freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

攻防演习下的深度威胁识别
2020-01-09 12:00:28

从2013年,黑客组织Carbanak成功攻击乌克兰一家银行的系统,实现“线上抢银行”,到现在各类的网络攻防战层出不穷。网络安全攻与防之间的博弈从未停止。

 

面对攻击方层出不穷的攻击手段,防守方如何实时发现绕过传统安全防护手段的攻击行为,如何准确识别深度威胁,白山云科技安全解决方案专家陈云领在安全+第一期《透视网络攻防》中深度剖析企业安全现状,解构攻防双方特点,从实战告诉你如何“以攻促防”。

 

一、演习中的攻防博弈

白山ATD团队总结了以往参加过的国家级、省市级攻防演练的实战经验,我们发现攻防双方具备以下特点:

 

攻击方:

1)24小时攻击,搭建分布式、自动化漏扫平台,对企业资产不间断扫描;

2)擅长利用框架漏洞攻击,如Jenkins、Weblogic、Struts2、RMI、Jboss、Tomcat、Spring、ActiveMQ、Zabbix等;

3)提权后,通过内网资产探测、内网业务漏洞扫描、主机漏洞扫描、远程控制等手段,获取敏感数据。


防守方:

1)防守方主要依赖安全设备规则,常用手段仍依靠安全运维人员封禁IP;

2)安全防护设备如果需要临时扩容,流程复杂、效率低;

3)依赖大量安全运维人员值守。


攻击流程.png

网络攻击常见流程

上图是网络攻防战中常见的攻击流程,主要分为信息收集、漏洞分析、渗透测试和后渗透测试阶段。以信息收集为例,主要包括:域名端口信息收集、人员资产信息搜集等。

 

在攻防演习中,攻击方装备较为精良,且以团队形式作战,通常具有明确的攻击目标,和较强的攻击强度,攻击方式多种多样。而防守方发现即便做了“全面”的安全防护,尤其是针对通讯网络、区域边界、技术环境等,仍有绕过安全设备的威胁存在。

 

二、防护技术和手段

 

目前传统安全设备的防护手段都还有进一步提升的空间:

-  硬件部署:存在性能瓶颈,无法弹性扩容;

-  依赖现有规则库:包括WAF、IDS、IPS等,定制成本高、维护性差,难以应对因安全运维人员的流动性导致的遗漏,尤其是难以发现未知威胁;

-  串行部署:串行接入则可能存在接入复杂、存在延迟、兼容性差等问题,有存在中断正常业务的可能;

-  过度依赖设备指纹:设备指纹存在易被伪造的风险;

-  过度依赖情报中心:情报中心具有滞后性,无法有效识别首次攻击;

-  威胁处置灵活性差:无法对现有安全设备进行联动分析。

 

针对以上问题,白山ATD团队总结出安全产品应具备一些新特点:

1.支持云化部署,弹性扩容;

 

2.旁路部署,不影响现有的网络架构;

 

3.无需在主机、客户终端接入Agent;

 

4.具备UEBA(用户及实体行为分析),识别未知威胁;

UBA(用户行为分析)最早应用在网站访问和精准营销等方面,后来被移植到网络安全领域,Gartner在UBA的基础上融入实体行为,并认为关注实体行为分析可以更准确地识别威胁。UEBA不只是SIEM的补充,更是理解网络安全的全新方式。


UEBA的前提条件是转换思维,以用户为视角,从基于规则分析到关联分析、行为建模、异常分析,弥补传统SIEM的不足,通过用户实体行为异常分析来检测各种业务与安全风险。

 

5.应用AI替代人工规则和策略;

AI利用有监督、无监督机器学习算法,对输入数据进行个群对比建模和规律学习建模,无需人工设定规则策略就能够有效识别出异常行为,特别是未知威胁。

 

6.支持SOAR(安全编排和自动化响应),联动所有安全设备进行威胁处置。

目前在安全事件处置过程中,安全运维人员一般通过安全设备进行简单的阻断、通知、放行等处理。安全事件处置是一个多安全设备协调处理的过程,经过安全识别、确认、阻断、记录等处置阶段,形成威胁处置的闭环。这种背景下,应用安全编排和自动化响应就成为安全团队的必然选择。

 

三、攻防演习实例详解

在某次攻防演习中,白山ATD团队基于用户访问行为的攻击链内置模型,成功识别出攻击者绕过防火墙、绕过WAF等安全防护设备的攻击。

攻击链.png

攻击链模型

攻击过程如下:攻击者发现网站path路径结尾为.action,初步判断业务后端采用Java语言代码,可能使用了Struts2 框架,采用漏洞扫描工具进行探测是否存在Struts2反序列化漏洞;攻击者通过漏漏洞扫描工具确认网站存在漏洞后,远程执行系统权限命令并开放通信端口,远程登录服务器,进行内网横向渗透测试,尝试连接业务数据库获取敏感信息。

攻击路径.png

攻击路径

ATD以用户访问行为为视角,基于时间、地点、人/ID、作用域、动作和结果六元组模型,定义行为概念,进行行为建模。ATD具体根据攻击者攻击时间序列变化、攻击源、攻击方式、攻击结果等,精准识别和记录攻击者整个攻击过程,为防守方溯源取证提供了详细的证据。

 案例.png

案例2.png

攻击案例

 

攻防演习的最终目的在于“以攻促防”,通过攻防对抗,考验防守方的安全防护能力,从而提升对安全事件的监测发现能力和应急处置能力。

 

除网络攻防演习外,ATD在航空、金融、家电、教育、出版业等领域相关场景下同样得到了广泛应用。

 

服务号二维码.jpg


关注微信公众号白山云服务,回复“透视网络攻防”,获取完整PPT内容。

# 绕过 # UEBA # 白山云科技 # 攻防演习 # 威胁识别
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者