現(xiàn)在我們看看,一旦網(wǎng)絡(luò)攻防開戰(zhàn),這9大思維能否用上?怎么用?
注:在我國,近幾年來,“信息安全”和“網(wǎng)絡(luò)安全”兩個概念完全等同。
注:本文中的實戰(zhàn),其實是指高水平的網(wǎng)絡(luò)攻防演練。
1、CIA思維
CIA思維比較高層,功夫要下在平時,該加密的加密(C),該校驗的校驗(I),該高可用的高可用(A)。
戰(zhàn)時主要是檢驗效果。
這就好比防守方的城墻和堡壘,設(shè)計和建筑時就要搞好,平時做好維護,戰(zhàn)時是檢驗質(zhì)量的。
值得說明一下,漏洞,是破壞完整性(I)的。
各種常見已知漏洞和0day漏洞都是攻擊者極欲發(fā)現(xiàn)和使用的,所以該打補丁的一定要打,單純硬件設(shè)備的補丁還算好打,如果是數(shù)據(jù)庫、中間件的補丁,就不那么容易,因為影響面比較大,開發(fā)、運維、廠商、測試,都會牽扯其中。
所以從一個單位的打補丁能力,就能看出其整體水平。
2、縱深防御
縱深防御思維是頭條金科玉律。
要一層一層防御,一層一層監(jiān)控,從邊界到網(wǎng)絡(luò)分區(qū)、從服務(wù)器到終端、從操作系統(tǒng)到應(yīng)用程序,要層層設(shè)卡,層層警戒。
即便敵人通過0day進了城,城內(nèi)仍然處處是堡壘,處處是陷阱(蜜罐),處處有監(jiān)控。
深度防御可以分為物理層、技術(shù)層、管理層三個層次。
物理層位于最外側(cè),可以是大門、圍墻、門禁、警衛(wèi)、狼狗、攝像頭、傳感器、警報、鎖等防護手段,主要是防所謂“近源滲透”的。
技術(shù)層則包括認證、授權(quán)、加密、監(jiān)控、隔離、封禁、限制、恢復、備份等手段。
在物理和技術(shù)仍然觸及不到的地方,通過管理手段來防護,比如規(guī)章制度、管理要求、現(xiàn)場檢查、安全教育、應(yīng)急演練、戰(zhàn)前動員、全員皆兵等等。
順便吐槽一下:安全圈是從來不憚于創(chuàng)造新名詞的,每年都要整出好幾個新詞,比如什么ATP、SIEM、SOC、EDR、UEBA、SOAR、RASP等等,其實就那么點東西,各種包裝。
這么做,一方面是顯得高大上一些,便于營銷;一方面也是為了簡化描述和便于交流。比如現(xiàn)在你一說“社工”,大家立刻秒懂。
3、一切要在控制之中
可控思維的要點是:可視、可封、堅壁清野。
因為敵我雙方都講究“讓對方在明處,讓自己在暗處”。所以盡量讓攻擊隊看到最少的東西,讓我方看到最多的東西。
這節(jié)是重點,所以我多說一些。
先說下堅壁清野:把可以忍著不用的業(yè)務(wù)都停了,把意思不大的專線都shutdown了,把云上的東西都下了,把訪客可觸及的信息點(網(wǎng)口)都關(guān)了,把筆記本上的內(nèi)部文檔都刪了。
搜一搜云盤和github上有沒有單位的東西,有的話趕緊清了。這也是一個“可視”的問題,要能看見自己的東西。
上次實戰(zhàn)時,都打了好幾天了,有朋友電話我,說我單位有個系統(tǒng)開了若干端口。打開一看,確實沒錯,嚇得我趕緊查IP,卻發(fā)現(xiàn)IP并不是我們的,一開始以為是仿冒網(wǎng)站,后來一查,原來是開發(fā)商放在云上的測試系統(tǒng)!
堅壁清野很難做到徹底,但要盡可能地做。
下面說對攻擊的“可視”。
在進入服務(wù)器之前,攻擊都在流量之中。
如果條件允許,建議大量購買網(wǎng)絡(luò)流量相關(guān)工具,一兩個是不夠的,要有多個。
首先應(yīng)該建一個流量匯聚平臺,把網(wǎng)絡(luò)各處流量輸入?yún)R聚起來,然后按需處理、分發(fā)。網(wǎng)絡(luò)設(shè)備給出流量,安全分析工具享用流量。這樣,不至于像以前,每上一個安全分析工具,都要到處接鏡像。
然后是各類流量分析和處置工具,如WebIDS、APT防護、沙箱、郵件安全、WAF、IPS等等,這類工具買上十個八個也不為多。
最后,流量回溯工具是必不可少的,它可以把流量都存下來,上面說的那些工具,通常是不會記錄全流量的,要查看具體特定流量的時候,還是要靠它。
最好能夠看到口令暴力猜解,這可以從流量上做,雖然稍微有點難度。如果企業(yè)的認證點是集中的,就比較好辦。
比如某單位所有系統(tǒng)都用AD驗證口令,那就監(jiān)控AD上的流量,如果每秒有多個口令驗證出錯,就立刻報警。
蜜罐是獨特而有效的可視性工具,可以買專門的蜜罐/蜜網(wǎng)系統(tǒng),也可以使用負載均衡設(shè)備的蜜罐功能,還可以開主機蜜罐、郵箱蜜罐、數(shù)據(jù)庫蜜罐等等。總之,多開一些總是好的,一個典型的中型金融機構(gòu),怎么也應(yīng)該弄上幾百上千個蜜罐。
一定要有主機安全工具,以便看到主機上的攻擊行為。像口令嘗試、漏洞提權(quán)、木馬上傳、遠程登錄、反彈shell等攻擊行為,都能及時看到。此外,它還可以發(fā)現(xiàn)弱口令,可以監(jiān)控web目錄,可以保護可執(zhí)行文件,可以設(shè)置主機蜜罐,總之,這是個好東西,誰用誰知道。
此外,日志匯聚分析平臺、報警平臺、CMDB、威脅情報等等這些,都應(yīng)該有,這些都有助于發(fā)現(xiàn)和定位攻擊。
下面說一下網(wǎng)絡(luò)封禁:
• IP封禁應(yīng)盡量方便化和自動化。可開發(fā)專門的IP封禁系統(tǒng),實現(xiàn)方便的一鍵封禁。必要時,要能一鍵關(guān)閉線路(也就是關(guān)閉路由器端口)。
• 應(yīng)具備封禁IP列表的導入功能。實戰(zhàn)時,攻擊情報都是上千個IP的列表,要能方便導入。
• 要防止誤封。不要誤封正常用戶,不要誤封自己的出口地址。可以將自己的地址放入封禁系統(tǒng)的白名單中。
• 一些安全工具可以和防火墻聯(lián)動。通過調(diào)用防火墻的API接口或命令接口,可以實現(xiàn)對高危攻擊的自動封禁,必要時可以用,但同樣要防范誤封。
4、自上而下
工程師文化是自下而上,但作戰(zhàn)需要自上而下。
自上而下講求的是領(lǐng)導重視、指揮有方;強調(diào)的是組織嚴密、協(xié)同有力。
領(lǐng)導,在組織、動員、謀劃、決策、資源調(diào)動、后勤供應(yīng)等方面,都是起最重要作用的,也是作戰(zhàn)成敗的關(guān)鍵因素。
在當今人類社會,“命令體系”仍然是最有效的戰(zhàn)爭組織體系,畢竟人類還沒有發(fā)展出去中心化的作戰(zhàn)能力,還沒有發(fā)展出我在如何從高層把握區(qū)塊鏈的本質(zhì)中所設(shè)想的去領(lǐng)導式作戰(zhàn)機制。
如今的攻防演練,大批人馬集中在ECC,必然存在大量的組織和管理工作,比如團隊協(xié)同、規(guī)章制度、應(yīng)急流程等;再比如場地、工位、門禁、值班、人吃馬喂等等,都需要自上而下的管理,都需要領(lǐng)導的指揮、布局、坐鎮(zhèn)和協(xié)調(diào)。
不像攻擊隊2,3個人就能開整,防守方是多團隊作戰(zhàn)的,指揮部、研判組、監(jiān)控組、網(wǎng)絡(luò)組、主機組、終端組、郵件組、應(yīng)用組,加上24小時排班,少則幾十人,多則幾百人。
要想和諧有序地在一起工作,除了指揮和命令,還要有協(xié)同工具。IM工具(比如微信或其他)是首要必需,在線文檔編輯工具則可以如虎添翼,監(jiān)控組及時上報攻擊信息,其他組迅速跟進,分析、定位、確認、封禁,整個團隊通過工具協(xié)同起來。
5、全局思維
全局思維是指安全要定位好自己,不要把自己放在業(yè)務(wù)之上。
因為這個世界的最重要任務(wù)是發(fā)展,安全只是保障。
平時,安全應(yīng)以業(yè)務(wù)為重;到了戰(zhàn)時,業(yè)務(wù)可以適當讓步,一些業(yè)務(wù)可以關(guān)停。
但關(guān)鍵性的業(yè)務(wù),仍應(yīng)保持運營。不能因為害怕,都停擺了。
畢竟本文所說的作戰(zhàn),其實只是演練。
6、成本收益思維
窮有窮的打法,富有富的打法。
如果窮,沒有太多的資源和人力,那就保護最重要的資產(chǎn),防范最常見的攻擊。
攻擊者最愛用的、對技術(shù)要求最低、而又最容易奏效的攻擊手段,無外乎:漏洞、弱口令、釣魚郵件。而漏洞中,又以文件上傳漏洞為甚。
所以重點防以上三點。
注:那些被打穿的,大多也都敗在這三點。
漏洞全都補上,這是辛苦的活,但必須做。實在補不上的,關(guān)停、隔離或想其他辦法。
仔細排查文件上傳入口,如非必要,全都關(guān)上。即便一定要上傳,也做嚴格的檢查和過濾。
利用工具發(fā)現(xiàn)弱口令、禁用弱口令、強制定期修改口令,在管理上則是通知、檢查、通報。
培訓所有人警惕釣魚郵件,要實測幾次,看看員工是否已經(jīng)掌握。
如果富,那就是買買買了,買盡可能多的一流工具,買盡可能多的一流人才。
兵強馬壯,一般都沒有問題。
每年都有更新更好的工具,所以要年年買;
每個工具都要自身的局限性,所以同一類工具可以買多家的;
每個團隊都有其優(yōu)勢和劣勢,所以可以同時請多家。
7、不信任思維
不信任思維很簡單,就是對內(nèi)網(wǎng)也不信任,對內(nèi)部人也不信任,對合作伙伴也不信任,以至于,最終,對任何人、任何物都不信任。
畢竟,多一份不信任,少一份不安全。
在某次大型演練中,某處于中心地位的機構(gòu)被攻破,立刻變成風險中心,所有聯(lián)入該機構(gòu)的單位嚇得紛紛拔網(wǎng)線。
這也說明和外聯(lián)機構(gòu)要有清晰而嚴格的訪問控制策略,只能開業(yè)務(wù)所需的IP和端口。
從非技術(shù)的角度考慮,不信任思維主要是防社工。
許多所謂的著名黑客,其實只是社工高手,很多不可思議的突破案例,其實只是精妙的社工。
要通過培訓,告訴所有人如何識別釣魚郵件,如何識別社工人員。
有時候,不僅僅是拒絕,還需要學會誘敵深入。
抓住社工可以加分的。
有次實戰(zhàn),某單位義正嚴辭地拒絕了一位自稱是來修ATM機的,事后回想起來,覺得有些可惜,錯失了加分機會,應(yīng)該放他進來,看看他到底做點什么再下手不遲。
8、有效性的檢驗
有效性,顧名思義,就是說你所設(shè)計和執(zhí)行的一切,是否生了效。
比如你封IP,是否封上了?你打的補丁,是否打上了?你上的監(jiān)控,是否有用的?你不讓點的郵件,員工是否點了?你制定的流程,是否執(zhí)行了?
這些都要做檢測、做驗證。
不要指望一個命令下去,一切就能到位。
除非你經(jīng)常性地檢驗。
在正式開戰(zhàn)之前,可以先做幾次演練,找最厲害的幾只個攻擊隊,實打?qū)嵉貋韼状喂簦茨懿荒芄テ疲词遣皇沁€有漏洞。
這些都做了,心里才能有點底。
9、道德法規(guī)思維的實踐
法規(guī)思維,就是要守法,要合規(guī);
攻擊隊可能感受更強烈一些,畢竟違規(guī)攻擊是要受到懲罰的。
雙方交戰(zhàn),至少不能誤傷群眾。
溯源時候,經(jīng)常會溯到普通群眾,遇到這種情況,應(yīng)該盡快做到無損退出,而不是進一步擴大“戰(zhàn)果”。
關(guān)于道德思維,我曾經(jīng)總結(jié)過,就是要正直、盡責、貢獻。
這里就不多說了,懂的自然懂。
10、結(jié)語
總結(jié)起來,作戰(zhàn)思維和日常管理思維還是有區(qū)別的,雖然實戰(zhàn)時,9大思維都會涵蓋到,但最重要的思維是“縱深防御”和“可控”,然后是“自上而下”、“成本收益”和“不信任”。
“縱深防御”和“可控”同時也是最花功夫的,需要長期不懈的建設(shè),以及戰(zhàn)前的密集準備。
如果“縱深防御”到位,又把“可控”思維中的“可視”、“可封”、“堅壁清野”做好,攻擊隊基本上無從下手。
而防守方基本上就是盯盯監(jiān)控,封封IP,然后就是翹腳喝咖啡了。
如果你不圖加分的話。
京公網(wǎng)安備 11010502049343號