未知攻,焉知防?|五大主动防御策略,以子之矛攻子之盾
未知攻,焉知防?
五大主动防御策略,以子之矛攻子之盾
策略一:战线整理
上文提到,攻击的本质是信息收集,收集的情报越详细,攻击则会越隐蔽、越快速、攻击范围越广。因此,加大攻击队信
|
未知攻,焉知防? 五大主动防御策略,以子之矛攻子之盾 策略一:战线整理 上文提到,攻击的本质是信息收集,收集的情报越详细,攻击则会越隐蔽、越快速、攻击范围越广。因此,加大攻击队信息收集的难度,就可以增加攻击队攻击的成本,缩小攻击面。 以下五种方法可以进行战线整理,缩小攻击面。 - 敏感信息排查:安全意识培训,提高员工安全意识,对信息划分等级,敏感文件和信息禁传到个人账号或者开源平台中。定期对可能暴露或者发布在网上的敏感信息进行收集服务,如发现泄露的敏感信息或者源码提前采取应急措施。 - 攻击线路梳理:定期梳理每个业务系统的网络访问线路和路径,包括对互联网开放的边缘系统、内部访问系统、含测试系统,不使用的遗漏系统。还有进行上下级单位对接互联的各类系统梳理。 - 互联网入口梳理:网站管理后台、测试系统、无人运维的网站或系统、拟下线未下线的系统、高危服务端口、未纳入防护范围的互联网开放系统和资产整理。 - 外部接入网络梳理:上下级单位网络互通接入整理;供应商技术支持网络接入整理。 - 隐蔽接口梳理:未授权API接口、近源私建WiFI、不用的VPN接口等。 策略二:纵深防御 安全防御没有一招鲜,不可能靠一个安全设备或者一条安全措施就能防御所有安全攻击或者漏洞,如果有那就是关机关电关门。面对攻击者不同类型的漏洞攻击手段的层层攻击,可以参考和结合战争中的纵深防御理论来完善和部署自身安全防御能力。从资产梳理和防御策略梳理、互联网侧防御、内外网访问控制策略、主机防护、上下级网络互通防御、供应链和接入防御、各类不安全入口防御等形成一条纵深防御的战线,由入口到核心,由远及近通过层层防御和消耗降低攻击者攻击力量。 以下四个层面可以搭建纵深防御体系: - 资产和防御策略梳理:资产清晰,现有防御策略清晰,是所有防御策略的前奏。需要梳理所有的资产系统、使用的系统、应用软件、版本信息、补丁信息、IP地址(公网、内网)、网络设备、安全设备、数据库、接口调用信息等。还要理清所有安全防御和访问策略,上架的安全设备配置的策略,不同安全域之间的访问策略,如互联网入口、内外网之间、各业务系统之间、主机、集权系统、供应链入口、各网络接入口的所有安全策略,禁止使用全通策略和私开网络和服务。结合战线整理工作的成果,形成清晰的资产列表和对应资产安全防护策略。 - 互联网侧防御:这是流量的入口也是攻击起始点,是重中之中的防护区域,这点做好可能防御和过滤90%以上的攻击流量。这个区域防御可以部署网络安全防护设备和漏洞检测两方面展开。部署安全防护设备包括:下一代防火墙、动态防御设备、Web防御网关、防病毒网关、全流量分析设备、防垃圾邮件网关、入侵防御等。漏洞检测方面可以定期做完整的渗透测试服务,对自身漏洞和防御策略有个清晰的认识,对存在的漏洞及时修复和加强防御。 - 主机加固防护:攻防终极目标就是主机权限,主机防御是最后一道屏障,如果主机被拿下,所有的工作可能都会功亏一篑。在这块防御上可以实行主机白名单和最小权限访问原则、结合堡垒机实行多因子认证登录访问、最小化应用安装、关闭不必要的服务和端口、基线扫描加固、漏洞及时补丁、修改主机相关弱口令、定期对主机进行渗透测试、部署相关蜜罐设备;部署主机安全防护设备,对重要文件目录和应用程序进程进行实时监控、开启各类的安全审计日志功能。 - 供应链以及下属单位网络安全:与供应链厂商和下级单位建立起相应的安全防御机制和应急响应机制。供应链厂商对提供的产品和接入的网络线路有一定的安全措施和应急措施,产品的研发和发布需要提供应有的安全保障,例如对应的安全测试,使用出现漏洞的补救措施。下级单位专线接入也需要做一定的安全防御和攻击流量监控。 策略三:核心防御 这个策略通俗一点讲就是集中力量办大事,把好钢用在刀刃上。攻防对抗和日常的安全运维中,根据实网攻防对抗经验和资产的重要性划分出防守中心,找到核心系统集中力量进行防御和加固。主要包括这三类:靶标系统、集权类系统、具有重要数据的业务系统等。 靶标系统是重中之重,是攻防对抗的终极目标,失陷这意味着失败;集权系统包括一切有特殊权限的重要系统,如堡垒机、VPN服务器、SOC平台、核心的安全设备等;重要的业务系统如果被拿下也是可能会是通往靶标系统的重要通道。对这些核心系统应该加强防守力量的部署,实施定制化的访问策略、白名单机制、最小访问权限、多因子访问措施、漏洞查杀,日志进行实时监控和分析等措施。实网攻防前和日常安全运维中对这些重点系统进行资产梳理和安全措施整改,可以定期对这些系统进行单独的安全评估。 策略四:全面监控 近两三年的攻防对抗,攻击队的手段越来越简单直接但是也越来越隐蔽,尤其是0Day的单刀直入越来越频繁,越来越多突破口和系统沦陷都是0Day、NDay导致,更有甚者直接获得主机系统得控制权限。既然是0day说明没有现有攻击特征,很难被发现和捕获,不然就不叫0day了。如何防御这类攻击也是当务之急,建立全方位的安全监控体系是防守者最有力的武器,可以从中发现和追踪0day攻击的蛛丝马迹。有效的安全监控体系可以从以下几个方面展开。 - 全流量监控:任何请求或者攻击是通过网络线路,都会有网络流量, 恶意攻击流量和正常的数据肯定有所差异,通过全网流量监控去发现和捕获异常流量结合安全工程师进行分析是当前最有效的安全手段之一。 - 主机监控:最后的防御屏障主动防御措施,任何攻击最终目标是获取主机。部署主机安全系统,对恶意的命令执行、异常进程启停、非法文件创建、恶意代码或者webshell写入等进行实时监控。 - 日志审计:建立一套完善和独立的日志安全分析机制,收集和分析各类系统和软件的日志进行针对性的安全审计,可以帮助防守队从中找到意想不到攻击信息。 - 部署蜜罐:部署蜜罐伪装目标,保护真实目标,可以诱敌深入,持续消耗攻击队的资源和耐心,化被动为主动,从中还能意外收获,捕获0day攻击特征和流量。 - 实时情报:建立实时情报和威胁情报收集体系,很多时候0day特征和攻击信息第一时间不是来自于自身网络攻击流量,而是实时情报的及时收集,根据收集到的特征反向去历史攻击日志或者请求流量中查询。 - 动态防御:部署不依靠特征匹配的动态防御系统,可以抵御99%左右的第一波0day自动化扫描探测攻击,可以防御90%以上的第二波0day手工利用攻击。 策略五:溯源反制 早期的实网攻防防守方只有被动挨打的份,只能进行监控、防御、封锁等措施。随着实网攻防持续的演进溯源反制可以让防守方化被动为主动,转守为攻,可以让防御实力上升一个档次。 以下两种方法可以进行溯源反制:一是通过密诱技术下发获取攻击者社工信息的代码或者监控脚本获取攻击者的身份信息;二是通过渗透技术反向控制攻击者系统权限获取攻击者身份信息。 (编辑:晋中站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
