发布日期:2022/06/13
“系統運行正常,風險態勢可控,安全管理有序,到點正常交接”,可以說是每一位藍隊成員都向往的生活。
這幾年談到攻防演練,關注度最高的非0day、1day漏洞莫屬。顧名思義,0day漏洞指的就是尚未公開的新漏洞;而1day漏洞指的則是剛公開不久的漏洞,由于沒有對應的PoC檢測用例,也缺乏確定的漏洞利用檢測規則,因此常被攻擊者們用來實施出其不意的打擊,對用戶而言,防守難度大,極易成為防線失守的決堤點。
“盡管0day漏洞威脅較大,也難以預知,但并非防不勝防”,防護線市場總監聶曉磊說到,“我們可以從攻擊者的視角來分析其利用路徑,找到防守的關鍵點”。
以一個典型場景為例,假設用戶所用OA系統存在0day漏洞,而攻擊者的目標是攻陷內網核心數據服務器,那么攻擊路徑可能分為如下幾步:
通過對攻擊路徑的分析不難看出,0day漏洞固然可怕,但攻擊者想要成功利用,至少還需要幾個必要條件:一、繞過邊界防護,二、找到關鍵系統,三、可以在內網擴大戰果。那么對防守方而言,做好暴露面自查、守好關鍵路徑、加強內網橫向防護和對重要系統的保護則是控制0day漏洞影響的關鍵點。
通過對攻擊路徑的分析不難看出,0day漏洞固然可怕,但攻擊者想要成功利用,至少還需要幾個必要條件:一、繞過邊界防護,二、找到關鍵系統,三、可以在內網擴大戰果。那么對防守方而言,做好暴露面自查、守好關鍵路徑、加強內網橫向防護和對重要系統的保護則是控制0day漏洞影響的關鍵點。
盛邦安全Web應用防護系統(RayWAF)結合自身攻擊檢測與防御的經驗,形成一套專門應對0day漏洞攻擊的五重保障方案,無論是在日常管理還是重保值守中,都能夠為用戶提供精準、可靠的防護能力。
第一重:敏感信息防泄露,減少暴露面
攻防首先拼的是信息和情報。對于攻擊者而言,提前搜集足夠多的目標信息后,可以發起釣魚攻擊,也可以做定向打擊,這樣就能更快地找到突破口,攻擊成功的機會也更大。因此對防守方而言,就要盡量避免敏感信息被獲取和利用。
RayWAF敏感信息防泄露功能,既可以防止服務器關鍵信息外泄,讓攻擊者不得其法;又能夠識別和過濾用戶敏感信息,如員工姓名、聯系方式等,從而降低被釣魚風險,幫助用戶減少暴露面風險。
第二重:掃描陷阱加限速,收斂攻擊面
除了對自身暴露面風險加強管控,減少非必要對外開放的系統和服務、避免帶病資產運行之外,還需要通過技術手段進一步強化邊界防護和訪問控制。
RayWAF支持掃描陷阱防護功能,可以準確識別非法掃描行為,配合智能限速模塊,有效攔截攻擊者的初期試探和暴力破解等活動,從而幫助用戶收斂攻擊面。
第三重:人機識別加語義,擴大防護面
針對0day攻擊等新型、未知和隱蔽的威脅,傳統的靜態檢測規則通常僅能覆蓋已知威脅,難以做到全面發現和準確識別。
RayWAF人機識別能力,則可以主動出擊,對攻擊源進行反向驗證,區分正常訪問和異常行為;同時,RayWAF還支持語義分析檢測引擎,可以利用語義和上下文線索來判斷攻擊邏輯,從而有效發現未知威脅,從整體上實現防護面的擴大。
第四重:業務建模白名單,守好關鍵點
對于重要系統和核心業務,RayWAF可以通過流量自學習建模的功能,為其建立業務訪問白名單模型,僅允許匹配白名單的正常行為通過,對于任何異常和非法的訪問一律進行攔截,從而提供最強硬的防護手段,幫助用戶守好關鍵點。
第五重:外聯檢測加蜜罐,內網防失陷
針對內網安全的加固,用戶一方面需要清晰劃分業務區域、合理分配訪問權限,另一方面還可以利用行為分析和誘捕防御等手段來提升內網安全性。
RayWAF的外聯檢測功能,可以及時發現內網主機失陷后的受控外聯通道并進行阻截;同時還支持蜜罐策略,可以充分利用用戶空閑的網絡資源來建立誘捕環境,一旦攻擊者在內網發起掃描活動,可以第一時間將其捕獲并進行溯源反制。
通過五重保障方案,盛邦安全RayWAF不僅能夠幫助用戶建立可靠的安全防護體系、抵御0day攻擊等威脅;還能夠有效減輕用戶單位重保及攻防演練期間的值守壓力,讓藍隊get屬于防守方的向往的生活。有備,則無患。