内容简介:在攻防对抗中,技术层面的剧本就是:你有POC/EXP,我有升级补丁;你有病毒木马,我有病毒库更新;你发动DDOS,我做清洗;你渗透应用,我有各种墙和Agent;等等。总体来说,对于每一类威胁,守方都能找到相对有效的解决方案。到了战术层面,双方均开始制造信息不对称。攻方主要利用技术优势,开发新“武器”,比如0day漏洞或高级木马,直接突破防御。守方主要利用地利优势,层层设防,等待“猎物”踩中“陷阱”。本文主要讨论战术层面的对抗,重点关注守方的战术思考。
在攻防对抗中,技术层面的剧本就是:你有POC/EXP,我有升级补丁;你有病毒木马,我有病毒库更新;你发动DDOS,我做清洗;你渗透应用,我有各种墙和Agent;等等。总体来说,对于每一类威胁,守方都能找到相对有效的解决方案。
到了战术层面,双方均开始制造信息不对称。攻方主要利用技术优势,开发新“武器”,比如0day漏洞或高级木马,直接突破防御。守方主要利用地利优势,层层设防,等待“猎物”踩中“陷阱”。
本文主要讨论战术层面的对抗,重点关注守方的战术思考。
一、边界的战术定位
所有人都知道边界的重要性。边界也因此承担了过多的职责。人们希望能够在边界解决全部问题,进而创造一个绝对安全的内部网络环境。然而从战术上来说,守方在边界其实并不占优势。
一般网络访问行为都可以用5W1H(WHEN-时间、WHERE-地址、WHO-主体、WHAT-客体、HOW-动作、WHY-凭据)进行抽象。网络攻击是访问行为的一种。在边界环境下,业务是对公众开放的,守方无法对访问主体进行限制,也就是说守方必然面临来自各方的攻击。守方能够控制的,只有客体(WHAT)和动作(HOW)。
对动作的控制就是普遍意义上的入侵检测和防护,也是守方重点投入资源的部分。一般来说,会对网络、应用和主机的各个技术层面部署相应的防护手段,形成纵深防御;再配合覆盖防护、监测、响应、优化等阶段的闭环运营,有效处置各类安全事件。
对客体的控制其实是对暴露面的控制,也就是攻击面收敛。与入侵检测不同,攻击面收敛往往不受重视。这可能是致命的,因为守方常常并不清楚对自身对外暴露了多少站点,甚至不知道有些运维端口也暴露在公网上。一般来说,守方会基于最小化原则,将攻击面收敛到有限的应用和API。一方面,将高风险服务隐藏起来;另一方面,最小化对外服务有利于集中力量进行防护和监测。
之所以说守方在边界不占优势,有如下几个原因:一是守方对客体和动作的控制只是相对的,不是绝对的。从客体方面来说,攻击面再怎么收敛,业务也是要对外服务的;留下的入口再小,也不是绝对隔离的。从动作方面来说,如前文所述,守方处于技术劣势,对0 day漏洞和高级木马无能为力。二是守方无法对主体进行限制,体现在攻方有足够多的地址(分布式攻击)可以使用,以及足够长的时间进行踩点。量变会带来质变,分布式攻击给安全分析带来巨大困难,传统IP地址黑名单策略几乎失效;长期踩点过程中,守方只要对暴露面稍有疏忽,就能被攻方找到突破口。
可以看出,在边界环境下,守方并没有“掐死”攻方的把握。因此,我们对边界安全要设置有限且合理的目标,也就是只暴露必要的应用和API,一般严禁暴露运维和管理服务;能够有效抵御已知攻击手段;保持更新。其他的问题留给下一阶段解决,在边界进行过多的投入会导致ROI将低。
二、守方的绝对优势
如果有些运维和管理服务必须要暴露,比如SSH或数据库连接,那么就需要绑定IP并进行多重认证。这样情况下,访问行为基本可控。也就是说,如果条件允许,白名单策略还是有效的。
突破了边界,也就完全进入了守方的网络范围。可以看出,主体、客体、地址甚至时间,都是守方可以控制的因素。比如,中间件对数据库的访问,账户对文件和进程的操作,业务的高峰和低谷等等,都有标准业务模式。谁的行为在标准业务模式之外,就很值得关注了。在这一阶段,守方在攻击手段方面仍然是劣势,但是地利优势使得守方可以将主体和客体完全“掐死”。在攻击中,攻击动作基于网络和系统结构,客体基于资产信息。因此,底层安全隔离和访问权限控制是生命线。攻击者武器威力再强大,也不能突破系统和网络协议限制;攻击路径设计再巧妙,也要踩点收集信息。“大潮退去,才知道谁在裸泳”。前期边界纵深防御已经过滤大部分常规攻击,这一阶段只要梳理清楚业务流和数据流,结合蜜罐设置一些陷阱,异常行为就很清晰了。
但是如果“基本功”不到位,这一阶段是很难有效果的。比如基础防御缺失,大量攻击渗透到内网、病毒传播不能控制,将会给分析带来很多干扰,即使识别出高级攻击也没有手段控制;或者资产管理不细致,不能区分哪些是计划内的业务,则相当于白白丢掉了自身优势。
事实上,动作、主体、客体这三个核心因素,只要完全控制一个就足以实现防护;如果控制两个则提供了容错能力,能够在单点安全措施失效的情况下保障整个安全体系的有效性。守方在战术意识方面最容易犯的错误在于:一是被攻方“带节奏”,过于关注攻击手段,在攻击检测和防护方面疯狂投入,而忽略了自身天然优势,没有扎实做好资产管理、安全隔离和基础设施;进而局限于单次攻防,而忽略整体战役。二是完全不能接受损失,一定要在边界解决问题,“御敌于国门之外”;然而,这并不是守方熟悉的战场,明知道敌方不会游泳,还在岸上跟他们拼刺刀;事实上,在安全态势不明朗的情况下,最重要是保障核心业务和数据的安全,其他都有周旋和补救的空间。
三、绝望的墨菲定律
“Anything that can go wrong will go wrong.”这一规律在实际攻防环境中尤其明显,因为实际环境中并不是单点攻防,而是长时间、多来源、多目标情况下的复杂环境。长时间会导致本来低风险的脆弱性升级为高风险,多来源使得溯源和防御变得困难,多目标使得攻击成功的概率大大提升。
一是单因素认证必然被攻破。在RSA1024算法都被认为不安全的时代,一般人们使用的密码就更不安全了。无论多么严格的密码策略都难有好的效果:一是密码强度方面,字符类型再多、密码再长,也比不上1024位非对称密钥的强度。二是更改密码周期再短、限制重复使用的密码再多,也比不上暴力破解和撞库攻击的速度。三是密码锁定策略存在副作用,账户锁定后系统和数据是安全了,业务也不可用了,如果业务没有高可用的冗余设计,那么很容易造成拒绝服务;另外,在分布式攻击下,密码锁定策略是无效的。因此,我们可以将基于账户口令的单因素认证视为脆弱性。然而,账户口令往往给人以错觉,好像已经有了安全措施。这种似是而非的概念就像纸糊的墙,误导人们忽视其一捅就破的风险。
二是用户必然遭受社会工程学攻击。举例来说,我们经常接到诈骗电话,却发现骗子的套路往往很简单;但是骗子还是会用这种套路,因为简单的套路成本低,便于大面积使用;尽管上钩的概率极低,但是当接到电话的人足够多时,还是会有个别上当的。社会工程学攻击也是一样,当用户足够多时,我们在用户安全教育中提示的风险场景都会出现,比如点击风险链接、下载未知附件、插入陌生移动介质以及使用公共wifi移动办公等等。因此,从安全隔离的角度来说,我们应将用户视同为公网上的一般访问者,将用户所在办公网络视为边界以外,与业务和生产网络至少在逻辑上应是不同的数据中心。
本文之所以跳出技术谈战术,一方面是基于客观的攻防形式,另一方面也是考虑到紧缺的安全资源。安全投入不足,缺乏人员、技术和资金,是企业安全的常态化问题。网络安全攻防对抗是相对复杂的系统性问题,守方的牌永远不够打。通过对战术的研究和思考,可以将牌在正确的时机打到正确的地方,有助于将有限资源发挥最大化作用。
作者简介:董祎铖 资深网络安全工程师,就职于中国人民银行金融信息中心信息安全部,CISP,银行科技发展奖获得者。负责开展互联网安全防护体系建设和安全运营工作,专注于渗透测试、WEB安全、PKI/CA领域。
声明:本文来自仙人掌情报站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
The Intersectional Internet
Safiya Umoja Noble、Brendesha M. Tynes / Peter Lang Publishing / 2016
From race, sex, class, and culture, the multidisciplinary field of Internet studies needs theoretical and methodological approaches that allow us to question the organization of social relations that ......一起来看看 《The Intersectional Internet》 这本书的介绍吧!