通过攻击看透安全开发、运维与防御
攻击方式的多种多样,致使防御手段逐渐多元化。就拿木马举例,各种形式的木马产生,变相丰富了web安全狗、360安全卫士、火绒、windowsdefander、卡巴斯基等病毒专杀工具。本文从攻击的角度,解析了该如何有效地防御入侵型网络攻击。
攻击方式的多种多样,致使防御手段逐渐多元化。就拿木马举例,各种形式的木马产生,变相丰富了web安全狗、360安全卫士、火绒、windowsdefander、卡巴斯基等病毒专杀工具。本文从攻击的角度,解析了该如何有效地防御入侵型网络攻击。
攻防发展剖析
首先,先来剖析传统互联网的信息安全防御体系。传统互联网大多数通过TCP/IP 协议进行通信,而TCP/IP协议分为4层,目前大多数防御手段出现在应用层,对于数据链路层的监听,目前还没有效的防御手段,只能从tcp流量来分析有嫌疑的IP。
应用层的攻击,主要通过端口相对的服务进行,服务要对外进行通讯,必须通过开放端口进行,而一旦端口开放到互联网,就相当于告诉全世界的人,我家在墙上开了一扇窗户,如果其他人知道你家有贵重的资产,就有可能通过有漏洞的窗户进入你家,从而对你家进行破坏、盗窃、甚至是长期对你进行监听。所以定期梳理自己网络资产开放端口及对应相关服务极其重要。
应用层的防御是相对攻击进行的,主要的手段就是入侵检测,日志审计,入侵抵御。入侵检测可以采用流量防火墙的方式,检测到异常畸形包流量发出告警,接着日志审计系统通过审计日志信息锁定漏洞出现点,入侵抵御自动清除留存的木马及后门代码。
数据链路层的攻击,主要通过路由器,交换机,DNS服务器等常见的数据链路传输设备进行。最常见的就是ddos攻击,也是最难防御的,通过发送大量syn,icmp,udp的畸形包,使得dns等转发设备处理大量畸形报文,使得处理正常报文时间大量增加,造成报文堵塞,延迟增加,严重影响及时通信。数据链路层攻击还可以对dns或者路由器及交换机进行监听劫持,进而把流量转发到攻击者搭建的dns服务器上,进行长期的数据链路层流量监听。
数据链路层的防御也是相对攻击进行,缓解ddos攻击最有效的手段就是设置大带宽转发负载均衡服务器,及异地容灾服务器,一旦一地遭受了ddos攻击,立即启用异地的备用服务器接收大量的流量。数据链路层针对设备劫持的防御手段主要就是定期检查dns服务器、路由、交换机等数据链路转发设备,及时排查不明流量的服务及数据链路通信的内容解析。
红蓝对抗的攻与防即是博弈,通过红蓝对抗深刻认识攻和防的不足,达到以防御增加攻击力度,以攻击看透防御弱点。
红蓝对抗剖析
红队作为攻击方,一开始就是以突破防御的目的为主。这种突破外部防御进入内网的方法叫做打点,通俗地说,就是依靠现有攻击手段突破对方外网防御,利用攻破的系统设备作为流量转发跳板机,能跟内网设备资产进行通信,进而攻击内网其他设备系统。
红队进攻的主要方向和手段,在下图清晰展示出红队团队力量的攻击优势。
红队的攻击依靠信息收集进行,信息收集到的cms框架指纹越多,收集到的端口服务越多,服务及框架存在漏洞的可能越大,这也给红队从不同角度攻击目标提供了无限的可能。
通过信息收集可以发现一些git/svn的源码泄漏,有可能获取到数据库等关键账号密码信息,登录账号密码加密方法等。在下图清晰展示出红队所需要收集的内容。
很多时候,系统都是从内部信息泄漏开始攻破的。在目前大力推广云厂商上云部署及零信任环境下,信息安全中的系统安全问题就显得格外突出。在云厂商部署系统的条件下,本身就无法满足零信任环境。把自己的系统和数据交给一个自己无法把控系统安全的云厂商,本身环境就不存在零信任。云厂商平时云维护过程中必然会接触到你的数据和通过他网络节点的流量,再加上云厂商运维安全环境的严重不足,使得你的资产跟其他公司资产可以在云厂商云内网之间互相访问,这就导致网络安全风险的大批量增加。
就拿亚马逊云、谷歌云等举例,这些不管是esc云厂商还是saas云厂商,为了用户部署方便,都会提供通过api密钥等形式进行系统化上云部署。这就导致一旦该部署系统或该运维系统保存了相关密钥,在红队攻击下拿下了该系统,那么这些密钥就可以控制全部资产,继而影响供应链环节中的运维公司和雇主公司的资产安全。
下图展示了密钥泄漏导致的全部资产控制截图,可以看出,一旦云厂商的密钥泄漏,危害有多大。
红队的漏洞挖掘,可以从以下几个方面进行。
通过挖掘应用层系统及服务的漏洞,从而攻入目标系统,达到信息获取,长期监控的目的。
权限获取的目的是以拿下的系统作为跳板机,通过内网穿透的方式攻击内网其他系统,通过维持权限,长期控制跳板机,维持内网访问权限。
内网穿透主要通过各种穿透软件或者协议进行,可以利用nps、frp、ew等穿透工具进行内网访问,或者通过ssh端口代理的方式通过ssh协议进行数据转发和通信。
内网扫描是红队战果扩展最重要的环节,蓝队一般会在内网架设IDS和IPS进行网络监听,提前发现告警及抵御异常流量攻击。红队的绕过方式也是五花八门,可以通过伪装成正常访问的tcp流量进行单个IP端口扫描,跳过内网中存在的IDS和IPS的IP,防止扫描流量被防护设备截获。
蓝队要达到反制的效果,需要在内网放置蜜罐,通过蜜罐来收集攻击者的画像,有些蜜罐可以通过jsonp跨域漏洞来获取正在登录中的攻击者的其他网络账号,从而通过社工库锁定攻击者。有些蜜罐也可以放置假的数据库连接来引导攻击者连接数据库,进而向攻击者植入木马,通过木马对攻击者进行反制。
一般的大型内网都有以下这几部分组成。
在内网横向环节中如果要从办公网横向到内网,那就必须要经过公司主干路由,一般公司主干路由都是三层核心路由交换防火墙,具有三层防火墙的功能,能够对发起的恶意攻击进行一定的识别。
红队在横向探测时首先会探测拿到的网络是否属于内网,如果是属于内网,不会进行大规模内网扫描,只会针对存活探测做进一步单个IP信息收集。这时候蓝方可以根据自有IP资产开放端口进行统计,挖掘出薄弱容易被攻陷的系统,部署上蜜罐,等待红方入套,进而做进一步反制。
大型企业都会做SDL建设。下面为SDL建设的一般流程。
每一个安全测试小环节组成一个大的安全生产体系建设。整个企业生产围绕安全进行,弃用不可信代码,反复测试上线代码bug及漏洞。这些都能从源头上缓解红队的内网攻击态势。
下面讲讲工控安全生产信息安全防御体系。工控设备通过大部分私有协议进行通信,不同的厂商可能会有不同的协议,下面是一些常见的工控协议。
工控安全除了从协议本身的安全性出发进行测试之外,还需要对连接的传统互联网网络进行安全性测试。工业生产网的一些数据需要上传到传统互联网的大数据分析平台进行系统化展示。虽然在传统互联网和工控网络之间架设了网闸,但上位机安全措施必须做到位,一旦上位机在内网中沦陷,可能会导致整个工控网络设备沦陷。
红队在针对工控网络进行渗透的时候,一般都会获取上位机和SCADA服务器网络信息。拿到上位机和SCADA服务器相当于控制了目标工控网络。
工控网络控制层级
在管理工控网络的时候需要注意以下几个工控安全措施:
-弱口令定期排查,排查弱口令可以防止攻击者通过弱口令进入上位机或其他内网资产
-上位机登录凭证不保存,上位机登录凭证在人员操作停止一定时间后,需要再次输入凭证进行登录操作,防止攻击者通过上位机凭证操控工控网络。
-启用冗灾备用措施,在工控网络主控制器发生宕机或者主控制器等工控网络设备出现漏洞时,能及时使用冗灾备用措施,及时解决宕机问题和漏洞修复问题。
-设置登录上位机专用服务器,定期检查是否有其他服务器登录上位机,如果存在其他服务器登录上位机问题,就需要排查是否内网存在攻击者。
-工控网络控制器端口不暴露在外部网络,一些攻击者可以通过重复发包漏洞或者身份认证绕过漏洞对暴露在外的工控网络控制器端口服务进行攻击。
-上位机不暴露在公网,最好设置上位机只允许一台服务器访问,这样上位机出现问题可以及时进行排查溯源。
不同的工业厂商存在不同的业务,也存在不同的系统,红队在攻击对应的业务系统时可以针对不同的业务系统进行攻击,大部分工控网络都会存在帆软等工控数据报表制作展示系统,可以针对帆软提前做漏洞挖掘准备。
目前对于工控网络层级的安全防御体系,主要围绕三位一体进行建设,三位一体安全体系架构以保障企业生产业务为根本,依靠安全技术、安全服务、安全管理三大体系,满足工控安全全生命周期安全需求。三大体系组成工控安全防御体系,使得工控网络与世隔绝,变成铜墙铁壁。
总的来说,不管是传统网络还是工控网络,安全防御方面始终是薄弱项,攻击无处不在,只是有的攻击就像癌症一样,起初的症状并不明显,一旦症状明显,显示出文件异常或者文件丢失,配置被更改或者删除,那对传统网络或者是工控网络将是致命的打击。
来源:木链科技
原文链接:https://36kr.com/p/1817053645009795
