一年一度、如火如荼的網(wǎng)絡(luò)安全攻防演習(xí)即將拉開大幕。在攻防領(lǐng)域流傳著很多金句,如“未知攻、焉知防”、“說一百遍不如打一遍”、“以攻促防”、“網(wǎng)絡(luò)安全的本質(zhì)在對抗”等等。它們雖表述不同,其核心思想是一致的:即防守隊非常需要攻擊隊視角,從攻擊者角度去站位思考,分析總結(jié)攻方會采取的手段和步驟,來反思自身的安全體系、防護(hù)弱點(diǎn),達(dá)到“知己知彼、百戰(zhàn)不殆”。
為此,我們推出了實戰(zhàn)攻防演習(xí)“以攻促防”連載系列,立足歷年數(shù)百場攻防演習(xí)中,攻擊隊最慣常使用的手段方法,來進(jìn)行精準(zhǔn)、針對性的堵截防御,實現(xiàn)“無懈可擊”。本篇從偵察角度,看攻防雙方如何進(jìn)行偵察與反偵察的較量。
偵察 攻擊前的第一步
有部很知名的老電影叫《渡江偵察記》,講述渡江戰(zhàn)役前夕,解放軍派偵察班先遣小隊,渡江去偵察敵情,并獲得一份江防工事圖,探明敵人江防部署。總攻開始后,解放軍萬帆齊發(fā)、大炮雷鳴,把敵人沿江工事精準(zhǔn)摧毀,保障百萬雄師順利渡江,取得全面勝利。這部電影將偵察的重要性體現(xiàn)的淋漓盡致。
同樣,2007年有部叫做《斯巴達(dá)300勇士》的電影,從守方角度體現(xiàn)了對忽視偵察導(dǎo)致的后果。斯巴達(dá)王列奧尼達(dá)率領(lǐng)300勇士,將波斯數(shù)十萬大軍堵在了溫泉關(guān),讓對方寸步難行、傷亡慘重。然而,列奧尼達(dá)沒有防范身后的一條小路,最終被一個叛徒引導(dǎo)波斯軍抄小路,繞道進(jìn)攻后方薄弱環(huán)節(jié),導(dǎo)致300勇士腹背受敵、全軍覆沒。
在實戰(zhàn)攻防演習(xí)中,作為攻擊活動的初始環(huán)節(jié),攻擊者會通過各種手段,搜集目標(biāo)信息,并選擇薄弱點(diǎn),如竊取登錄憑證、掃描高危端口等,將其作為主攻方向。具體包括,通過外圍信息收集和多種掃描技術(shù),獲得目標(biāo)的IP地址、端口、操作系統(tǒng)版本、每個端口運(yùn)行的服務(wù)、存在的漏洞等攻擊必需信息等等。
從攻擊者的視角,偵察獲得的信息越全面,找到薄弱點(diǎn)、突破口的概率就越高。因此,作為防守隊,第一步需要做的事情,不是急迫布防,安裝威脅檢測、邊界安全等產(chǎn)品,而是不要讓敵人偵察到攻擊的突破口,讓他們無隙可乘。
防守隊痛點(diǎn):未知資產(chǎn)暴露在外 弱口令無處不在
對于防守隊而言,第一個痛點(diǎn)是資產(chǎn)繁多、難以管理,尤其是很多暴露在外的未知資產(chǎn),一旦被攻方偵察到,失陷基本只是時間問題。
參加實戰(zhàn)攻防演習(xí)的政企機(jī)構(gòu),絕大多數(shù)信息化、數(shù)字化程度都很高,對外開放的業(yè)務(wù)應(yīng)用非常廣泛,導(dǎo)致暴露在整個互聯(lián)網(wǎng)上的服務(wù)器、設(shè)備的端口、協(xié)議、應(yīng)用等非常龐雜和繁多。尤其是因內(nèi)部管理流程不完善等原因,導(dǎo)致很多未知資產(chǎn)暴露在外。這些未知資產(chǎn),對于經(jīng)驗豐富的攻擊隊而言,可以用常規(guī)掃描工具輕松偵察到。攻方演習(xí)一旦開始,這些未納入統(tǒng)一管理的未知資產(chǎn),很容易成為率先被攻破的目標(biāo)。
第二個痛點(diǎn),屢禁不止的弱口令,防守虛弱的特權(quán)賬號等,讓攻擊者屢試不爽。
弱口令是指賬號口令復(fù)雜度策略配置較低,或容易被攻擊者獲取的口令,通常有簡單口令、默認(rèn)口令、空口令、規(guī)律性口令、社會工程學(xué)弱口令等。由于其口令強(qiáng)度過弱,容易被攻破,堪稱每年實戰(zhàn)攻防演習(xí)的十大安全漏洞之首。而實戰(zhàn)中通過弱口令獲得權(quán)限的情況占比更是高達(dá)70%以上。
同時,因涉及到攻擊者的最終利益,特權(quán)賬號往往是攻擊者瞄準(zhǔn)的重點(diǎn)攻擊目標(biāo)。特權(quán)賬號由于其分布廣、數(shù)量多的特點(diǎn)造成特權(quán)賬號梳理難,組織管理員無法全面的掌握特權(quán)賬號動態(tài)情況。加上僵尸賬號、幽靈賬號、后門賬號、弱口令賬號、長期未改密賬號等風(fēng)險賬號等廣泛存在,且比較隱蔽,給系統(tǒng)資產(chǎn)帶來很大的安全隱患。
防守方破解之道:做好資產(chǎn)測繪 嚴(yán)控賬號風(fēng)險
讓眾多未知資產(chǎn)暴露在互聯(lián)網(wǎng)等公開區(qū)域,無異于給攻擊隊若干不設(shè)防的攻擊目標(biāo),演習(xí)中會被處處打穿。為此,奇安信實戰(zhàn)攻防專家建議,防守隊首先要做的第一件事情,就是收縮暴露面,通過技術(shù)手段實現(xiàn)對旗下各類資產(chǎn)的統(tǒng)一管理,才能有針對性的防護(hù)。
目前,奇安信推出的全球鷹網(wǎng)絡(luò)空間測繪——鷹圖平臺,作為實戰(zhàn)攻防前的互聯(lián)網(wǎng)空間“偵察機(jī)”,將虛擬的網(wǎng)絡(luò)空間、地理空間、社會空間相結(jié)合,可以探測到域名、服務(wù)器、網(wǎng)站、數(shù)據(jù)庫、應(yīng)用軟件、網(wǎng)站服務(wù)組件、網(wǎng)站框架等各類互聯(lián)網(wǎng)資產(chǎn)。鷹圖平臺作為偵查工具,輔助服務(wù)人員幫客戶發(fā)現(xiàn)未知資產(chǎn)和風(fēng)險資產(chǎn),從而形成互聯(lián)網(wǎng)資產(chǎn)探測和風(fēng)險預(yù)警服務(wù),為后續(xù)的安全加固、防護(hù)增強(qiáng)提供支撐,防止在攻防中被攻擊者劫持利用,減少防守丟分。
圖:全球鷹網(wǎng)絡(luò)空間測繪——鷹圖平臺
鷹圖平臺的第一個優(yōu)勢在于域名海量資產(chǎn)。截止5月底,鷹圖平臺的資產(chǎn)總數(shù)103億+,獨(dú)立IP數(shù)5.6億+,域名資產(chǎn)數(shù)38億+,ICP備案資產(chǎn)數(shù)600萬+。每日資產(chǎn)更新量與IP總數(shù)更新量均在千萬級別,已遠(yuǎn)超同行。
第二個優(yōu)勢是查看便捷,可幫助客戶快速掌握資產(chǎn)暴露面全貌。鷹圖平臺從攻擊者視角出發(fā),清晰便捷全面查看企業(yè)暴露在互聯(lián)網(wǎng)上的資產(chǎn)概況、資產(chǎn)分類、問題資產(chǎn)等資產(chǎn)全貌,還可以查看暴露IP詳情、證書詳情等。
第三個優(yōu)勢是速度更快,資產(chǎn)更新追求與業(yè)務(wù)同步。鷹圖平臺基于“零拷貝”發(fā)包技術(shù)和“無狀態(tài)掃描”技術(shù),可幫助客戶快速掃描到網(wǎng)絡(luò)存活資產(chǎn),縮短資產(chǎn)更新與業(yè)務(wù)同步的時間差。目前國內(nèi)高頻端口最快4天更新,海外高頻端口最快10天更新,避免業(yè)務(wù)上線很久、資產(chǎn)還沒梳理出來的“空窗期”。
防守隊做的第二件事情,是定期修改弱口令,關(guān)閉高危端口,銷毀閑置的虛擬機(jī)等。
隨著資產(chǎn)日益增加,應(yīng)用系統(tǒng)瘋狂增長,應(yīng)用系統(tǒng)類型日益復(fù)雜,對特權(quán)賬號管理要求越來越高,特權(quán)賬號口令的管理成為新的挑戰(zhàn)。對此,奇安信推出了特權(quán)賬號管理系統(tǒng)(特權(quán)衛(wèi)士、即PAM),它以保障特權(quán)賬號安全為核心,能夠主動發(fā)現(xiàn)各類基礎(chǔ)設(shè)施資源的賬號分布、識別賬號風(fēng)險(包括弱口令、僵尸賬號、幽靈賬號、長期未改密賬號,賬號違規(guī)提權(quán)等)、管理賬號使用,實現(xiàn)對各類基礎(chǔ)設(shè)施資源賬號的全生命周期管理,幫助客戶提升賬號安全的主動防御能力,降低因賬號口令泄漏或被非法利用而造成的防守目標(biāo)失陷問題。
圍繞攻防演習(xí)前,奇安信為客戶提供了部署和使用特權(quán)衛(wèi)士的三步流程:
客戶提前部署特權(quán)衛(wèi)士,第一步為錄入特權(quán)賬號,實施賬號掃描,通過收集客戶資產(chǎn)信息,每臺資產(chǎn)錄入最關(guān)鍵的特權(quán)賬號(Root\Admin等類型)存儲在PAM密碼保險箱之中;實施賬號掃描,發(fā)現(xiàn)幽靈賬號,杜絕從外部竊取賬號口令。
第二步是風(fēng)險臺賬梳理,專項整治弱口令。具體通過賬號發(fā)現(xiàn)數(shù)據(jù),梳理風(fēng)險賬號臺賬;錄入企業(yè)內(nèi)部專屬的弱密碼集合,實施系統(tǒng)弱密碼掃描專項,并且一鍵改密,防止攻擊方利用竊取到的口令實施內(nèi)網(wǎng)橫向移動。
圖:風(fēng)險賬號臺賬與弱密碼檢測專項
第三步為標(biāo)準(zhǔn)管理策略,動態(tài)分配權(quán)限。通過賬號改密和統(tǒng)一策略管理,回收賬號權(quán)限,解決權(quán)限的濫用;無縫聯(lián)動奇安信堡壘機(jī),閉環(huán)賬號全生命周期管理,杜絕利用賬號的違規(guī)操作。
備戰(zhàn)實戰(zhàn)攻防 奇安信在行動
目前,奇安信安服團(tuán)隊已經(jīng)為2022年實戰(zhàn)攻防演習(xí)啟動相關(guān)工作,在收斂暴露面方面,主要通過全球鷹網(wǎng)絡(luò)空間測繪平臺,對客戶側(cè)產(chǎn)品對外暴露控制臺等情況進(jìn)行排查并通知進(jìn)行收斂。而在保護(hù)特權(quán)賬號、控制弱口令風(fēng)險方面,奇安信安服聯(lián)合數(shù)據(jù)安全團(tuán)隊,啟動了賬號口令專項檢測行動,在實戰(zhàn)攻防演習(xí)之前,依托特權(quán)衛(wèi)士等守護(hù)好客戶數(shù)據(jù)資產(chǎn)的賬號大門。
