2014年新的漏洞不斷的披露,心臟滴血漏洞、破殼漏洞、SSLv3協(xié)議的漏洞,在這些新的漏洞面前,我們投資重金打造的傳統(tǒng)防御體系無(wú)法應(yīng)對(duì),每個(gè)漏洞的暴露都對(duì)應(yīng)著安全及運(yùn)維人員的辛苦不眠之夜。這些漏洞在“地下”隱藏了多長(zhǎng)時(shí)間,被利用了多少次,才被暴露出來(lái),暴露的時(shí)間點(diǎn)是否做了精確選擇,這些都是一系列的問(wèn)號(hào)。有個(gè)朋友提過(guò)說(shuō)“挖漏洞”就像“摘蘑菇”一樣,永遠(yuǎn)也挖不完。
利用新漏洞攻擊,可以說(shuō)是信息安全行業(yè)的“陽(yáng)謀”,你明知道對(duì)手會(huì)這么做,但是你沒(méi)有更好的辦法來(lái)破解。所謂天下武功,無(wú)堅(jiān)不破,唯快不破。用一句更通俗的話說(shuō)“我們能預(yù)測(cè)到風(fēng)險(xiǎn)的發(fā)生,但是我們無(wú)法預(yù)測(cè)發(fā)生的時(shí)間點(diǎn)。”
從防守方的角度,該如何來(lái)認(rèn)識(shí)安全攻擊的特點(diǎn)對(duì)抗唯快不破的漏洞攻擊呢?
(一)、像攻擊者一樣來(lái)思考
個(gè)人做應(yīng)急響應(yīng)有很多年,以前碰到安全事故,基本的目標(biāo)是找到攻擊者利用的漏洞修復(fù)漏洞,防止再出事即達(dá)到目標(biāo)。在當(dāng)前形勢(shì)下,在安全事件處理時(shí),僅僅知道攻擊不是最重要的,面對(duì)層出不窮的安全攻擊,重要的是知道被誰(shuí)攻擊?攻擊的動(dòng)機(jī)?攻擊者的位置?被攻擊的對(duì)象?攻擊者都做了哪些破壞?需要更深入的分析攻擊者的動(dòng)機(jī)、攻擊者的位置等信息才能更好的處置攻擊。
經(jīng)過(guò)多次事件的總結(jié),攻擊者的動(dòng)機(jī)其實(shí)很多,有泄憤型的(對(duì)企業(yè)不滿的離職員工、對(duì)企業(yè)領(lǐng)導(dǎo)個(gè)人有意見(jiàn)的攻擊者)、獲利型的(有競(jìng)爭(zhēng)對(duì)手或競(jìng)爭(zhēng)對(duì)手雇傭的攻擊者)、有政治目的的攻擊等。了解攻擊的動(dòng)機(jī)對(duì)處理事件很重要。
2、認(rèn)清當(dāng)前攻擊“隱而不發(fā)”的特點(diǎn)
當(dāng)前的安全攻擊主要以控制為目的達(dá)到未來(lái)戰(zhàn)略優(yōu)勢(shì),而非快速摧毀制造事故或?yàn)?zāi)難。近年來(lái)很多安全事件都是以“控制”目標(biāo)為基礎(chǔ),不著急去篡改、偷竊數(shù)據(jù)。網(wǎng)站被篡改的事情雖然多,但這些攻擊者其實(shí)不是真正的對(duì)手。現(xiàn)在看到網(wǎng)頁(yè)防篡改的軟件,我個(gè)人覺(jué)得用處真不大,只是防范了一些惡作劇的小“黑客”而已。真正的攻擊者進(jìn)入到系統(tǒng)后,會(huì)盡一切可能把自己隱藏起來(lái),企圖躲過(guò)各種監(jiān)測(cè)系統(tǒng)的監(jiān)控,其目的只是在關(guān)鍵時(shí)刻進(jìn)行破壞行為。思科的設(shè)備有沒(méi)有后門?這個(gè)目前已經(jīng)是顯而易見(jiàn)的了,但如果不是斯諾登的爆料,我們僅僅在網(wǎng)絡(luò)上監(jiān)控其實(shí)是很難發(fā)現(xiàn)的,因?yàn)檫@些后門平時(shí)根本沒(méi)有任何動(dòng)作,不做任何的信息傳遞等,幾乎是發(fā)現(xiàn)不了的。我們做過(guò)多次的應(yīng)急響應(yīng),比如有些網(wǎng)站在某一天被黑,但是在應(yīng)急過(guò)程中網(wǎng)站上的webshell已經(jīng)被放了一年多,黑客早已控制就等著在某個(gè)時(shí)間點(diǎn)的引爆。
用句話總結(jié):你的系統(tǒng)沒(méi)有問(wèn)題沒(méi)有漏洞,不代表真沒(méi)有被人攻擊或控制,只是對(duì)手更高明你沒(méi)有發(fā)現(xiàn)而已。
3、“安全失效假設(shè)、緩沖的理念”的原則
安全是對(duì)抗,不可能防范,基于預(yù)警、響應(yīng)的緩沖時(shí)間差更關(guān)鍵。0day漏洞、更高對(duì)抗技術(shù)的出現(xiàn),都會(huì)使得常規(guī)安全控制手段逐漸失效,真是“道高一尺魔高一丈”,在實(shí)際的安全工作中,一定要考慮到防護(hù)措施失效的情況下該如何處理。預(yù)警、響應(yīng)等等緩沖的措施就非常關(guān)鍵了。
如果我們從搶金庫(kù)人的角度看。作為入侵者不懼怕墻和門,墻和門是死的,可以鉆可以炸。入侵者懼怕的是檢測(cè)和響應(yīng)。金庫(kù)的墻、門、鎖實(shí)際上提供了一個(gè)防護(hù)時(shí)間。在防護(hù)時(shí)間內(nèi),可以及時(shí)地發(fā)現(xiàn)入侵行為并且做出足夠的響應(yīng),那么被保護(hù)的金庫(kù)就是安全的。
某些攻擊越過(guò)傳統(tǒng)的封鎖與安全防護(hù)機(jī)制時(shí),在這種情況下,最重要的就是要盡可能在最短時(shí)間內(nèi)迅速察覺(jué)入侵,將黑客可能造成的損害或泄露的敏感信息降至最低。
安全情報(bào)其實(shí)就是預(yù)警、響應(yīng)很重要的一個(gè)有效措施。Gartner公布2014年十大信息安全技術(shù)專門談到了安全情報(bào)。用了張ppt如下:
(簡(jiǎn)單點(diǎn)說(shuō)就是可以通過(guò)在掃描、監(jiān)控、檢測(cè)、防護(hù)等軟硬件的自動(dòng)化應(yīng)用,提供更高的準(zhǔn)確性、更廣泛的覆蓋面、新的能力,同時(shí)也為改進(jìn)信息集成和協(xié)同、風(fēng)險(xiǎn)和業(yè)務(wù)決策提供助力。)借用了nuke同學(xué)微信公眾號(hào)的圖。
4、“安全是人和人的對(duì)抗”
安全的效果是對(duì)手(敵人)評(píng)價(jià)你的,不是自己評(píng)價(jià)的?
系統(tǒng)漏洞一定是會(huì)不斷發(fā)現(xiàn)的,目前的防護(hù)措施主要是從對(duì)業(yè)務(wù)系統(tǒng)和信息(安全客體)的層層安全加碼,后期一定轉(zhuǎn)而實(shí)現(xiàn)對(duì)人(安全主體)的控制。同時(shí)對(duì)客體、主體的控制才能達(dá)到效果。Gartner 2014年信息安全趨勢(shì)與總結(jié)有一個(gè)趨勢(shì)“從以控制為中心的安全演進(jìn)至以人為核心的安全”
安全是人和人的對(duì)抗,我們不可能靠一堆安全設(shè)備來(lái)對(duì)抗人。再先進(jìn)的武器也不能決定戰(zhàn)爭(zhēng)的勝負(fù)。人的意識(shí)、策略、技能、動(dòng)態(tài)對(duì)抗能力是信息安全的決定性因素。
5、“以不變應(yīng)萬(wàn)變”強(qiáng)身健體,做好基礎(chǔ)工作,提高信息安全免疫力,可以在風(fēng)險(xiǎn)事故中將損失降到最低。
信息系統(tǒng)只有兩種狀態(tài):已經(jīng)被攻破的,即將被攻破的。那么安全工作該如何投入?工作的效果如何體現(xiàn)呢?其實(shí)做安全工作就像我們鍛煉身體一樣,一定有病毒會(huì)侵害我們的身體,但是身體免疫力強(qiáng)的、身體好的人病毒可能就感染不了或者感染后很快能康復(fù)。SARS、埃博拉等這種在當(dāng)時(shí)都沒(méi)有針對(duì)藥物的情況下,我們能做的就是強(qiáng)身健體,提高免疫力,2003年的SARS期間多少人依然認(rèn)真的鍛煉身體。信息安全一樣,把一些基本工作做好,在事故來(lái)臨的時(shí)候造成的損失一定小很多。做與沒(méi)做還是有很明顯的效果。
信息安全領(lǐng)域有一些基本的安全措施,或者稱作事半功倍的措施,這些基礎(chǔ)工作做踏實(shí)了會(huì)切實(shí)提供安全免疫力。
以下列舉了一些常見(jiàn)的“提高免疫力”的基礎(chǔ)安全工作。
5.1訪問(wèn)控制
訪問(wèn)控制是信息安全永恒的主題,Gartner公布2014年十大信息安全技術(shù),第七大技術(shù)為“以遏制和隔離為基礎(chǔ)的信息安全策略”虛擬化、隔離、提取及遠(yuǎn)程顯示技術(shù),都能用來(lái)建立這樣的遏制環(huán)境,來(lái)處理不信任的內(nèi)容和應(yīng)用程序。虛擬化與遏制策略將成為企業(yè)系統(tǒng)深度防御策略普遍的一個(gè)環(huán)節(jié),盡管目前使用情況較少,但預(yù)計(jì)2016年普及率會(huì)達(dá)到20%。對(duì)攻擊者隔離、遏制、消滅。網(wǎng)上有一篇文章針對(duì)零散的攻擊者《捻亂止于河防——淺談企業(yè)入侵防御體系建設(shè)》,實(shí)質(zhì)也是訪問(wèn)控制,步步設(shè)防,逐步推進(jìn),再集中優(yōu)勢(shì)兵力殲滅對(duì)手之。
5.2、弱口令
弱口令是典型的知易行難的安全措施,都知道口令安全很重要,但是一個(gè)管理員面對(duì)很多口令的時(shí)候,靠人力確實(shí)無(wú)法讓口令都做到安全。同時(shí)隨著地下產(chǎn)業(yè)的發(fā)展,哪些口令算安全哪些算不安全都是動(dòng)態(tài)變化的。重要的系統(tǒng)盡量采用其他的認(rèn)證方式,比如雙因素認(rèn)證、生物特征等。
設(shè)備的口令很多
社工庫(kù)攻擊也在發(fā)展
5.3 執(zhí)行SDL,做好應(yīng)用安全的基礎(chǔ)工作,降低漏洞出現(xiàn)的概率
借用了Gartner 2014年信息安全趨勢(shì)與總結(jié)的關(guān)于應(yīng)用安全的ppt。
其他的基礎(chǔ)工作包括漏洞管理、權(quán)限管理、變更控制和響應(yīng)管理等。
天下武功 無(wú)堅(jiān)不摧 唯快不破!信息安全對(duì)抗是一場(chǎng)持久戰(zhàn)!寫完,收工。
京公網(wǎng)安備 11010502049343號(hào)