工作指揮群,及時發布工作通知,共享信息數據,了解工作情況,實現快速、有效的工作溝通和信息傳遞。
3)運營方面
成立防護工作組并明確工作職責,責任到人,開展并落實技術檢查、整改和安全監測、預警、分析、驗證和處置等運營工作,加強安全技術防護能力。完善安全監測、預警和分析措施,建立完善的安全事件應急處置機構和可落地的流程機制,提高事件的處置效率。
同時,所有的防護工作包括預警、分析、驗證、處置和后續的整改加固都必須以監測發現安全威脅、漏洞隱患為前提才能開展。其中,全流量安全威脅檢測分析系統是防護工作的重要關鍵節點,并以此為核心,有效地開展相關防護工作。
二、實戰階段——全面監測及時處置
攻守雙方在實戰階段正式展開全面對抗。防護方須依據備戰明確的組織和職責,集中精力和兵力,做到監測及時、分析準確、處置高效,力求系統不破,數據不失。
在實戰階段,從技術角度總結應重點做好以下三點:
1)做好全局性分析研判工作
在實戰防護中,分析研判應作為核心環節,分析研判人員要具備攻防技術能力,熟悉網絡和業務。分析研判人員作為整個防護工作的大腦,應充分發揮專家和指揮棒的作用,向前,對監測人員發現的攻擊預警進行分析確認并溯源,向后,指導協助事件處置人員對確認的攻擊進行處置。
2)全面布局安全監測預警
安全監測須盡量做到全面覆蓋,在網絡邊界、內網區域、應用系統、主機系統等方面全面布局安全監測手段,同時,除了IDS、WAF等傳統安全監測手段外,盡量多使用天眼全流量威脅檢測、網絡分析系統、蜜罐、主機加固等手段,只要不影響業務,監測手段越多元化越好。
3)提高事件處置效率效果
安全事件發生后,最重要的是在最短時間內采取技術手段遏制攻擊、防止蔓延。事件處置環節,應聯合網絡、主機、應用和安全等多個崗位人員協同處置。
三、戰后整頓——實戰之后的改進
演習的結束也是防護工作改進的開始。在實戰工作完成后應進行充分、全面復盤分析,總結經驗、教訓。應對準備、預演習、實戰等階段工作中各環節的工作進行全面復盤,復查層面包括工作方案、組織管理、工作啟動會、系統資產梳理、安全自查及優化、基礎安全監測與防護設備的部署、安全意識、應急預案及演練和注意事項等所有方面。
針對復盤中暴露出的不足之處,如管理層面的不完善、技術層面需優化的安全措施和策略、協調處置工作層面上的不足、人員隊伍需要提高的技術能力等各個方面,應進行立即整改,整改加固安全漏洞隱患,完善安全防護措施,優化安全策略,強化人員隊伍技術能力,有效提升整體網絡安全防護水平。
?
第三章 藍隊應對攻擊的常用策略
未知攻焉知防。如果企業安全部門不了解攻擊者的攻擊思路、常用手段,有效的防守將無從談起。從攻擊者實戰視角去加強自身防護能力,將是未來的主流防護思想。
攻擊者一般會在前期搜集情報,尋找突破口、建立突破據點;中期橫向移動打內網,盡可能多地控制服務器或直接打擊目標系統;后期會刪日志、清工具、寫后門建立持久控制權限。針對攻擊者或紅隊的常用套路,藍隊應對攻擊的常用策略可總結為:防微杜漸、收縮戰線、縱深防御、核心防護、洞若觀火等。
一、防微杜漸:防范被踩點
攻擊者首先會通過各種渠道收集目標單位的各種信息,收集的情報越詳細,攻擊則會越隱蔽,越快速。前期防踩點,首先要盡量防止本單位敏感信息泄露在公共信息平臺,加強人員安全意識,不準將帶有敏感信息的文件上傳至公共信息平臺。
社工也是攻擊者進行信息收集和前期踩點的重要手段,要定期對信息部門重要人員進行安全意識培訓,如:來路不明的郵件附件不要隨便點開,聊天軟件未經身份確認不要隨便添加。此外,安全管理和安全意識培訓難免也會有漏網之魚,安全運營部門應定期在一些信息披露平臺搜索本單位敏感詞,查看是否存在敏感文件泄露情況。
二、收縮戰線:收斂攻擊面
門用于防盜,窗戶沒關嚴也會被小偷得逞。攻擊者往往不會正面攻擊防護較好的系統,而是找一些可能連防守者自己都不知道的薄弱環節下手。這就要求防守者一定要充分了解自己暴露在互聯網的系統、端口、后臺管理系統、與外單位互聯的網絡路徑等信息。哪方面考慮不到位、哪方面往往就是被攻陷的點。互聯網暴露面越多,越容易被攻擊者“聲東擊西”,最終導致防守者顧此失彼,眼看著被攻擊卻無能為力。結合多年的防守經驗,可從如下幾方面收斂互聯網暴露面。
1)攻擊路徑梳理
由于網絡不斷變化、系統不斷增加,往往會產生新的網絡邊界和新的系統。藍隊(防守單位)一定要定期梳理自己的網絡邊界、可能被攻擊的路徑,尤其是內部系統全國聯網的單位更要注重此項梳理工作。
2)互聯網攻擊面收斂
一些系統維護者為了方便,往往會把維護的后臺、測試系統和端口私自開放在互聯網上,方便維護的同時也方便了攻擊者。攻擊者最喜歡攻擊的WEB服務就是網站后臺,以及安全狀況比較差的測試系統。藍隊須定期檢測如下內容:開放在互聯網的管理后臺、開放在互聯網上的測試系統、無人維護的僵尸系統、擬下線未下線的系統、疏漏的未納入防護范圍的互聯網開放系統。
3)外部接入網絡梳理
如果正面攻擊不成,紅隊或攻擊者往往會選擇攻擊供應商、下級單位、業務合作單位等與目標單位有業務連接的其他單位,通過這些單位直接繞到目標系統內網。防守單位應對這些外部的接入網絡進行梳理,尤其是未經過安全防護設備就直接連進來的單位,應先連接防護設備,再接入內網。
4)隱蔽入口梳理
由于API接口、VPN、WiFi這些入口往往會被安全人員忽略,這往往是攻擊者最喜歡打的入口,一旦搞定則暢通無阻。安全人員一定要梳理WEB服務的API隱藏接口、不用的VPN、WiFi賬號等,便于重點防守。
三、縱深防御:立體防滲透
前期工作做完后,真正的防守考驗來了。防守單位在互聯網上的冠名網站、接口、VPN等對外服務必然會成為攻擊者的首要目標。一旦一個點突破后,攻擊者會迅速進行橫向突破,爭取控制更多的主機,同時試圖建立多條隱蔽隧道,鞏固成果,使防守者顧此失彼。
此時,戰爭中的縱深防御理論就很適用于網絡防守。互聯網端防護、內外部訪問控制(安全域間甚至每臺機器之間)、主機層防護、重點集權系統防護、無線網絡防護、外部網絡接入防護甚至物理層面的防護,都需要考慮進去。通過層層防護,盡量拖慢攻擊者擴大戰果的時間,將損失降至最小。
1)互聯網端防護
互聯網作為防護單位最外部的接口,是重點防護區域。互聯網端的防護工作可通過部署網絡防護設備和開展攻擊檢測兩方面開展。需部署的網絡防護設備包括:下一代防火墻、防病毒網關、全流量分析設備、防垃圾郵件網關、WAF(云WAF)、IPS等。攻擊檢測方面。如果有條件,可以事先對互聯網系統進行一次完整的滲透測試,檢測互聯網系統安全狀況,查找存在的漏洞。
2)訪問控制措施
互聯網及內部系統、網段和主機的訪問控制措施,是阻止攻擊者打點、內部橫向滲透的最簡單有效的防護手段。防守者應依照“必須原則”,只給必須使用的用戶開放訪問權限,按此原則梳理訪問控制策略,禁止私自開放服務或者內部全通的情況出現,通過合理的訪問控制措施盡可能地為攻擊者制造障礙。
3)主機防護
當攻擊者從突破點進入內網后,首先做的就是攻擊同網段主機。主機防護強度直接決定了攻擊者內網攻擊成果的大小。防守者應從以下幾個方面對主機進行防護:關閉沒用的服務;修改主機弱口令;高危漏洞必須打補丁(包括裝在系統上的軟件高危漏洞);安裝主機和服務器安全軟件;開啟日志審計。
4)集權系統
集權系統是攻擊者最喜歡打的內部系統,一旦被拿下,則集權系統所控制的主機可同樣視為已被拿下,殺傷力巨大。集權系統是內部防護的重中之重。
藍隊或防守者一般可從以下方面做好防護:集權系統的主機安全;集權系統訪問控制;集權系統配置安全;集權系統安全測試;集權系統已知漏洞加固或打補丁;集權系統的弱口令等。
5)無線網絡
不安全的開放無線網絡也有可能成為攻擊者利用的攻擊點。無線開放網絡與業務網絡應分開。一般建議無線網接入采用強認證和強加密。
6)外部接入網絡
如果存在外部業務系統接入,建議接入的系統按照互聯網防護思路,部署安全設備,并對接入的外部業務系統進行安全檢測,確保接入系統的安全性,防止攻擊者通過這些外部業務系統進行旁路攻擊。
四、守護核心:找到關鍵點
核心目標系統是攻擊者的重點攻擊目標,也應重點防護。上述所有工作都做完后,還需要重點梳理:目標系統和哪些業務系統有聯系?目標系統的哪些服務或接口是開放的?傳輸方式如何?梳理得越細越好。同時還須針對重點目標系統做一次交叉滲透測試,充分檢驗目標系統的安全性。協調目標系統技術人員及專職安全人員,專門對目標系統的進出流量、中間件日志進行安全監控和分析。
五、洞若觀火:全方位監控
任何攻擊都會留下痕跡。攻擊者會盡量隱藏痕跡、防止被發現;而防守者恰好相反,需要盡早發現攻擊痕跡,并通過分析攻擊痕跡,調整防守策略、溯源攻擊路徑、甚至對可疑攻擊源進行反制。建立全方位的安全監控體系是防守者最有力的武器,總結多年實戰經驗,有效的安全監控體系需在如下幾方面開展:
1)全流量網絡監控
任何攻擊都要通過網絡,并產生網絡流量。攻擊數據和正常數據肯定是不同的,通過全網絡流量去捕獲攻擊行為是目前最有效的安全監控方式。藍隊或防守者通過全流量安全監控設備,結合安全人員的分析,可快速發現攻擊行為,并提前做出針對性防守動作。
2)主機監控
任何攻擊最終都會落到主機(服務器或終端)上。通過部署合理的主機安全軟件,結合網絡全流量監控措施,可以更清晰、準確、快速地找到攻擊者的真實目標主機。
3)日志監控
對系統和軟件的日志監控同樣必不可少。日志信息是幫助防守者分析攻擊路徑的一種有效手段。攻擊者攻擊成功后,打掃戰場的首要任務就是刪除日志,或者切斷主機日志的外發,以防止防守者追蹤。防守者應建立一套獨立的日志分析和存儲機制,重要目標系統可派專人對目標系統日志和中間件日志進行惡意行為監控分析。
4)情報監控
高端攻擊者會用0day或Nday漏洞來打擊目標系統、穿透所有防守和監控設備,防守者對此往往無能為力。防守單位可通過與更專業的安全廠商合作,建立漏洞通報機制,安全廠商應將檢測到的與防守單位信息資產相關的0day或Nday漏洞快速通報給防守單位。防守單位根據獲得的情報,參考安全廠商提供的解決方案,迅速自查處置,將損失減到最少。
?
第四章 建立實戰化的安全體系
安全的對抗是動態的過程。業務在發展,網絡在變化,技術在變化,人員在變化,攻擊手段也在不斷變化。網絡安全沒有“一招鮮”的方式,需要在日常工作中,不斷積累不斷創新,不斷適應變化。面對隨時可能威脅系統的各種攻擊,不能臨陣磨槍、倉促應對,必須立足根本、打好基礎,加強安全建設、優化安全運維,并針對各種攻擊事件采取重點防護。藍隊或防守單位不應以“修修補補,哪里出問題堵哪里”的思維來解決問題,而應未雨綢繆,從管理、技術、運行等方面建立實戰化的安全體系,有效應對實戰環境下的安全挑戰。
一、認證機制逐步向零信任架構演進
從實戰攻防對抗的結果來看,傳統網絡安全邊界正在被瓦解,無窮無盡的攻擊手段導致單位網絡安全防護措施難以起到效果,網絡是不可信任的。在這種情況下,應該將關注點從“攻擊面”向“保護面”上轉移,而零信任安全則是從“保護面”上考慮,提出了解決安全問題,提高防御能力的一種新思路。
零信任安全針對傳統邊界安全架構思想進行了重新評估和審視,并對安全架構思路給出了新的建議,其核心思想是:默認情況下不應該信任網絡內部和外部的任何人、設備和系統,需要基于認證和授權重構訪問控制的信任基礎。零信任對訪問控制進行了范式上的顛覆,引導安全體系架構從網絡中心化走向身份中心化,其本質訴求是以身份為中心進行訪問控制。
零信任體系會將訪問控制權從邊界轉移到個人設備與用戶上,打破傳統邊界防護思維,建立以身份為信任基礎的機制,遵循先驗證設備和用戶、后訪問業務的原則,不再自動信任內部或外部任何人、設備和應用,在授權前對任何試圖接入網絡和訪問業務應用的人、設備或應用都進行驗證,并提供動態的細粒度訪問控制策略以滿足最小權限原則。
零信任體系把防護措施建立在應用層面,構建從訪問主體到客體之間端到端的、最小授權的業務應用動態訪問控制機制,極大地收縮了攻擊面。零信任安全在實踐機制上擁抱灰度,兼顧難以窮盡的邊界情況,最終以安全與易用平衡的持續認證,改進原有固化的一次性強認證,以基于風險和信任持續度量的動態授權替代簡單的二值判定靜態授權,以開放智能的身份治理優化封閉僵化的身份管理,提升了對內外部攻擊和身份欺詐的發現和響應能力。建議單位網絡安全基礎架構逐步向零信任體系演進。
二、建立面向實戰的縱深防御體系
實戰攻防演習的真實對抗表明,攻防是不對稱的,通常情況下,攻擊只需要撕開一個點,就會有所“收獲”,甚至可以通過攻擊一個點,拿下一座“城池”;但對于防守工作來說,考慮的卻是安全工作的方方面面,僅關注某個或某些防護點,已經滿足不了防護需求。實戰攻防演習過程中,攻擊者或多或少還有些攻擊約束要求,但真實的網絡攻擊則完全無拘無束,與實戰攻防演習相比較,真實的網絡攻擊更加隱蔽而強大。
為應對真實網絡攻擊行為,僅僅建立合規型的安全體系是遠遠不夠的。隨著云計算、大數據、人工智能等新型技術的廣泛應用,信息基礎架構層面變得更加復雜,傳統的安全思路已越來越難以適應安全保障能力的要求。必須通過新思路、新技術、新方法,從體系化的規劃和建設角度,建立縱深防御體系架構,整體提升面向實戰的防護能力。
從應對實戰角度出發,對現有安全架構進行梳理,以安全能力建設為核心思路,面向主要風險重新設計企業整體安全架構,通過多種安全能力的組合和結構性設計形成真正的縱深防御體系,并努力將安全工作前移,確保安全與信息化“三同步”(同步規劃、同步建設、同步使用),建立起能夠具備實戰防護能力、有效應對高級威脅、持續迭代演進提升的安全防御體系。
三、強化行之有效的威脅監測手段
在實戰攻防對抗中,監測分析是發現攻擊行為的主要方式,在第一時間發現攻擊行為,可為應對和響應處置提供及時支撐,威脅監測手段在防護工作中至關重要。通過對多個單位安全防護工作進行總結分析,威脅監測手段方面存在的問題主要是:
1)沒有針對全流量威脅進行監測,導致分析溯源工作無法開展;
2)有全流量威脅監測手段,但流量覆蓋不完全,存在監測盲區;
3)只關注網絡監測,忽視主機層面的監測,當主機發生異常時不易察覺;
4)缺乏對郵件安全的監測,使得釣魚郵件,惡意附件在網絡中暢通無阻;
5)沒有變被動為主動,缺乏蜜罐等技術手段,無法捕獲攻擊、進一步分析攻擊行為。
針對上述存在的問題,強化行之有效的威脅監測手段,建立以全流量威脅監測分析為“大腦”,以主機監測、郵件安全監測為“觸角”,以蜜罐監測為“陷阱”,以失陷檢測為輔助手段的全方位安全監測機制,更加有效地滿足實戰環境下的安全防守要求。
四、建立閉環的安全運營模式
分析發現,凡是日常安全工作做得較好的單位,基本都能夠在實戰攻防演習時較快地發現攻擊行為,各部門之間能夠按照約定的流程,配合得當、快速完成事件處置,在自身防護能力、人員協同等方面較好地應對攻擊。
反之,日常安全工作較差的單位,大多都會暴露出如下問題:很多基礎性工作沒有開展,缺少相應的技術保障措施,自身防護能力欠缺;日常安全運維不到位,流程紊亂,各部門人員配合難度大。這些問題導致攻擊行為不能被及時監測,攻擊者來去自由;即便是好不容易發現了入侵行為,也往往會因資產歸屬不清、人員配合不順暢等因素,造成處置工作進度緩慢。這就給了攻擊者大量的可乘之機,最后的結果往往是目標系統輕而易舉地被攻陷。
所以,政企機構應進一步做好安全運營工作,建立閉環的安全運營體系:
通過內部威脅預測、外部威脅情報共享、定期開展暴露資產發現、安全檢查等工作,實現攻擊預測,提前預防的目的;
通過開展安全策略優化、安全基線評估加固、系統上線安全檢查、安全產品運行維護等工作,建立威脅防護能力;
通過全流量風險分析、應用失陷檢測、滲透測試、蜜罐誘導等手段,對安全事件能進行持續檢測,減少威脅停留時間;
通過開展實戰攻防演習、安全事件研判分析、規范安全事件處置流程,對安全事件及時進行控制,降低危害影響,形成快速處置和響應機制。
閉環安全運營體系非常重視人的作用。配備專門的人員來完成監控、分析、響應、處置等重要環節的工作,在日常工作中讓所有參與人員能夠熟悉工作流程、協同作戰,使得團隊能不斷得到強化鍛煉,這樣在實戰時中才能從容面對各類挑戰。
安全防御能力的形成并非一蹴而就,單位管理者應重視安全體系建設,建立起“以人員為核心、以數據為基礎、以運營為手段”的安全運營模式,逐步形成威脅預測、威脅防護、持續檢測、響應處置的閉環安全工作流程,打造“四位一體”的閉環安全運營體系,通過日常網絡安全建設和安全運營的日積月累,建立起相應的安全技術、管理、運營體系,形成面向實戰的安全防御能力。
