《实践是检验真理的唯一标准》。对于网络安全,实战攻防演练恰恰提供了这样的机会。2021年3月19日,睿数信息将在线直播《从人防到技防,攻防演练实战应对指南》,探讨攻防演练中最受关注的九大问题,提供攻防攻防实战背景下的策略。攻防演练最受关注的九大问题1、进攻过程包括哪些阶段?防御在每个阶段如何应对?第一阶段-初步信息侦察:自动化攻击,信息收集为攻击者的主要关注点:1)资产检测,全面了解防御者资产,明确攻击面;2)漏洞检测与利用,对发现的资产进行相关漏洞检测,利用检测过程中发现的漏洞;3)密码破解,对有登录入口的系统进行密码破解;4)敏感文件发现,发现系统中存在的管理地址、备份文件、配置文件等。防御重点:1)拦截所有由工具发起的攻击,包括但不限于漏洞扫描、路径遍历、密码破解等;2)分析日志,对攻击者使用的设备指纹和IP进行关联分析;3)监控账号登录状态,及时处理异常登录。第二阶段——中期定点攻击:人工攻击、多源低频、重点突破是主要攻击者的重点:1)对关键系统进行深度人工分析,尝试挖掘漏洞;2)突破现有的安全措施;3)获取外围跳板。防御要点:1)干扰人工分析,防止攻击者从目标系统获取有价值的信息;2)抵抗0-day攻击;3)分析全访问数据,发现深层次攻击;4)采用可编程的反制措施进行细粒度的保护。第三阶段——后期纵深:横向移动,核心渗透攻击方侧重于:1)提升权限,提升获得的低级权限;2)利用跳板横向移动;3)渗透目标系统。防御要点:1)账户集中管控,减少攻击面;2)重点监控堡垒机、主机等系统,发现异常访问或操作;3)识别主机的异常操作。攻防演练中常见的攻击方式有哪些?这些攻击的特点是什么?0day漏洞攻击:0day攻击已经成为攻防演练中的常态。利用操作系统、中间件、应用程序、安全设备等软硬件的0day漏洞,可以穿透基于规则的防护技术,直接获取系统权限。社工钓鱼:利用钓鱼邮件、假WIFI、物理接触等多种社工手段,对防御者进行社工攻击。多源低频攻击:利用多源低频攻击方式绕过限频、封IP等保护措施。人员及管理漏洞检测:主要表现为攻击弱口令、文件存储不安全、流程不完善等,获取敏感信息。武器化攻击:为了提高攻击效率,快速搞垮系统,攻击者会积累各种攻击工具,形成武器库,从而快速发起攻击。企业防护重心如何从“人防”转向“技防”?面对攻击,部分企业的防护重点仍是现场值班人员,但“人防”人工成本高、负荷重,难以常态化和坚持。一跃而上,人防渐渐显得力不从心。因此,由“人防”向“技防”转变,是攻防过程中的必然变化。我们通过更多的技术创新,强调“技防”和“人防”相结合,无论是在攻防演练中,还是在平时的演练中,实现防御不再被动,反应不再滞后。安全防护流程,提供业务和安全的双重保障。如何应对隐蔽高效的自动化工具攻击?分层分层,按需对抗:简单漏扫和工具:利用JS能力检测判断工具,利用token机制防止工具简单绕过,利用代码混淆技术提高工具发现漏洞的门槛。具备JS解析能力的工具:环境检测人机识别、行为识别、伪造检测。浏览器插件和被动扫描器:通过重放检测、动态挑战技术、敏感信息隐藏等技术,攻击者无法获取有价值的信息。它还可以通过指纹关联检测多源低频攻击。(实战案例指导视频14:33)如何防御人为定点攻击?以往的安全防护往往是基于规则和特征,并没有区分攻击源是工具还是人。但随着各种隐蔽手段的出现和对抗的升级,这种方式显得效率相对较低。因为我们建议换一种思路来防范人为的定点攻击,对攻击请求做一些动态的干扰来降低攻击者整体的攻击效率。(实战案例指导视频23:05)如何拦截动态加密版Webshel??l?随着Godzilla、IceScorpion等一批采用动态加密技术的webshel??ls的发布,webshel??ls的识别又上了一个新的台阶。面对采用动态加密、隐藏攻击特性的Webshel??l,传统WAF产品不能仅靠编写规则来实现检测和防御。但睿数动态防护技术是非签名匹配方式,不存在因为没有特征而被绕过的情况。.动态加密的Webshel??l的连接和通信过程与正常的浏览器访问有着根本的区别。通过动态token、动态验证等手段,可以有效识别和阻断此类Webshel??l的访问过程。(实战指导视频30:06)相关链接:技术|防护新型“一句话木马”BypassWAF他比他强,清风吹过山头|冰蝎3.0动态对抗哥斯拉|动态竞争,谁更厉害?动态防护系统在攻防演练中有何价值?从人防到技防,将人员从安全对抗和值班防护中解放出来。自动化攻击防护:攻击者攻击任务重,工具请求占比90%以上。拦截自动化攻击可以有效降低攻击者的效率。0day防护:2020年披露0day漏洞100余个,动态防护技术可直接防护web类0day漏洞,无需更新规则即可阻断相关0day攻击。多源低频攻击防护:攻击者大量使用多源低频攻击。通过工具识别和设备指纹关联追踪,实时截获睿数信息。多维度分层分层对抗:通过动态验证,采集到的数百个指标可以任意组合,全方位自动拦截攻击者,无需IP封锁,运维简单,主动防御。除了攻击防护,企业在实战中还应该注意哪些细节?资产梳理可视化:全面梳理企业资产暴露情况及资产情况,了解资产暴露情况及资产关联情况。系统及时打补丁:系统需要及时打补丁,及时体检,防止攻击者利用Nday漏洞攻击系统,避免已知漏洞攻击。谨防社工攻击:对全员进行内部培训,教育员工不要轻易打开邮件附件、点击不明链接、输入密码等。应该进行控制以防止攻击者轻易访问它。企业如何持续提升网络空间攻防能力?构建防护、检测、响应、恢复的综合体系框架建立常态化的安全运维机制跟踪演练攻击技术创新防护技术,用专业服务践行人员培训积累和运用威胁情报2016年以来,睿数信息深入参与了上百家单位的攻防演练和防御工作,行业涉及政府、企业、金融、运营商等各个领域。2020年整体保障990+应用系统,实现300亿+次防护,拦截60亿+次攻击。尤其是面对频发的0day攻击,睿数信息凭借动态安全技术实现高效防护,成为攻防对抗中的“绝密”。未来,睿数信息也将在攻防演练领域不断深入探索,充分融合动态防御、AI智能等技术手段,让防御不再被动,响应不再滞后,帮助企业提升攻防能力,降低网络安全风险。
