基于攻防演练的检测防御体系建设思考
当前攻防态势
在目前实战型攻防演练日益常态化的的趋势下,攻击方与防守方互相博弈。攻击方的攻击手段和技术更加多样化,从传统的以渗透测试为主的边界突破转向了钓鱼邮件、供应链攻击、安全设备0Day漏洞挖掘等更加丰富的入侵手段同时攻击行为也更加隐蔽,内存马、隐秘隧道、加密通信流量等技术在其攻击过程中也普遍应用。因此防守方的检测防御技术也要针对性的从多个维度进行提升来应对不断进步的攻击技术。
暴露面梳理
攻击方在实战中只要实现单点突破即可,作为防守方则要从全局出发对各边界暴露面和重要的内部区域建立相应的监控防护手段,因此对资产进行全面排查和梳理十分重要,是开展检测、防御工作的前提和根本。
首先防守方要基于现有的各类资产管理平台进行梳理,明确需要重点防护的互联网边界、三方边界、重要内部系统等所在区域及其涉及的相关资产,并确认其是否部署了有效的安全监控防护措施,同时还需与对应平台建立信息同步机制以保障资产变更时,与其对应的安全防护策略也可以第一时间进行调整,以保障安全防护的有效性。
另外在实际中企业涉及到的业务系统、应用系统多种多样,仅通过资产平台对其梳理往往会出现遗漏。因此还要从攻击方的视角来进行资产收集,使用攻击者常用的子域名爆破、ip地址段扫描、三方网络空间策略工具搜索等技术手法来对安全资产管理机制进行补充和完善。通过上述机制来及时发现基于资产平台梳理所遗漏未知资产、无人认领的资产、以及未彻底下线的老旧系统对其进行针对性的安全监控,来减少安全监控的死角。同时还可对暴露的边界资产周期性的进行统一监控和轻量级的风险探查以期来发现更多对外风险,对发现的风险点进行及时加固,进而使对外风险点逐步进行收敛。
多层次的检测防御体系
针对日益多样化的攻击方式和更加隐蔽的攻击手法,也要建立多维度多层次的检测防御体系进行应对。在检测层面要通过采集多维度海量的边界区域网络全流量日志,各类应用服务器的操作日志、安全设备告警日志等多样化的日志数据,将其以标准化的形式存储到集中的数据处理平台,并建立对应的检测模型和检测规则在网络流量和主机应用层面进行威胁自动化挖掘和关联分析,并在内外网络中以不同的监控视角为切入点进行制定有针对性的监控策略。
在互联网等边界网络区域,要以安全攻击监控分析为重点。边界区域的各类应用为攻击方最直观的攻击入口,其通常会尝试各种攻击手段尝试进行边界突破获得内网的攻击入口,因此针对边界应对各类安全攻击进行精准的分类分级,建立合理的分析、处置措施,来过滤大量无效扫描流量,定位真正有风险的安全攻击,并对其攻击结果,攻击造成的影响第一时间进行响应和处置。
在内部网络区域,要以异常行为感知为监控分析的重点。攻击方通过边界突破、职场社工、钓鱼邮件等方式获得内网权限后,通常都会以各类加密流量为基础建立持续隐蔽的通信隧道,因此通过常规的安全监控手段无法对其进行有效的检测和发现,但攻击方会以此为入口进一步探测内网资产、获取内部数据来进行范围更广的内部横向移动。因此内部安全监控要以异常发现为重点,基于内部各类主机、应用、蜜罐等的数据来制定针对性监控策略及时发现安全风险并进行分析和处置。
在防御层面应将WAF(web应用防火墙)、流量分析检测系统、威胁情报系统、防火墙等各类设备和系统进行联动。将分析检测系统发现的威胁结合情报系统以及其他维度的数据进行分析和风险评分。将达到一定分值的告警源IP下发至防火墙和WAF等设备进行自动化封堵,及时对恶意的攻击行为进行拦截阻断,通过自动化的拦截处置措施,来降低人力监控的成本,提高安全监控的效率。
此外还可以通过部署一定数量的互联网蜜罐,采取以蜜罐为基础的主动防御手段。通过蜜罐来捕获攻击方恶意攻击行为,通过对攻击行为进行深入分析来发现攻击者的攻击意图、其所使用攻击手法和攻击技术。将获取到的攻击信息与自身防御体系结合,进行更加精准和高效的防御。
常态化的安全态势监控
从实际来看攻防对抗是一个持续动态的过程,攻击者的手段在不断变化,攻击方法和工具也在不断更新。通过一套固定的方法来解决所有的安全检测与防护问题并不现实。因此要常态化持续性的对安全态势进行监控,与多方人员进行协同运营,共同维护和优化检测防御体系。
一方面要通过平时安全监控、事件处置中不断总结经验和技巧,建立一个快速高效的事件协同处置机制,持续根据最新的攻击态势进行优化,这样来应对各类型的保障和挑战。另一方面则需要持续总结日常安全监控用到的技术方法,将其落地成标准化的技术文档和分析工具,将防御手段流程化、标准化可以进一步提升安全事件检测处置效率,同时还可以最大限度的避免因人员流动造成的技术下滑等问题。
攻防的对抗无时无刻不在进行,安全防护工作也不容停歇。体系化的检测防御体系需要一步一步做起,本文对其进行了总结供大家参考,希望在在实际建设对大家有所帮助,在安全检测和防护体系的建设过程中共同探索和成长。
