【兵臨城下】系列公開課是盛邦安全基于多年攻防實戰經驗�����,針對重保及攻防演習等場景而推出的系列直播活動�,將從資產暴露面梳理��、攻擊面管理�����、脆弱性自查���、安全防線加固����、協同聯動防御以及攻擊溯源�����、應急響應等全流程進行梳��。
本期公開課的主題是“構建藍隊第三道防線——內網防失陷守好最后關卡”以下實錄文字供大家參考。
各位線上的朋友大家好�����,我是盛邦安全的聶曉磊����,今天我們繼續來分享攻防實戰中的防守技巧。上一期我們講到了針對重點目標的防護���,在防守時可以建立第二道防線����,包括權限控制�、專項規則防護和白名單的應用�。那么如果還是有系統被攻陷導致攻擊者已經進入了內網����,還有什么辦法能夠控制影響呢��?
我們都知道內網的典型特點是點多面廣��,通常監控難度很大,相應的防守壓力也很大����;同時�����,由于運維人員變更等原因,運維記錄很容易有缺失�,因此內網當中的資產統計也非常困難��。
另外���,內網資產自身的安全保障也充滿挑戰。首先�����,管理制度不全等原因往往導致內網資產的安全性參差不齊���,很容易留下一些未修復的老舊漏洞��;第二,即使知道存在漏洞���,很多系統由于比較老舊或者承載的業務系統較老,無法隨意升級或打補丁,這就導致內網當中很多資產都是帶病運行的一個狀態�����;第三��,內網的安全建設也不好做���。內網結構復雜�、牽扯面廣�����,所以安全改造本身難度很大,設備上線或者配置變更都需要足夠謹慎����;另外����,對于安全技術的實施�����,以主機安全為例���,想要成功的部署必須考慮諸多因素�����,還得各種協調�,并且需要多方積極配合,因此也難落地��。
攻擊者正是抓住內網安全相對松散的特點來進行針對性的打擊��,在這里我們總結了內網失陷后的幾個明顯特點:
1、內網服務系統對外發起異常連接���,且本地資源占用明顯升高��;
2、在非辦公時間異常訪問鄰居區域��,或者頻繁的訪問核心業務數據區域�����;
3、非法��、違規的連接其他不相干的區域�����,比如從業務區域訪問管理區域等;
4�����、異常和高頻的訪問總部或其他分支單位����,這種情況很有可能是在進行迂回打擊�。
概括而言�����,內網主機失陷后最典型的特點就是做橫向擴散和外聯試探��,結合這些特點和攻擊者可能發起的后續攻擊���,可以采用這樣一些思路進行防守���。
-
及時修補漏洞:首先要持續關注熱點漏洞影響情況,內網系統發現漏洞則需應補盡補�;對于老舊系統,即使無法升級�,也可以從邏輯上為其劃定最小安全域并在其邊界設定虛擬補丁策略�;
-
強化橫向隔離:需要改變平坦化的內網結構�,按照資產屬性為其嚴格劃分安全域��,設定細粒度的訪問控制策略�����;對于無法輕易改造的內網結構��,可以采用旁路阻斷等手段進行靈活控制;
-
嚴守重要系統:對于關鍵業務系統���,除修復漏洞強化管理之外��,還需要部署必要的本地防護手段�����;同時,對于關鍵系統對外的連接請求也要加強非法或受控的外聯檢測與控制;
-
加強主動防護:部署蜜罐是一種有效的內網防護思路�,利用攻擊者無法分辨真偽系統的弱點����,通過蜜罐捕獲內網橫向擴散行為,不僅可以準確發現攻擊者��,還有機會對其反制�����。
總結來說�����,針對攻擊方后期的橫向擴散等內網攻擊行為��,藍隊的第三道防線就是要做好內網防失陷�,守好最后關卡。我們可以通過蜜罐誘捕、外聯檢測控制等手段來構筑第三道防線�����,一方面通過誘捕防護的思路來及時發現攻擊者,并根據搜集的信息嘗試對其發起反制�;另一方面是嚴格控制內網失陷后可能產生的擴散影響;同時還要做好監測和響應���。
概括而言就是要加強主機防護����、建立誘捕防護���、強化外聯檢測并強化內網監測�����。
第三道防線常用的產品技巧包括虛擬補丁����、外聯檢測和蜜罐防護等��,針對內網的最后一關����,既要靈活的選擇部署模式�����,做敏捷的加固防護;又要充分利用用戶的空閑網絡資源�����,建立有效的誘捕網絡����。
我們仍然以WAF為例來介紹下第三道防線的幾個核心能力:
1�、虛擬補丁技術��。其實WAF設備本身就可以看作是一個大的虛擬補丁,對無法隨意升級或修補的“帶病”資產提供安全防護。同時�,WAF自身支持的虛擬補丁策略���,可以根據目標系統的漏洞掃描結果來生成針對性的補丁防護策略�����,從而實現精準防御。
2���、旁路阻斷技術����。針對內網安全實施和改造的難點�����,我們可以采用旁路阻斷的模式來進行敏捷部署���,以WAF為例����,采用旁路模式部署在服務器區邊界���,主動發送阻斷包以實現敏捷的橫向防護�����,旁路阻斷的優勢就是無需改變用戶網絡拓撲���,部署靈活�,并且還沒有單點故障等風險�����;另外�,通過分布式部署搭配集中管理平臺的方式,還可以實現統一管理橫向防護策略���,集中進行策略編排、下發和收斂��,進一步提升內網防護的靈活性。
3、外聯檢測與控制的技術��。無論是日常的違規外聯監測還是實戰化當中的受控外聯檢測,其核心在于行為的捕捉與研判。對于內網系統�����,我們一方面可以根據其業務特點來判斷其外聯動作本身是否合規����,可以選擇是否直接屏蔽外聯行為�����;另一方面就要結合內外部的威脅情報�,通過對外聯目標的分析來判斷主機是否已經失陷受控。
4��、誘捕防護技術。通過構建蜜罐服務可以捕獲攻擊者進入內網后的橫向試探行為,及時進行封禁攔截����;同時協同蜜罐對攻擊者畫像信息進行溯源還可以對其實施反制����。
5、可視化的審計與監控�����。在高強度的值守當中�����,直觀的監控、高效的檢索和詳細的舉證也是防守成功的一大保障,我們可以根據實際場景定制過濾條件����,突出顯示高危事件并及時止損����;同時�����,利用詳細的攻擊摘要與軌跡記錄���,取證并形成分析報告���,從而保證整體態勢可見與可控�����。
概括而言����,通過構建第三道防線能夠幫用戶提升內網監控能力、降低失陷擴散風險并提高溯源取證的能力�,為整體防守提供最后一公里的保障���。
那么今天關于藍隊防守的三道防線就告一段落了�,后續我們會繼續介紹防線構筑中的其他關鍵能力���,感謝大家的關注��,希望我們的分享可以切實幫助大家提升防護水平�,下期見~
