站長資訊網(wǎng)攻防演練的終極目標(biāo)在于檢驗企事業(yè)單位關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護能力,發(fā)掘自身防御優(yōu)勢及短板,因此攻防演練復(fù)盤是提升安全能力的關(guān)鍵環(huán)節(jié)。
與之前相比,今年的攻防演練在規(guī)則制定、攻擊規(guī)模、攻擊手段等方面出現(xiàn)了哪些新特點?這些新變化對企事業(yè)單位的安全能力建設(shè)提出了哪些要求?
瑞數(shù)信息多年深耕bots自動化攻擊技術(shù)和動態(tài)安全技術(shù),已連續(xù)數(shù)年參與國家級攻防演練,幫助眾多企事業(yè)單位提升防守競爭力。此次瑞數(shù)信息專家通過對比分析歷屆攻防演練情況,對企事業(yè)單位構(gòu)建實戰(zhàn)化的安全體系給出了相應(yīng)建議。
2022 攻防演練新變化:四大攻擊趨勢凸顯
網(wǎng)絡(luò)安全攻防演練,是對全國企事業(yè)單位網(wǎng)絡(luò)安全的一次大練兵。攻防演練自2016年開展以來,規(guī)模越來越大,紅隊攻擊手段越來越高級,攻防對抗水平逐年提升。特別是今年對數(shù)據(jù)安全和供應(yīng)鏈安全的要求提到新高度,使得攻防演練更加貼近實戰(zhàn),對企事業(yè)單位擁有常態(tài)化的安全能力提出了更高的要求。
攻擊趨勢
瑞數(shù)信息安全專家周浩表示,除常規(guī)化的攻擊方式外,今年攻防演練呈現(xiàn)以下攻擊趨勢:
1. 0day攻擊量大,出現(xiàn)新手段
0day依然是攻防演練中被紅隊視為最有效的手段之一。傳統(tǒng)規(guī)則型防護手段無法匹配0day攻擊特征,同時配合上自動化攻擊平臺,可以快速地對安全設(shè)備之后的目標(biāo)進行攻擊。
值得注意的是,今年0day攻擊還出現(xiàn)了新方式,即利用0day謠言對藍方的下一步動作進行探測和利用。紅方通過散布0day謠言或發(fā)布假的0day漏洞補丁,使防守單位下線一些防護設(shè)備,或者給防護設(shè)備打0day漏洞補丁,進而找到系統(tǒng)薄弱點實現(xiàn)木馬植入。
2. 社工釣魚,攻擊數(shù)量翻多倍
社工釣魚在實戰(zhàn)中的應(yīng)用越來越廣泛,今年的攻防演練中社工釣魚數(shù)量成倍增長。由于今年藍隊普遍加強了安全防御能力,因此紅隊從人的角度下手,給相應(yīng)的運維管理員、高層人員發(fā)釣魚郵件進行投毒,以獲得系統(tǒng)管理權(quán)限。
3. 加強供應(yīng)鏈攻擊,側(cè)面突破
供應(yīng)鏈攻擊是一種新興的攻擊方式,以供應(yīng)鏈企業(yè)為跳板,對最終用戶進行攻擊。由于企業(yè)普遍重視自身的防御能力,但并不清楚供應(yīng)鏈上下游的安全水位,因此今年紅隊普遍加強了供應(yīng)鏈攻擊。當(dāng)獲取到供應(yīng)鏈企業(yè)的某些訪問權(quán)限后,紅隊就會進行深入的滲透,例如源代碼分析、0day挖掘、補丁污染等等,進而攻擊最終的用戶。
4. API攻擊加劇,成為攻擊優(yōu)先入口
通過API發(fā)起的業(yè)務(wù)邏輯攻擊越來越多,相比傳統(tǒng)的Web攻擊,這類攻擊多是模擬正常的業(yè)務(wù)調(diào)用,沒有明顯的攻擊特征,識別起來難度很大。一方面,API承載了很多重要的業(yè)務(wù),傳輸著大量敏感數(shù)據(jù);另一方面,很多藍隊單位對自身API資產(chǎn)情況并不掌握,API漏洞、僵尸API的存在為紅隊敞開了大門。這也加劇了API的風(fēng)險。
瑞數(shù)信息應(yīng)對建議:讓企業(yè)安全從合規(guī)走向?qū)崙?zhàn)
攻防演練中藍隊被攻破的過程,其實也暴露了企事業(yè)單位在日常安全建設(shè)和運營中存在的問題。面對不斷升級的攻擊手段,企業(yè)應(yīng)當(dāng)采用什么樣的安全思路和方式來應(yīng)對實戰(zhàn)中的攻擊?瑞數(shù)信息安全專家陸攀通過攻防演練實踐總結(jié),給出了如下應(yīng)對建議。
針對 0day 攻擊
針對0day攻擊,目前并沒有100%的有效防護手段,但可以從一定程度上進行緩解。企業(yè)不能再依靠傳統(tǒng)WAF規(guī)則和特征進行防護,而是應(yīng)從0day漏洞利用過程中的固有屬性出發(fā),通過動態(tài)安全技術(shù),擺脫對規(guī)則特征的依賴,對0day利用工具的行為直接進行阻斷。
瑞數(shù)信息作為動態(tài)安全技術(shù)的首創(chuàng)者,在攻防演練中已實時攔截近百個0day漏洞:
· 在0day爆發(fā)初期,攻擊者會利用漏洞探測工具進行大范圍的攻擊探測,通過瑞數(shù)動態(tài)防護技術(shù)可以有效識別工具發(fā)起的請求,進而可以對這些0day攻擊進行攔截;
· 在0day爆發(fā)中期,攻擊者開始針對重要系統(tǒng)進行人工定向的攻擊,通過瑞數(shù)動態(tài)干擾技術(shù),例如web代碼混淆、JS混淆、前端反調(diào)試、Cookie混淆、中間人檢測等,讓攻擊者無從下手。
· 在0day爆發(fā)后期,補丁已經(jīng)基本升級完畢,漏洞已經(jīng)被修復(fù),這個階段需要重點關(guān)注是否存在已經(jīng)被上傳的webshell,通過瑞數(shù)動態(tài)令牌等技術(shù)可對webshell的訪問進行阻斷。
針對API攻擊
企業(yè)可以從四個方面對API進行安全防護:
1. 資產(chǎn)管理,梳理API接口,對API進行分類分權(quán)管理;
2. 缺陷識別,對API自身的缺陷進行識別,早于攻擊者發(fā)現(xiàn)其中的隱患;
3. 攻擊防護,首先對于存在明顯特征的傳統(tǒng)Web攻擊進行識別,然后通過UEBA、機器學(xué)習(xí)等手段,對于異常API訪問進行識別;
4. 敏感數(shù)據(jù)管控,對通過API接口傳輸?shù)拿舾袛?shù)據(jù)進行檢測,并依據(jù)預(yù)先設(shè)定的策略進行數(shù)據(jù)脫敏、攔截。
5. 攻擊處置,基于多維度監(jiān)控API接口的訪問控制,及時發(fā)現(xiàn)阻斷異常訪問行為。
建設(shè)縱深防御體系
瑞數(shù)信息安全專家陸攀表示,單點防護早已失效,建設(shè)縱深防御體系將是企業(yè)安全必經(jīng)之路,其建設(shè)思路大致可遵如下路徑和原則:
1. 攻擊面收斂,可通過敏感信息排查、攻擊路徑梳理、互聯(lián)網(wǎng)訪問路徑梳理等方式收斂攻擊面,降低被滲透攻擊風(fēng)險。
2. 全方位防護,從邊界防護,到分區(qū)分域,到主機防護,再到全局監(jiān)控、態(tài)勢感知,建立一條從內(nèi)到外、由點到面的全方位防護體系。
3. 聯(lián)防聯(lián)控,與監(jiān)管單位、安全部門、兄弟單位建立聯(lián)動機制,在威脅情報、事件處置、技術(shù)支撐等方面資源共享,最大化的發(fā)揮各部門優(yōu)勢,進行聯(lián)防聯(lián)控。
打造常態(tài)化安全能力
除了體系化的安全建設(shè),陸攀也指出,攻防演練中體現(xiàn)的安全能力需要常態(tài)化,才能真正讓企業(yè)安全從合規(guī)走向?qū)崙?zhàn)。
1. 從“人防”轉(zhuǎn)向“人防+技防”的主動防御策略。為了避免傳統(tǒng)安全依賴規(guī)則和人力的防護方式,瑞數(shù)信息動態(tài)安全技術(shù)能夠通過人技結(jié)合,實現(xiàn)更主動和有效的防護,從而降低企業(yè)安全運維負擔(dān),讓企業(yè)安全運維人員不再疲于奔命、亡羊補牢。
2. 企業(yè)應(yīng)提升安全重視程度,提高安全預(yù)算投入;定期對企業(yè)內(nèi)部進行安全培訓(xùn),提升全員安全意識;基于小團隊進行內(nèi)部紅藍對抗演練,實時完善應(yīng)急響應(yīng)流程等。
3. 建立一支穩(wěn)定高效安全團隊,將安全運營常態(tài)化,避免戰(zhàn)時突擊,閑時放羊。
結(jié)語
“安全”體現(xiàn)的是一個企業(yè)的綜合能力,并不是由堆砌安全設(shè)備組成。在安全常態(tài)化、實戰(zhàn)化的今天,企業(yè)更需要轉(zhuǎn)變防守思路,構(gòu)建真正意義上的主動縱深防御體系。瑞數(shù)信息基于歷次重大活動安全保障任務(wù)的考驗和累積,其領(lǐng)先的動態(tài)安全技術(shù)和重保方案,全面體現(xiàn)了“整體防御、協(xié)同聯(lián)防;主動防護、內(nèi)外兼防;動態(tài)防御、主動免疫;縱深防御、技管并重”的防護特點,獲得了來自各方的認可與肯定。未來,瑞數(shù)信息還將持續(xù)助力企業(yè)基于“人防+技防”做好常態(tài)化安全運營,助力全行業(yè)構(gòu)建實戰(zhàn)化的安全能力。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!
