#供應鍊攻防戰##網絡安全#
網絡安全攻防演練已經成為檢驗網絡安全防禦能力最重要的手段之一,也是當下檢驗對關鍵信息系統基礎設施網絡安全防護工作的重要組成部分。
有效的網絡安全攻防演練實際是一個攻擊方與防守方相互促進、螺旋上升的過程。不管紅隊采取什麼樣的攻擊方式,如病毒感染、漏洞利用、端點側攻擊、流量側攻擊等等,藍隊都能找到相應的防禦方法,殺毒軟件、打補丁、EDR、NIDS等概念層出不窮。整個過程你追我趕,頗有種“鹵水點豆腐,一物降一物”的既視感。
圖1 每種攻擊方法都有與之對應的防禦方式
而在紅隊的攻擊目标中,“主機”是大部分攻擊行動的最終目的,那麼對于主機攻擊來說,什麼才是行之有效的“降服”措施呢?本文以主機安全防護面臨的難題為切入點,詳細分析了攻防演練中藍隊應該如何保證主機安全。
關注并私聊作者,可獲取完整版《紅隊攻擊全流程示意圖》
圖2 紅隊攻擊部分流程示意圖
為什麼說主機是攻防演練的核心?
在攻防演練中,紅藍雙方在既定規則下最大限度地模拟真實網絡攻擊,紅隊通常以實際運行的信息系統為攻擊目标,以此來檢驗目标系統的安全防護能力。這個過程中,主機系統作為攻防中的重要靶标,一旦被奪取權限,就會造成防守方陣地淪陷。
因為主機承載着企業組織的核心資産,隻有做好主機層的安全防禦,才能确保企業核心資産安全,保障業務的正常運行。主機一旦遭受入侵,威脅到的将是整個内網的安全。
結合近年來網絡攻防演練期間暴露的主要失分點排名來看,可以發現内網隐患占比最大、危害最大、扣分最多。其主要原因是在實際工作中,很多企業的主機環境極其複雜,混合着物理環境、虛拟環境及雲環境。而在内網或者雲上,很難找到一個類似“網關的位置”來部署安全監測與防護設備,内網和雲上安全的防護實際上基本等同于對主機的安全防護。
因此,不論是從核心資産的保護,還是内網和雲環境的安全防護來看,主機都是藍隊防守工作的重中之重。
攻防演練中主機安全防護面臨的難題
那麼,對藍隊來說,如何在攻防實戰中确保主機安全呢?在開展主機安全防護工作之前,我們需要全面了解主機安全防護面臨的問題,據此針對性地找到相應的解決方案,才能在攻防演練中對主機做到全方位的防護,避免被扣分。
主機安全防護面臨的難題主要體現在以下幾點:
1、對資産的認知不清晰、不全面。清點資産是進行安全防護的第一步,但很多情況下,藍隊無法對資産進行細粒度的清點,容易造成安全分析盲點;
2、漏洞處理不及時,容易被利用。企業主機數量龐大、系統多,相應地,其漏洞也多,紅隊常常會通過主機資産漏洞作為攻擊點。
3、對入侵告警的檢測和響應能力不足。無法從大量入侵告警中快速篩選出有價值的告警信息,也無法快速對成功的入侵做出響應。
4、體系無法應對新型攻擊威脅。基于特征值的傳統檢測方法無法檢測出新型攻擊,如無文件内存馬攻擊、進程RCE命令執行、0day攻擊等。
5、内網缺少有效的防護手段。很多企業缺乏主機間的隔離措施,攻擊者隻要進入内網,就能自由橫向滲透到任意主機,獲取核心信息。
面對這些問題,防守方需要具備資産清點、風險發現、入侵檢測、微隔離等多個方面的能力,以實現對異常流量和告警信息的實時監控,并及時對失陷主機或被攻擊成功的系統進行響應處置。争取從監測發現、分析研判、應急處置、追蹤溯源4方面盡量得分。
防守神器:給主機提供全方位安全防護
要想在保證主機安全的同時還保證業務的穩定并不容易,很多企業甚至擔心防護手段本身會成為被攻擊者利用的漏洞。此外,主機面臨的威脅,除了已知的,還有相當一部分是未知的,這部分未知的威脅很難通過傳統方法檢測出來。
為了幫助企業通過“已知”推演“未知”,将他們從面對新型威脅束手無策的境地中解放出來,青藤以Gartner自适應保護模型為理論支撐,成功研發了國内第一家落地自适應安全架構的主機安全産品——青藤萬相·主機自适應安全平台。這款産品不僅滿足了用戶安全防守的需求,有效解決了主機安全的多個核心問題,還奠定了青藤主機安全細分賽道的開創者和領跑者的江湖地位。
青藤萬相構建了覆蓋預測(P)、防禦(P)、檢測(D)、響應(R)四個階段的PDCA安全防禦閉環,将“應急響應式”的被動防禦轉變為覆蓋“事前 事中 事後”全鍊路的主動防禦,并基于600多萬Agent為客戶提供資産清點、風險發現、入侵檢測、合規基線、病毒查殺、微隔離等多種安全服務。能夠幫助用戶實現有效預測安全風險,精準感知安全威脅,快速阻斷威脅入侵。
圖3 自适應安全架構具備的能力體系
在主機安全防護方面,青藤萬相具有以下優勢:
1、輕Agent部署。不裝驅動、不動内核,穩定性高達99.9999%,正常的系統負載情況下,CPU占用率<1%,内存占用<40M,在系統負載過高時,Agent會主動降級運行,不影響正常業務。2、更全面的資産清點。從主機層、系統層、應用層、Web層幾個不同角度清點硬件配置、進程、端口、賬号、中間件、數據庫、Web 應用、Web 框架、Web 站點等,提供 10 餘類主機關鍵資産清點,800 餘類業務應⽤⾃動識别,讓保護對象清晰可⻅。3、高效的漏洞掃描。通過Agent收集主機信息,對主機的情況了如指掌,與自有的50000 漏洞庫比對,可以快速找出漏洞,不論主機數量多少,都可以在5分鐘内完成掃描。4、減少誤報告警量。青藤萬相隻對成功的入侵行為發出告警,既把安全人員從大量無意義的告警中解脫出來,還能保證他們所接到的每條告警都是有價值的。5、定制化合規基線。根據服務器的操作系統、軟件應用等信息,自動篩選出該服務器上需要檢查的基線,并支持一鍵批量創建基線任務。擁有1500 的基線配置檢查系統Checklist知識庫,還可根據不同行業相關基線規範,對知識庫實現定制管理,匹配各行業安全配置需求。6、東西向流量管控。青藤萬相的微隔離功能模塊以拓撲圖清晰直觀地展示主機間的業務流量,讓用戶集中統一配置網絡策略,阻斷異常的橫向訪問行為,能夠讓東西向流量安全防護真正落地。7、注重安全左移。關注安全事件的事前和事中及時發現,将風險消滅在萌芽過程中,同時針對事後具備全方位的事件采集功能,方便進行溯源處置追責。如果你對這個領域有任何疑問或有主機安全防護需求,關注并私聊作者,申請萬相免費試用~
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!