攻防实战演练是考核政企组织安全防护和应急处置能力的有效手段之一。每年举办的国家级实战攻防演练,云集了众多国内顶尖攻击战队。攻击手段和强度远超日常安检,防御者面临非常严峻的考验。今年的网络攻防专项演练即将到来,相信很多企业和机构都已经开始准备了。那么,如何有效应对网络安全实战攻防演练呢?与往届相比,今年的网络攻防演练将出现哪些新特点?一、从合规到实战,攻防演练呈现五大趋势由于当前网络空间形势复杂,如何在攻防对抗环境下具备实战能力成为网络安全建设的重要目标适用于各行业及政企组织。睿数信息首席安全顾问周浩表示,从2016年到2020年的攻防演练实践来看,无论是演练规模还是攻击技术,都在不断升级演进。例如:2016年,攻击手段以传统应用系统攻击为主,攻击手段较为单一;但2020年,攻击范围进一步扩大,自动化攻击和武器化攻击越来越多,演练中会使用大量0day,而且攻击范围也扩展到安全设备本身,也运用了各种先进的实战攻击手段。结合去年攻防演练的实战情况,锐数信息预测,新一轮攻防演练将呈现五大攻击趋势:攻击方式一:自动化攻击、武器化攻击越来越多明显的。该团队将整合开源工具、泄漏工具、自定义工具等,构建自己的武器库。通过武器库,可以快速高效地检测和利用各种0day和Nday漏洞,并在攻击过程中突破特征识别、IP封锁等防护措施。除了漏洞检测和利用工具,红队还将使用动态加密的webshel??l来穿透WAF保护、维护权限和搭建跳板。例如哥斯拉、冰蝎等webshel??l采用动态加密方式,通信过程没有稳定可识别的特征,碾压市面上所有基于特征匹配的传统WAF。对于蓝队的规则保护,其实就是降维打击。攻击方式二:人员和管理漏洞检测红队除了攻击应用程序漏洞外,还会检测蓝队的人员和管理漏洞,例如:弱口令、网络备份文件丢失等,尤其是VPN、邮箱、管理平台等系统成为重点攻击目标。攻击方式三:多源低频攻击攻防演练中,IP封锁是最重要的防护手段之一。实战时,红队会通过分布在全国的IP代理发起攻击。这些IP地址可能来自机房、家庭宽带、手机基站等。贸然封杀这些IP可能会导致服务不可用,甚至达到防火墙IP黑名单数量上限。攻击方式四:社工钓鱼社工钓鱼在实战中的应用越来越广泛。红队会从人的角度出发,向相应的员工和外包商发送钓鱼邮件,设置WIFI热点进行钓鱼,甚至雇佣人员混入蓝队,插入U盘,诱捕木马等攻击方式5:0day攻击已成常态在攻防演练中,0day攻击已成常态。由于0-day漏洞可以穿透现有的基于规则的保护技术,被认为是红队最有效的手段之一。在2020年的攻防演练中,出现了数百个0day漏洞,其中大部分与暴露在互联网上的Web应用相关,直接威胁到核心系统的安全。总体来看,在实战化、超前化、常态化的趋势下,攻防演练强度将空前加大。鉴于今年中国共产党成立100周年等诸多重大事件,境外黑恶势力的袭击将更加激烈,各类再保险活动时间将不断拉长。2、从人防到技防,睿数信息构建实战能力的“三板斧”攻易守难。安保人员在攻防演练中经常要承受巨大的压力。因为蓝队处于被动状态,当发现攻击事件并追查攻击来源时,整体已经处于滞后状态。因此在攻防演练中,蓝队需要在防守上投入大量精力,甚至7*24小时的人工执勤都处于不正常状态。在安全运行中。那么,是不是可以通过一些技术手段来降低蓝队安保人员的工作量,达到很好的防护效果呢?锐数信息首席安全顾问周浩认为,要实现从“人防”到“技防”,可以从攻击的三个阶段入手:第一阶段:自动化攻击,前期信息收集攻击,红队的重点是专注于自动化攻击和信息收集,例如:资产检测,已知漏洞检测;使用工具发起批量攻击;弱口令嗅探、路径遍历、批量POC等第二阶段:人工攻击,多源低频,重点突破信息收集,红队将转向关键系统攻击,通过人工分析漏洞,有针对性地发起攻击打击,同时突破现有的安全措施。第三阶段:横向移动和核心渗透红队获得一定权限后,会增加权限,为代理人横向移动和渗透核心系统目标搭建跳板。当目标被拿下时,就意味着红队的胜利。针对以上三个阶段,周昊建议蓝队可以借助睿书信息的“三板斧”模式,使用三种不同的防护手段进行相应的格挡。阔斧一:拦路工具。通过拦截工具的检测和利用,降低红方攻击效率。为了弥补特征识别的不足,工具的防护可以根据攻击工具的特点,采取“分级分层、按需对抗”的策略。针对不同级别的工具,采取相应的识别和拦截方式:实现效果:在一般的泄漏防护方面,睿数信息可以提供隐藏漏洞的功能,隐藏所有高危、中危漏洞和web目录结构,以及让红方扫描得不到任何有价值的信息。在0day防护方面,通过睿数信息独有的动态验证、封装、混淆、令牌四大动态安全技术,可以实现无规则防护。从0day漏洞利用工具请求的固有属性出发,只要识别工具行为,就可以直接阻断0day攻击,从而实现对业务的动态防护。在外挂扫描和被动漏扫防护方面,基于睿数信息独有的“动态安全”技术,通过敏感信息隐藏、扫描器重放检测、动态挑战等方式进行防护,摆脱传统IP封禁后期繁琐,以至于红方无法获取有价值的信息。在密码破解方面,通过精准的人机识别技术,不依赖频率阈值,拦截密码破解攻击,达到先破解后拦截的效果。同时,睿数信息还可以通过指纹溯源的形式,对整个攻击群体进行攻击画像,准确定位攻击者身份,直接封锁攻击者设备指纹。第二把斧头:令人不安的人工智能。对人工渗透行为进行混淆和干扰,增加红方分析难度。随着对抗的升级,传统安全设备基于规则和特征的防护效率会越来越低。对于人为攻击,宜转变思路,从干扰攻击行为的角度进行防御。睿数信息作为动态安全技术的代表厂商,拥有多种动态干扰功能:网页代码??混淆、JS混淆、前端反调试、cookie混淆、中间人检测等,可以有效地防止任何特征或规则。例如:睿数信息可以将URL动态更改为乱码并隐藏链接地址,使攻击者无法通过代码分析定位攻击入口;通过高强度动态混淆机制,保证前端JS代码不泄露;可以干扰攻击者的调试分析,防止通过浏览器开发者工具对网站进行调试分析,获取业务流程和接口;可以将cookie内容动态更改为乱码,防止攻击者拦截cookie、伪造交易消息、中间人攻击等。大斧三:断跳板。屏蔽红方webshel??l等跳板工具。Webshel??l可以说是内网渗透的利器。只要开启web服务,就可以用来搭建代理进行内网穿透。目前Webshel??ls主要分为两类:一类是传统型,具有明显的传播特征;另一种是动态加密类型,可以隐藏攻击特征,防御难度大。对于动态加密的webshel??l,如:哥斯拉、冰蝎等,锐数信息的“动态安全”技术也可以通过token等方式判断非法访问,直接拦截,无需依赖识别攻击特征。总的来说,睿数信息彻底改变了传统保护的思路。通过独特的动态安全技术和多维度的“分层分层”反制,自动化工具和攻击者无法轻易找到攻击入口,大大增加了攻击难度和成本。同时,通过终端环境和设备指纹的多维画像,有效识别各类恶意自动化工具,实时追踪通过大量跳板隐藏攻击源头的恶意终端。对于蓝队来说,基于锐数信息的动态防护体系,可以有效实现从“人防”到“技防”的转变。无论是攻防演练还是日常运维,都可以让安保人员从安全对抗中解放出来执勤。3、变被动为主动,睿数信息推出“重磅安保神器”。在当今严峻的网络安全形势下,动态防护、主动防御成为安全建设的趋势。面对多种多样的攻击方式和未知的安全威胁,睿数信息推出了多款安全产品,涵盖Web、移动App、H5、API和物联网应用。从应用保护到业务层面,建立动态防御,持续对抗防御体系。针对攻防演练、重大事件保障等特殊场景,睿数信息还推出了“重大事件动态安全保障”、“网站盾牌”等解决方案,帮助政企防御者更高效、更灵活地应对复杂攻击。目前,睿数动态安全防护系统已应用于政府、金融、能源、运营商等多个行业,被众多行业客户的维权者奉为“重磅防护神器”。2016年至2020年,睿数信息参与了上百个单位的攻防演练和防御工作。无法启动0day检测,得到了客户的高度认可。据《2020网络安全行业研究白皮书》了解,某政务服务网站虽然部署了传统的安全防御产品,但系统仍然频繁受到攻击,网页无法打开,投诉量不断增加。睿数动态安全产品紧急上线后,60小时内,识别并阻断近4500万次异常访问请求,异常请求占网站发起请求总数的78%。深入分析后发现,大多数爬虫攻击工具采用多源、低频的方式,通过更换大量IP来规避传统安全检测机制,导致溯源难度加大,传统方式无效。而睿数信息采用“动态安全”技术进行人机识别和批量反爬虫,具有得天独厚的优势。可见,基于锐数信息的动态安全技术和“重防护神器”解决方案,能够有效帮助防御者在攻防演练中开展实战工作,提升用户网络安全防御能力,真正实现由人防向技防转变,由被动向主动转变。
