未知攻 焉知防:从攻击视角看“重保”场景的防守之道

2022-07-12 17:56:12 浏览数 (3)

重大活动保障期间,企业不仅要面对愈发灵活隐蔽的新型攻击挑战,还要在人员、精力有限的情况下应对不分昼夜的高强度安全运维任务。如何避免“疲于应付”,在多重工作中“抽丝剥茧”?

本文从蓝军视角,拆解攻击方的攻击路径,帮助企业理清重保场景下的应对策略,通过构建云原生安全“3 1防护体系”,提升响应效率,确保“0安全事件0损失”。

知己知彼,方能百战不殆。只有充分了解攻击方的思路,从全局视角事先构建完备的安全防护体系,才能系统性防护云上资产。

红蓝对抗的五个阶段

Step1 信息收集:东搜西罗,打探军情

信息收集是攻击第一步,也是最关键的一个阶段。信息的收集深度直接决定了渗透过程的复杂程度。在展开攻击前,蓝军往往会先对企业资产暴露面进行分析,对目标企业进行资产信息收集。

1、从公开信息入手,利用FOFA、SHODAN、搜索引擎等,搜集域名、IP等资产信息;利用天眼查、企查查等获取企业相关信息;

2、通过主机扫描、端口扫描、系统类型扫描等途径,发现攻击目标的开放端口、服务和主机,并对目标服务器指纹和敏感路径进行探测识别,完成攻击面测绘及企业防护薄弱点的梳理;

3、除了技术手段,攻击者还会利用社会工程学或企业泄露在外的敏感信息,借助钓鱼攻击等方式获取账号密码等关键信息,提升攻击成功率。

应对要诀:摸清家底,部署防线

资产管理是安全防护的第一要务。建议企业先通过云安全中心明晰防护对象现状,对IP、端口、Web服务等暴露在外的资产进行全盘测绘。同时,构建云上三道防线,实时感知安全风险,做好资产加固。

第一道防线

使用云防火墙覆盖云上所有流量边界,守护所有互联网业务安全

第二道防线

部署WAF防护Web业务,守护Web服务、API资产安全

第三道防线

借助主机/容器安全的终端安全能力,对云工作负载进行进程级防护

Step2 漏洞分析:顺藤摸瓜,伺机行事

漏洞是蓝军撕开防线的重要武器,蓝军攻击路径的确认依赖于对漏洞的探测分析结果。

1、根据信息收集阶段梳理的企业资产信息(包括Web指纹、高危服务等),利用漏洞扫描器、指纹对应的已知漏洞或自行代码审计挖掘的0day漏洞来进行外网打点;

2、寻找到可被利用的攻击突破口后,确认外部攻击入侵路径并进行攻击验证。

应对要诀:非必要不暴露,先缓解再修复

完成资产清点后如何对蓝军的攻击路径进行封堵?首先,企业需进一步收敛资产暴露面,做到非必要不暴露,必须对外的业务务必重点加固。针对漏洞风险,集成三道防线和云安全中心统筹能力对漏洞等互联网暴露面做有效收敛。

第一道防线

配置云防火墙访问控制策略封禁不必要暴露端口,开启虚拟补丁检测、拦截漏洞利用攻击

第二道防线

对公众提供服务的Web应用,可通过WAF限制IP访问地域、配置BOT策略防止爬虫收集Web资产指纹,并开启虚拟补丁检测并自动拦截Web漏洞利用攻击

第三道防线

检测并收敛主机/容器弱口令、未授权访问等配置风险;通过主机/容器安全漏洞管理能力快速排查漏洞影响面,借助自动修复能力,批量实现风险资产安全加固,并开启进程级漏洞防御,主动拦截漏洞利用攻击

Step3 渗透攻击:顺手牵羊,乘虚而入

当分析得到有效漏洞入侵攻击路径之后,蓝军将针对目标服务器的脆弱性发起渗透攻击。

1、利用反序列化漏洞、命令执行漏洞、代码执行漏洞、任意文件上传漏洞、文件包含漏洞、表达式注入漏洞、JNDI注入漏洞、SSTI、SSI、XXE、SQL注入、未授权访问漏洞等类型的已知高危漏洞或挖掘的0day漏洞来getshell或获取敏感数据库权限;

2、获取外网入口点,为进一步进行横向渗透打下据点。

应对要诀:知己知彼,对症下药

针对不同类型的攻击,可通过云安全中心联动三道防线部署全面的安全管控策略。针对已知来源、手法攻击进行实时检测、拦截;针对未知威胁,利用云防火墙网络蜜罐能力,将仿真服务通过探针暴露在公网对未知攻击者进行诱捕并反制。

第一道防线

开启内置的腾讯安全威胁情报检测,自动识别恶意IP/域名访问,并通过开启严格模式自动拦截/拉黑网络攻击IP

第二道防线

第三道防线

借助主机/容器安全对暴力破解、高危命令执行、核心文件监控能力进行实时检测

Step4 横向渗透:声东击西,持续渗透

蓝军成功通过外网打点突破边界之后,会基于getshell的入口点继续进行横向渗透,逐步扩大攻击成果。

1、为了深入了解内网情况,攻击者会先对本机系统信息、网络架构信息、域信息等进行收集,梳理目标内网资产信息(包括内网网段、开启的主机、服务等);

2、针对内网存在漏洞的资产进行渗透攻击并搭建内网隧道,增加渗透入侵攻击路径。

应对要诀:精准隔离,部署陷阱

针对内网渗透攻击,需进行细粒度网络隔离。同时主动出击,对蓝军行为进行持续监控,在内网增设网络蜜罐陷阱,有效溯源反制攻击者,拖延攻击时间,为正常业务争取宝贵的安全加固时间。

第一道防线

借助云防火墙的VPC间防火墙、企业安全组能力,实现对东西向流量的“非白即黑”严格管控;通过云防火墙部署网络蜜罐在内网加设陷阱,主动诱捕攻击者

第三道防线

通过主机/容器安全对黑客工具使用和容器逃逸行为进行实时检测和告警

Step5 后渗透:瞒天过海,长期潜伏

在后渗透阶段,蓝军会尽可能保持对系统的控制权,并进行痕迹清理防止渗透入侵行为被溯源。

1、根据是否为高权限用户来决定是否进行权限提升;拿到高权限之后,为了持久化渗透目标内网,蓝军会利用各种持久化后门技术来进行长久的权限维持,包括Rootkit、内存马、crontab后门、写ssh公钥、LD_PRELOAD劫持函数、新增隐藏用户、替换bash后门、环境变量植入后门、启动项后门等等利用方式;

2、在整个渗透测试目标达成之后,蓝军会对渗透的目标主机进行痕迹清除,包括history清理、应用日志清理、系统日志清理、权限维持后门清理、新增用户清理等。

应对要诀:做好日志管理,有效取证溯源

借助云安全中心联动分析报告、攻击日志统一管理能力,结合威胁情报提供攻击者行为画像(包括战术、手法、环境、样本等),有效实现攻击溯源和反制。

第一道防线

开启云防火墙NAT边界防火墙的主动外联管控能力,并留存云防火墙、WAF访问&告警日志,用于后续必要的取证溯源

第二道防线

第三道防线

借助主机/容器安全反弹Shell、本地提权、内存马等事件检测能力,对蓝军的入侵事件进行发现与审计

腾讯云原生安全“3 1”防护体系

为帮助企业建立全面、高效的防护体系,腾讯安全推出“3 1”一站式重保解决方案。

腾讯安全“3 1”解决方案腾讯安全“3 1”解决方案

三道防线

1、第一道防线——云防火墙:作为最外层城墙,覆盖用户云上业务的所有流量边界,提供访问控制、入侵防御、身份认证等安全能力,并集成漏洞扫描与网络蜜罐。在重保场景下,可自动梳理云上资产、发现并收敛暴露面。借助网络蜜罐诱捕与溯源反制、以及基于身份认证的访问控制能力应对未知攻击,让攻击者无处藏匿;

2、第二道防线——Web应用防火墙:在客户端和客户业务源站之间筑起一道七层应用防火墙;可提供细粒度的处置策略,保障重保及常态情境下业务与数据安全,为企业Web应用提供0day漏洞应急响应、反爬虫、防薅羊毛等全场景防护;

3、第三道防线——主机/容器安全:作为云原生安全体系中最后一道屏障,主机安全为企业提供纵深防御能力,对不同攻击时期的入侵事件实时告警和主动防御,有效阻断入侵行为。为企业提供漏洞自动修复能力,帮助企业快速完成资产安全加固,从源头解决安全威胁。

一站式安全门户——云安全中心

三道防线该如何做好协同,在重保场景下提升运营效率?腾讯安全通过插件化串联起各安全产品能力,为企业打造云上一站式全科医院,为客户提供更加简单易用的一体化运营体验。

结合空中预警机制威胁情报,了解出入站IP/域名/样本是否存在恶意行为,通过已发现恶意IOC关联分析和深度挖掘,及时发现攻击团伙实现安全左移;快人一步识别安全威胁,定位风险资产,以全局视角助力企业输出系统安全解决方案。

重保季已来,欢迎扫码交流,体验产品。

0 人点赞