一年一度、如火如荼的網絡安全攻防演習即將拉開大幕。在攻防領域流傳著很多金句,如“未知攻、焉知防”、“說一百遍不如打一遍”、“以攻促防”、“網絡安全的本質在對抗”等等。它們雖表述不同,其核心思想是一致的:即防守隊非常需要攻擊隊視角,從攻擊者角度去站位思考,分析總結攻方會采取的手段和步驟,來反思自身的安全體系、防護弱點,達到“知己知彼、百戰不殆”。
為此,我們推出了實戰攻防演習“以攻促防”連載系列,立足歷年數百場攻防演習中,攻擊隊最慣常使用的手段方法,來進行精準、針對性的堵截防御,實現“無懈可擊”。本篇從偵察角度,看攻防雙方如何進行偵察與反偵察的較量。
偵察 攻擊前的第一步
有部很知名的老電影叫《渡江偵察記》,講述渡江戰役前夕,解放軍派偵察班先遣小隊,渡江去偵察敵情,并獲得一份江防工事圖,探明敵人江防部署。總攻開始后,解放軍萬帆齊發、大炮雷鳴,把敵人沿江工事精準摧毀,保障百萬雄師順利渡江,取得全面勝利。這部電影將偵察的重要性體現的淋漓盡致。
同樣,2007年有部叫做《斯巴達300勇士》的電影,從守方角度體現了對忽視偵察導致的后果。斯巴達王列奧尼達率領300勇士,將波斯數十萬大軍堵在了溫泉關,讓對方寸步難行、傷亡慘重。然而,列奧尼達沒有防范身后的一條小路,最終被一個叛徒引導波斯軍抄小路,繞道進攻后方薄弱環節,導致300勇士腹背受敵、全軍覆沒。
在實戰攻防演習中,作為攻擊活動的初始環節,攻擊者會通過各種手段,搜集目標信息,并選擇薄弱點,如竊取登錄憑證、掃描高危端口等,將其作為主攻方向。具體包括,通過外圍信息收集和多種掃描技術,獲得目標的IP地址、端口、操作系統版本、每個端口運行的服務、存在的漏洞等攻擊必需信息等等。
從攻擊者的視角,偵察獲得的信息越全面,找到薄弱點、突破口的概率就越高。因此,作為防守隊,第一步需要做的事情,不是急迫布防,安裝威脅檢測、邊界安全等產品,而是不要讓敵人偵察到攻擊的突破口,讓他們無隙可乘。
防守隊痛點:未知資產暴露在外 弱口令無處不在
對于防守隊而言,第一個痛點是資產繁多、難以管理,尤其是很多暴露在外的未知資產,一旦被攻方偵察到,失陷基本只是時間問題。
參加實戰攻防演習的政企機構,絕大多數信息化、數字化程度都很高,對外開放的業務應用非常廣泛,導致暴露在整個互聯網上的服務器、設備的端口、協議、應用等非常龐雜和繁多。尤其是因內部管理流程不完善等原因,導致很多未知資產暴露在外。這些未知資產,對于經驗豐富的攻擊隊而言,可以用常規掃描工具輕松偵察到。攻方演習一旦開始,這些未納入統一管理的未知資產,很容易成為率先被攻破的目標。
第二個痛點,屢禁不止的弱口令,防守虛弱的特權賬號等,讓攻擊者屢試不爽。
弱口令是指賬號口令復雜度策略配置較低,或容易被攻擊者獲取的口令,通常有簡單口令、默認口令、空口令、規律性口令、社會工程學弱口令等。由于其口令強度過弱,容易被攻破,堪稱每年實戰攻防演習的十大安全漏洞之首。而實戰中通過弱口令獲得權限的情況占比更是高達70%以上。
同時,因涉及到攻擊者的最終利益,特權賬號往往是攻擊者瞄準的重點攻擊目標。特權賬號由于其分布廣、數量多的特點造成特權賬號梳理難,組織管理員無法全面的掌握特權賬號動態情況。加上僵尸賬號、幽靈賬號、后門賬號、弱口令賬號、長期未改密賬號等風險賬號等廣泛存在,且比較隱蔽,給系統資產帶來很大的安全隱患。
防守方破解之道:做好資產測繪 嚴控賬號風險
讓眾多未知資產暴露在互聯網等公開區域,無異于給攻擊隊若干不設防的攻擊目標,演習中會被處處打穿。為此,奇安信實戰攻防專家建議,防守隊首先要做的第一件事情,就是收縮暴露面,通過技術手段實現對旗下各類資產的統一管理,才能有針對性的防護。
目前,奇安信推出的全球鷹網絡空間測繪——鷹圖平臺,作為實戰攻防前的互聯網空間“偵察機”,將虛擬的網絡空間、地理空間、社會空間相結合,可以探測到域名、服務器、網站、數據庫、應用軟件、網站服務組件、網站框架等各類互聯網資產。鷹圖平臺作為偵查工具,輔助服務人員幫客戶發現未知資產和風險資產,從而形成互聯網資產探測和風險預警服務,為后續的安全加固、防護增強提供支撐,防止在攻防中被攻擊者劫持利用,減少防守丟分。
圖:全球鷹網絡空間測繪——鷹圖平臺
鷹圖平臺的第一個優勢在于域名海量資產。截止5月底,鷹圖平臺的資產總數103億+,獨立IP數5.6億+,域名資產數38億+,ICP備案資產數600萬+。每日資產更新量與IP總數更新量均在千萬級別,已遠超同行。
第二個優勢是查看便捷,可幫助客戶快速掌握資產暴露面全貌。鷹圖平臺從攻擊者視角出發,清晰便捷全面查看企業暴露在互聯網上的資產概況、資產分類、問題資產等資產全貌,還可以查看暴露IP詳情、證書詳情等。
第三個優勢是速度更快,資產更新追求與業務同步。鷹圖平臺基于“零拷貝”發包技術和“無狀態掃描”技術,可幫助客戶快速掃描到網絡存活資產,縮短資產更新與業務同步的時間差。目前國內高頻端口最快4天更新,海外高頻端口最快10天更新,避免業務上線很久、資產還沒梳理出來的“空窗期”。
防守隊做的第二件事情,是定期修改弱口令,關閉高危端口,銷毀閑置的虛擬機等。
隨著資產日益增加,應用系統瘋狂增長,應用系統類型日益復雜,對特權賬號管理要求越來越高,特權賬號口令的管理成為新的挑戰。對此,奇安信推出了特權賬號管理系統(特權衛士、即PAM),它以保障特權賬號安全為核心,能夠主動發現各類基礎設施資源的賬號分布、識別賬號風險(包括弱口令、僵尸賬號、幽靈賬號、長期未改密賬號,賬號違規提權等)、管理賬號使用,實現對各類基礎設施資源賬號的全生命周期管理,幫助客戶提升賬號安全的主動防御能力,降低因賬號口令泄漏或被非法利用而造成的防守目標失陷問題。
圍繞攻防演習前,奇安信為客戶提供了部署和使用特權衛士的三步流程:
客戶提前部署特權衛士,第一步為錄入特權賬號,實施賬號掃描,通過收集客戶資產信息,每臺資產錄入最關鍵的特權賬號(Root\Admin等類型)存儲在PAM密碼保險箱之中;實施賬號掃描,發現幽靈賬號,杜絕從外部竊取賬號口令。
第二步是風險臺賬梳理,專項整治弱口令。具體通過賬號發現數據,梳理風險賬號臺賬;錄入企業內部專屬的弱密碼集合,實施系統弱密碼掃描專項,并且一鍵改密,防止攻擊方利用竊取到的口令實施內網橫向移動。
圖:風險賬號臺賬與弱密碼檢測專項
第三步為標準管理策略,動態分配權限。通過賬號改密和統一策略管理,回收賬號權限,解決權限的濫用;無縫聯動奇安信堡壘機,閉環賬號全生命周期管理,杜絕利用賬號的違規操作。
備戰實戰攻防 奇安信在行動
目前,奇安信安服團隊已經為2022年實戰攻防演習啟動相關工作,在收斂暴露面方面,主要通過全球鷹網絡空間測繪平臺,對客戶側產品對外暴露控制臺等情況進行排查并通知進行收斂。而在保護特權賬號、控制弱口令風險方面,奇安信安服聯合數據安全團隊,啟動了賬號口令專項檢測行動,在實戰攻防演習之前,依托特權衛士等守護好客戶數據資產的賬號大門。
