freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

攻防演练中防护阵线构建的三件事
2020-06-19 10:05:39
所属地 广东省

相信现在很多团队,公司都开始为今年的攻防演练做准备,有钱的买设备,买人,没钱的没人的只好自己搭设备,怎么都要有点东西才能跟领导交代。尤其是今年的行动又跟以往的有所区别,但不管怎么样,自己硬才是真的硬。

FREEBUF里面对如何自己硬也有了相当多的文稿,从战略意义上的,到战术意义上的;从行动派到口水派;从务实派到虚幻派。针对各种派别都有了属于自己的一套思路,一套打法,真正意义上的将大家的防护水平提升了一大截。但是,道高一尺魔高一丈,各种新型的,花样的,实力的攻击方法层出不穷,还没开战,就已经隐隐约约地看到尘嚣甚上,对于防守方而言,压力确实不小,但说来说去,总结下来,攻击渠道就只有三种,哪三种?一曰(yue):从外到内(E2I);二曰(yue):从内到外(I2E);三曰(yue):从内到内(I2I)。

首先是从外到内。那么作为一个优秀的MT,应该如何肉抗呢?具体的方法就不展开细谈了,话题太大,浓缩后的精华我们简单的提一下,从外到内的防御方法,即物抗和魔抗。何为物抗?即俗称的WAF,有硬件WAF和云WAF,只要有公网的要求,WAF是必须覆盖的,但是针对现有的各种攻击的手段,比如各种变形的SQL注入,反序列化等等,WAF已经显得有些有心无力,已经不能再保证强防护力度,所以魔抗的RASP也是需要启用的了,好在百度开源了OpenRASP,用插桩的方式可以很轻松的植入网站从而能有能力检测攻击者最终的渗透手段。(IPS/IDS就不再说了,估计大家都有)此外,针对弱口令,补丁,中间件漏洞进行及时整改,那么不说固若金汤,起码攻击成本是被大大增加了。

接下来就是从内到外。从内到外,一般而言我们可以考虑NTA,或者叫态势感知系统,但确实,态势感知系统比较贵,不是随随便便可以挤出来的预算,如果之前没有做好预算的话,想要临时上态感会比较困难,只能到时候找厂商借用了,借用的后果就是不可预测性,你都对这个系统不熟悉,没有调优,也没有预处理过(指清除目前态感发现的告警,优化黑白名单),是没有办法顺顺利利地使用态感的,如果确实没有预算,又想进一步加强网络监控,那么使用免费的Moloch摩罗神https://www.freebuf.com/sectool/183984.html或者SecurityOnion 安全洋葱https://www.freebuf.com/sectool/84043.html就可以开启简单易用的NTA了。如果是采用商业方案,斗象目前在做NTA的评估报告,有机会可以参考一下,但有几个指标是建议达到一定标准的的,包括且不限于,依赖AI检测算法在不依赖威胁情报的情况下对反弹外联,隧道传输能力的检测;兼容各威胁情报,包括免费的,商业的,对C&C地址,域名有快速检测的能力;能同WAF,IPS,下一代防火墙设备等进行一定程度的联动,包括隔离,封堵,重置包等的能力。此外就是安装位置,一般而言,如果有威胁情报(TI, Threat Intelligence)的支持,仅监控从南到北的数据流已经够用了,大企业中如果还想监控从西到东的数据流甚至全域流量,流量将是非常之大,交换机口都不够用,也对服务器和探针的需求会有非常夸张的要求,要靠企业的实力(钱)硬扛,能部署的应该寥寥无几。在依靠南北向的监控中还有一点须得注意,威胁情报在攻防演练事件中的检测效率大大降低,请务必不要迷信,反倒在真实防护中能起到一定的作用。这里列出几个常用的威胁情报源,供大家配置参考:

·http://mirror1.malwaredomains.com/files/domains.txt

·http://www.malwaredomainlist.com/hostslist/ip.txt

·https://isc.sans.edu/block.txt

·https://isc.sans.edu/api/threatlist/miner/?csv

·https://talosintelligence.com/documents/ip-blacklist

·https://feodotracker.abuse.ch/downloads/ipblocklist_recommended.txt

·https://rules.emergingthreats.net/blockrules/compromised-ips.txt

·http://list.iblocklist.com/?list=bt_spyware

·http://list.iblocklist.com/?list=tor

·http://list.iblocklist.com/?list=logmein

·http://list.iblocklist.com/?list=bt_proxy

最后就是从内到内了。内到内的防护也从三个方面来讲,从内到内保护中的第一点,相信大家都有基础包,即防病毒软件,但是对于目前各种绕过手段,单一的防病毒工具并不能真正有效地识别并检测攻击工具,就以Mimikatz为例,Tide重剑无锋所提到的18种免杀姿势及防御策略就已经令人望而生畏了,更别说还有某些大佬自制的工具。连Kaspersky这位反病毒先锋也被轻易地斩在马下 ,所以,适当的搭配是必须的。说实话,WindowsDefender的查杀能力还是非常不错的,对于大部分变形,变种均能识别,如果能启用DeviceGuard,CredentialGuard,Secure Boot,App locker,WindowsFirewall,UAC并配置AttackSurface Reduction Rule,回收计算机用户权限(重置Admin管理员密码),清理本地管理员组成员,限制用户权限最高不超过PowerUser,启用强密码策略,启用RestrictedAdmin模式的RDP登录保护,启用受保护的用户组,将域管理员等全部加入受保护用户组,通过以上手段已经基本可以将系统防护能力提升至MAX了。

内到内的保护中的第二点,除了策略的加强,从内到内的防护,仅靠AV是肯定不现实的,那么应声而起的新方案为AV+NGAV+EDR,即,防病毒系统+下一代反病毒系统+终端响应系统。国内的某些安全厂商将NGAV+EDR合并为EDR防护,也未尝不可,其实质概念均为基于用户行为的高级防护。据说某些企业已经开始放弃传统的AV系统,开始投奔NGAV+EDR防护,其实这点会触及到一个异构的问题,我的个人建议是保留传统的AV系统,并配置部署EDR系统(含NGAV清除功能),原因跟上面提到的态感产品一样,需要保留最大能力,最高效率的检测并对抗已知病毒的能力,否则光靠EDR系统动态识别能力是不够效率的,而大部分EDR系统并不具备本地或者文件静态识别能力,所以必须依靠AV的特征库识别来进行预查杀。(国内某厂除外,其采用了二者结合,使用第三方AV库,可以进行静态查杀,但是,良心地讲,专业的事还是需要专业的人去做)。顺便说一句国外某AV产品的续约,据说已经有蛮多小伙伴已经下车了,原因在于其大幅度的撤销国内的售后,客服的投入,但其实这个产品还是相当不错的,这里我就不多说了,大家都有自己的一杆秤。

内到内的保护中的第二点已经明确标记为AV+EDR方案,EDR产品的选择依然包括三条准则,第一,事件回溯能力,能清晰反映进程与进程之间的关系,进程与网络之间的关系;第二,AI模块和机器学习的能力,需要有效的识别新型威胁,并能降低误报率;第三,MITRE ATT&CK矩阵的检测能力,增加防护覆盖面。最后一点可以参考Bitdefender是如何应对ATT&CK矩阵的,详情见:https://attackevals.mitre.org/APT29/results/bitdefender/https://attackevals.mitre.org/APT29/results/bitdefender/allresults.html,引用MITRE的官宣,不做评分、排名或评级。评估结果对公众开放,因此其他机构可以提供自己的分析和解读----MITRE不认可或验证这些结果。但无可厚非,ATT&CK矩阵确实涵盖了几乎所有目前已知的攻击可能的渠道,使用ATT&CK矩阵来验证攻击手段是非常可行的。(虽然误报会比较多,需要有一定能力的调优以及数据分析人员)

内到内的保护中的第三点即为构建一个能够快速检索的应急响应平台,态感即为NTA+SIEM的结合,所以有态感的需要好好调优策略,熟悉数据检索的方法。对于需要自己造轮子的童鞋,或者还没有自己的SIEM方案的童鞋,必须抓紧考虑成熟的方案,如果还是因为预算的缘故,那么使用Elasticsearch+ Wazuh + TheHive + MISP构建开源安全应急响应平台也是非常有价值的。具体文章可以参考:https://www.freebuf.com/articles/es/203538.html。使用上述方案还有一个好处,可以容纳NTA的事件,这样就可以通过ELK的大数据平台构建一套完整的态势感知+威胁情报+EDR平台方案,除了维护量略大以外,效果还是棒棒的。至于有钱的童鞋呢,可以采用SPLUNK+ SYSMON方案,能更为效率地进行数据关联和分析处理,维护量远远小于ELK方案,但谁叫ELK方案是免费的呢?(硬件不免费)

最后,引用一张非常有价值的图,作为防护向量的有效补充,原文在此:https://www.pathcom.com/security-tools-and-tips/我就不翻译了。

END

从外到内,依靠FW+WAF+RASP;内到内,依靠NGAV+EDR;从内到外,依靠NTA+TI。这就是攻防演练防护阵线构建的三件事,其实也是对于安全工作的一个简单的总结,希望本文可以给第一次参加攻防演练防护的兄弟提供一些帮助,不至于两眼一抹黑而不知道从何做起。安全更多的是做起来看似很简单,但是策略如何能够推动,能够落地,才是需要仔细考量和最花功夫的地方。

*本文作者:langyajiekou,转载请注明来自FreeBuf.COM

# 攻防演练 # 防护阵线
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者