通過攻擊看透安全開發、運維與防御
攻擊方式的多種多樣,致使防御手段逐漸多元化。就拿木馬舉例,各種形式的木馬產生,變相豐富了web安全狗、360安全衛士、火絨、windowsdefander、卡巴斯基等病毒專殺工具。本文從攻擊的角度,解析了該如何有效地防御入侵型網絡攻擊。
攻擊方式的多種多樣,致使防御手段逐漸多元化。就拿木馬舉例,各種形式的木馬產生,變相豐富了web安全狗、360安全衛士、火絨、windowsdefander、卡巴斯基等病毒專殺工具。本文從攻擊的角度,解析了該如何有效地防御入侵型網絡攻擊。
攻防發展剖析
首先,先來剖析傳統互聯網的信息安全防御體系。傳統互聯網大多數通過TCP/IP 協議進行通信,而TCP/IP協議分為4層,目前大多數防御手段出現在應用層,對于數據鏈路層的監聽,目前還沒有效的防御手段,只能從tcp流量來分析有嫌疑的IP。
應用層的攻擊,主要通過端口相對的服務進行,服務要對外進行通訊,必須通過開放端口進行,而一旦端口開放到互聯網,就相當于告訴全世界的人,我家在墻上開了一扇窗戶,如果其他人知道你家有貴重的資產,就有可能通過有漏洞的窗戶進入你家,從而對你家進行破壞、盜竊、甚至是長期對你進行監聽。所以定期梳理自己網絡資產開放端口及對應相關服務極其重要。
應用層的防御是相對攻擊進行的,主要的手段就是入侵檢測,日志審計,入侵抵御。入侵檢測可以采用流量防火墻的方式,檢測到異常畸形包流量發出告警,接著日志審計系統通過審計日志信息鎖定漏洞出現點,入侵抵御自動清除留存的木馬及后門代碼。
數據鏈路層的攻擊,主要通過路由器,交換機,DNS服務器等常見的數據鏈路傳輸設備進行。最常見的就是ddos攻擊,也是最難防御的,通過發送大量syn,icmp,udp的畸形包,使得dns等轉發設備處理大量畸形報文,使得處理正常報文時間大量增加,造成報文堵塞,延遲增加,嚴重影響及時通信。數據鏈路層攻擊還可以對dns或者路由器及交換機進行監聽劫持,進而把流量轉發到攻擊者搭建的dns服務器上,進行長期的數據鏈路層流量監聽。
數據鏈路層的防御也是相對攻擊進行,緩解ddos攻擊最有效的手段就是設置大帶寬轉發負載均衡服務器,及異地容災服務器,一旦一地遭受了ddos攻擊,立即啟用異地的備用服務器接收大量的流量。數據鏈路層針對設備劫持的防御手段主要就是定期檢查dns服務器、路由、交換機等數據鏈路轉發設備,及時排查不明流量的服務及數據鏈路通信的內容解析。
紅藍對抗的攻與防即是博弈,通過紅藍對抗深刻認識攻和防的不足,達到以防御增加攻擊力度,以攻擊看透防御弱點。
紅藍對抗剖析
紅隊作為攻擊方,一開始就是以突破防御的目的為主。這種突破外部防御進入內網的方法叫做打點,通俗地說,就是依靠現有攻擊手段突破對方外網防御,利用攻破的系統設備作為流量轉發跳板機,能跟內網設備資產進行通信,進而攻擊內網其他設備系統。
紅隊進攻的主要方向和手段,在下圖清晰展示出紅隊團隊力量的攻擊優勢。
紅隊的攻擊依靠信息收集進行,信息收集到的cms框架指紋越多,收集到的端口服務越多,服務及框架存在漏洞的可能越大,這也給紅隊從不同角度攻擊目標提供了無限的可能。
通過信息收集可以發現一些git/svn的源碼泄漏,有可能獲取到數據庫等關鍵賬號密碼信息,登錄賬號密碼加密方法等。在下圖清晰展示出紅隊所需要收集的內容。
很多時候,系統都是從內部信息泄漏開始攻破的。在目前大力推廣云廠商上云部署及零信任環境下,信息安全中的系統安全問題就顯得格外突出。在云廠商部署系統的條件下,本身就無法滿足零信任環境。把自己的系統和數據交給一個自己無法把控系統安全的云廠商,本身環境就不存在零信任。云廠商平時云維護過程中必然會接觸到你的數據和通過他網絡節點的流量,再加上云廠商運維安全環境的嚴重不足,使得你的資產跟其他公司資產可以在云廠商云內網之間互相訪問,這就導致網絡安全風險的大批量增加。
就拿亞馬遜云、谷歌云等舉例,這些不管是esc云廠商還是saas云廠商,為了用戶部署方便,都會提供通過api密鑰等形式進行系統化上云部署。這就導致一旦該部署系統或該運維系統保存了相關密鑰,在紅隊攻擊下拿下了該系統,那么這些密鑰就可以控制全部資產,繼而影響供應鏈環節中的運維公司和雇主公司的資產安全。
下圖展示了密鑰泄漏導致的全部資產控制截圖,可以看出,一旦云廠商的密鑰泄漏,危害有多大。
紅隊的漏洞挖掘,可以從以下幾個方面進行。
通過挖掘應用層系統及服務的漏洞,從而攻入目標系統,達到信息獲取,長期監控的目的。
權限獲取的目的是以拿下的系統作為跳板機,通過內網穿透的方式攻擊內網其他系統,通過維持權限,長期控制跳板機,維持內網訪問權限。
內網穿透主要通過各種穿透軟件或者協議進行,可以利用nps、frp、ew等穿透工具進行內網訪問,或者通過ssh端口代理的方式通過ssh協議進行數據轉發和通信。
內網掃描是紅隊戰果擴展最重要的環節,藍隊一般會在內網架設IDS和IPS進行網絡監聽,提前發現告警及抵御異常流量攻擊。紅隊的繞過方式也是五花八門,可以通過偽裝成正常訪問的tcp流量進行單個IP端口掃描,跳過內網中存在的IDS和IPS的IP,防止掃描流量被防護設備截獲。
藍隊要達到反制的效果,需要在內網放置蜜罐,通過蜜罐來收集攻擊者的畫像,有些蜜罐可以通過jsonp跨域漏洞來獲取正在登錄中的攻擊者的其他網絡賬號,從而通過社工庫鎖定攻擊者。有些蜜罐也可以放置假的數據庫連接來引導攻擊者連接數據庫,進而向攻擊者植入木馬,通過木馬對攻擊者進行反制。
一般的大型內網都有以下這幾部分組成。
在內網橫向環節中如果要從辦公網橫向到內網,那就必須要經過公司主干路由,一般公司主干路由都是三層核心路由交換防火墻,具有三層防火墻的功能,能夠對發起的惡意攻擊進行一定的識別。
紅隊在橫向探測時首先會探測拿到的網絡是否屬于內網,如果是屬于內網,不會進行大規模內網掃描,只會針對存活探測做進一步單個IP信息收集。這時候藍方可以根據自有IP資產開放端口進行統計,挖掘出薄弱容易被攻陷的系統,部署上蜜罐,等待紅方入套,進而做進一步反制。
大型企業都會做SDL建設。下面為SDL建設的一般流程。
每一個安全測試小環節組成一個大的安全生產體系建設。整個企業生產圍繞安全進行,棄用不可信代碼,反復測試上線代碼bug及漏洞。這些都能從源頭上緩解紅隊的內網攻擊態勢。
下面講講工控安全生產信息安全防御體系。工控設備通過大部分私有協議進行通信,不同的廠商可能會有不同的協議,下面是一些常見的工控協議。
工控安全除了從協議本身的安全性出發進行測試之外,還需要對連接的傳統互聯網網絡進行安全性測試。工業生產網的一些數據需要上傳到傳統互聯網的大數據分析平臺進行系統化展示。雖然在傳統互聯網和工控網絡之間架設了網閘,但上位機安全措施必須做到位,一旦上位機在內網中淪陷,可能會導致整個工控網絡設備淪陷。
紅隊在針對工控網絡進行滲透的時候,一般都會獲取上位機和SCADA服務器網絡信息。拿到上位機和SCADA服務器相當于控制了目標工控網絡。
工控網絡控制層級
在管理工控網絡的時候需要注意以下幾個工控安全措施:
-弱口令定期排查,排查弱口令可以防止攻擊者通過弱口令進入上位機或其他內網資產
-上位機登錄憑證不保存,上位機登錄憑證在人員操作停止一定時間后,需要再次輸入憑證進行登錄操作,防止攻擊者通過上位機憑證操控工控網絡。
-啟用冗災備用措施,在工控網絡主控制器發生宕機或者主控制器等工控網絡設備出現漏洞時,能及時使用冗災備用措施,及時解決宕機問題和漏洞修復問題。
-設置登錄上位機專用服務器,定期檢查是否有其他服務器登錄上位機,如果存在其他服務器登錄上位機問題,就需要排查是否內網存在攻擊者。
-工控網絡控制器端口不暴露在外部網絡,一些攻擊者可以通過重復發包漏洞或者身份認證繞過漏洞對暴露在外的工控網絡控制器端口服務進行攻擊。
-上位機不暴露在公網,最好設置上位機只允許一臺服務器訪問,這樣上位機出現問題可以及時進行排查溯源。
不同的工業廠商存在不同的業務,也存在不同的系統,紅隊在攻擊對應的業務系統時可以針對不同的業務系統進行攻擊,大部分工控網絡都會存在帆軟等工控數據報表制作展示系統,可以針對帆軟提前做漏洞挖掘準備。
目前對于工控網絡層級的安全防御體系,主要圍繞三位一體進行建設,三位一體安全體系架構以保障企業生產業務為根本,依靠安全技術、安全服務、安全管理三大體系,滿足工控安全全生命周期安全需求。三大體系組成工控安全防御體系,使得工控網絡與世隔絕,變成銅墻鐵壁。
總的來說,不管是傳統網絡還是工控網絡,安全防御方面始終是薄弱項,攻擊無處不在,只是有的攻擊就像癌癥一樣,起初的癥狀并不明顯,一旦癥狀明顯,顯示出文件異常或者文件丟失,配置被更改或者刪除,那對傳統網絡或者是工控網絡將是致命的打擊。
來源:木鏈科技
原文鏈接:https://36kr.com/p/1817053645009795
