1.一個著名的勒索攻擊案例
2018年,某大型半導體制造企業突然傳出消息:其營運總部及相關園區電腦遭到勒索病毒——WannaCry大規模入侵,且病毒迅速蔓延至生產線,幾小時內,該企業幾個重要的生產基地全部停擺。僅3天,虧損額就超過了11億,股價蒸發近78億,損失慘重。這場事故將隱藏在現代制造業特點背后的網絡安全隱患曝光在大眾視野中。
勒索病毒攻擊一般始于網絡端口掃描,找到網絡暴露端口的服務器,再利用漏洞進入目標服務器內部。而上述提到的WannaCry就是利用了Windows的SMB協議(文件共享)的漏洞進行傳播的。病毒通過掃描445端口,發現漏洞之后,就能在電腦里執行任意代碼,植入后門程序,然后再進行內網東西向傳播。
究其原因,缺乏基于“零信任”架構的防火墻策略管理,使現如今國內一些仍然依賴人工方式進行防火墻策略管理的企業成為攻擊的重災區。
2.“零信任”下的防火墻策略管理難題
“零信任”是Forrester分析師在2010年提出的一種安全概念,它的核心思想是默認不應該信任網絡內部和外部的任何人/設備/系統,遵循關鍵的零信任原則,即對最小特權訪問的每一步都需要策略檢查。
當我們在執行“零信任”策略“是”的時候,無論是Gartner提出的“五步最佳實踐”,還是NIST白皮書提出的“六項基礎原則”,我們通常最優先需要考慮的,是以下兩條:
消除攻擊面以降低風險頻率
使用細粒度策略的數據保護
基于以上兩條原則,對防火墻運維團隊的策略管理,采取“一勞永逸”的做法是不切實際的。隨著業務需求的不斷變化,應適時調整遠程訪問策略。例如:伴隨新應用程序(或季節性應用程序)的部署,防火墻運維團隊將需要添加新的訪問策略;隨著應用程序不斷變化或業務負責人確定需要粒度更強或限制性更強的策略,訪問策略也可能需要持續更新。防火墻運維團隊要有這樣的觀念,即要始終不斷改進和完善訪問策略,適配組織當前的IT網絡服務需求。
但在持續的策略更新過程中,策略表會越來越臃腫,運行效率也隨之降低,另外,由于是人工添加修改策略,就存在一定的出錯幾率。如遇到重大保障任務和安全生產等需求時,防火墻運維團隊更加需要防火墻策略梳理產品。
3.nCompass防火墻策略可視化平臺
智維數據發布的nCompass防火墻策略可視化平臺(以下簡稱NFM),通過7*24小時采集防火墻前后“全流量+配置”采集分析輸出優化方案。與傳統“日志+配置”采集分析相比,本產品優勢如下:
1、精準度高
通過日志采集到的是已經經過過濾的數據,因此信息并不全面。而全流量采集到的數據是最原始、最全面的數據,因此在精準度方面要比日志采集高很多。
2、防火墻性能零損傷
開啟日志非常影響防火墻性能,而NFM平臺采用旁路部署的方式,利用“全流量+配置”進行采集分析,對防火墻性能沒有任何干擾。
在前面我們討論的防火墻策略“零信任”管理,提到了減少攻擊面以降低風險,下面我們來看看NFM如何通過事前和事中來防范風險。
4.NFM策略梳理風險的事前優化,減少攻擊暴露面
NFM策略梳理包含以下功能場景:
寬泛策略收斂、無效策略刪除、策略數量最小化
歷史的寬泛策略收斂
已下線業務的相關策略回收
無效策略刪除(重復、被包含、未命中、已停用)
誤定義對象查找
NFM策略梳理場景:
NFM平臺會根據策略真實的訪問數據進行觀察分析、調用,用1周或1個月的會話和連接流量表作為數據支撐,驗證策略命中的詳情。
【上圖為demo數據演示】
流量表
在策略梳理界面,對重復、被包含、可合并、停用、沖突策略做出發現,并給出相關收斂建議。
【上圖為demo數據演示】
發現可以合并的策略
自動發現過寬松的弱策略,這種現象是包括允許過多的IP地址、允許過多的服務端口、甚至直接是“any to any”類型的弱策略。這會增加攻擊面的暴露,需要進行收斂。而NFM平臺通過真實生產流量,業務數據配置表相結合的方式進行分析,即可發現用戶真實使用的業務IP和端口,并給出收斂意見。
【上圖為demo數據演示】
自動發現可收斂策略,并給出收斂建議
另一類策略收斂,是對已經下線但沒有提交對應下線工單的業務,此時防火墻上沒有進行刪除。NFM會對比這些策略有無正確命中,命中的時候有無有效載荷payload數據,從而精準發現此類“無業務”的策略,便于運維人員及時處理。
【上圖為demo數據演示】
沒有正常業務交互,建議優化梳理
自動排查“誤定義”策略對象,通過策略的六元組定義規則,和實際策略制定的地址簿名稱、服務名稱、策略名稱等,發生明顯的相悖,可自動發現并給予警告。
【上圖為demo數據演示】
例如,如上圖所示,地址名稱定義的是172.25.14.4/32,但配置的IP并不包含這個地址,即會被“誤定義”告警指出。
最后,NFM平臺會根據防火墻當前梳理的結果,給出周報、月報等分析結果統計,對防火墻策略的問題做出總覽。
【上圖為demo數據演示】
5.異常跨區訪問統計,發現事中威脅
前文我們提到勒索軟件在感染主機后,優先會進行內網的東西向傳播,從而擴大其擴散面,發現并勒索其他重要服務器。
數據中心內部業務區之間的互訪有防火墻隔離,如果存在被這些防火墻阻斷的數據流,這些數據流很可能是非法的嘗試。對異常跨區訪問做統計分析,并提供所有異常的數據流。
【上圖為demo數據演示】
從圖中可以看到,防火墻deny會話突增,意味著違規事件的產生,從而可以追蹤回溯異常源IP,于事中發現威脅。
同時,NFM內置了高危端口表和違規定義表,針對現網的所有防火墻,可以探查是否出現配置高危風險端口或者違規的規則。
【上圖為demo數據演示】
【上圖為demo數據演示】
如圖,NFM可自動發現現網的高危端口。
以“零信任”架構的防火墻策略管理為準則,現在我們可以通過使用智維數據的防火墻策略可視化平臺,對海量防火墻策略進行策略優化,消除隱患策略,加固防火墻策略漏洞,并自動發現高危端口,降低防火墻策略安全管控風險。
