因利制權(quán),從孫子兵法看主機安全的攻防藝術(shù)
網(wǎng)絡(luò)安全的本質(zhì)是攻防對抗,是一場戰(zhàn)爭。虛擬的網(wǎng)絡(luò)安全與現(xiàn)實的國土安全,在攻防對抗上是一樣的。有攻防,就有敵我;有敵我,就有動機、有謀略、有戰(zhàn)術(shù)。被奉為“兵學(xué)圣典”的我國古代軍事哲學(xué)大作《孫子兵法》,對當(dāng)前的網(wǎng)絡(luò)信息安全戰(zhàn)爭,也有著劃時代的指導(dǎo)意義。
網(wǎng)絡(luò)安全的攻防已經(jīng)呈常態(tài)化。無論是日常的安全監(jiān)測,還是實戰(zhàn)化的攻防演練,在網(wǎng)絡(luò)各處,攻防戰(zhàn)爭隨處可見。攻防雙方摩拳擦掌,嚴(yán)陣以待。對攻方來說,蟄伏暗處、攻其不備,隨時出擊,偶爾還來個0day大招讓守方防不勝防;對守方來說,眼觀六路、耳聽八方,追堵圍截,十八般武藝各顯神通。道高一尺、魔高一丈的較量,從未間斷。
主機,最后的防線,最重要的戰(zhàn)場
從整個攻防行動來看,主機,是最后一道防線,也是最重要的戰(zhàn)場。這是排兵布陣、攻防作戰(zhàn)、突襲埋伏、殺敵對抗等活動的直接發(fā)生地,也是攻方最終的目標(biāo)所在。守住主機,則守住了生機,還能扭轉(zhuǎn)形勢,伺機反撲;主機失陷,則目標(biāo)被推,全線崩潰。
當(dāng)前,攻防形勢已經(jīng)發(fā)生了劇烈的變化,傳統(tǒng)的網(wǎng)絡(luò)攻防已向高級攻防對抗轉(zhuǎn)變,不再是邊界一道墻就能固守金湯了。攻擊者繞開邊界、網(wǎng)絡(luò)、云側(cè)的防御手段,直指主機要害。
如何保全守住主機這個最后的戰(zhàn)場呢?
從攻擊者的角度來看,可以將最終目標(biāo)分解成一個個的小目標(biāo),將入侵行為分解成一個個獨立的入侵行為,每一個入侵行為基本都由“探測-入侵-實施”三個階段組成。
--探測,攻擊者在攻打目標(biāo)之前,需要對網(wǎng)絡(luò)進行前期的探測。通過主動探測或被動探測,搜集關(guān)于目標(biāo)組織及其資產(chǎn)的信息,找到系統(tǒng)的脆弱點,這也是進攻的突破口。
--入侵,攻擊者進入目標(biāo)的過程,常見的有網(wǎng)絡(luò)安全漏洞、暴力破解、社工等手法。在這一眾入侵方式中,最著名的當(dāng)屬0day漏洞。從最近的網(wǎng)絡(luò)攻擊來看,0day漏洞讓無數(shù)安全防御產(chǎn)品失效。手握0day漏洞,基本就是指哪打哪,無往不利。
--實施,是黑客進入目標(biāo)后進行的一系列操作,攻擊者在這個階段可以進行很多種破壞行為,比如植入后門、本地提權(quán)、獲取敏感文件、橫向移動等。攻擊者要在此收集更多的數(shù)據(jù),以獲得更高的權(quán)限。這也是影響面最大的階段,
實施完成,獲得更高的權(quán)限后,便開始進攻下一個小目標(biāo),開始新一輪的探測。
通過“收集數(shù)據(jù)-獲得權(quán)限-收集更多數(shù)據(jù)-獲得更高權(quán)限”這樣的螺旋式迭代更新,攻擊者得以不斷深入系統(tǒng)內(nèi)部,最終抵達(dá)目標(biāo)主機。
勢者,因利而制權(quán)也
面對螺旋式的迭代進攻,可以從多個節(jié)點去觀測,在發(fā)現(xiàn)異常時及時阻斷入侵鏈條。杰思安全將古代兵法智慧與現(xiàn)代安全防御理論相結(jié)合,融入新一代主機安全產(chǎn)品,強調(diào)因利制權(quán)。
勢者,因利而制權(quán)也,即善于抓住瞬息萬變的有利時機,而采取一系列靈活機動的應(yīng)變措施。
杰思旗下的新一代主機安全響應(yīng)系統(tǒng),杰思獵鷹通過對“操作系統(tǒng)持續(xù)地檢測與響應(yīng)”,借助EDR、CWPP、自適應(yīng)微隔離、深度溯源等創(chuàng)新主機安全技術(shù),有效防御0day漏洞、無文件攻擊等未知威脅。
通過操作系統(tǒng)定點監(jiān)控和行為動態(tài)跟蹤,對主機安全環(huán)境進行持續(xù)檢測,尋找攻擊可能進行的跡象,結(jié)合意圖、上下文、活動序列等,及時察覺主機異動;
發(fā)現(xiàn)主動異動的第一時間,實時告警,并進行智能威脅響應(yīng),實現(xiàn)操作系統(tǒng)級立體不間斷的響應(yīng)處置;
自適應(yīng)、細(xì)粒度微隔離策略,關(guān)聯(lián)工作負(fù)載,可實現(xiàn)基于主機的最小化控制;
深度溯源,能還原攻擊發(fā)生的時間、地點、影響范圍等各個細(xì)節(jié),鎖定威脅源頭,為調(diào)查取證提供詳實的數(shù)據(jù);
針對重大項目的安保,提供專家駐場等服務(wù),形成天時地利人和的縱深防御。
通過一系列多方位的檢測與響應(yīng),全面覆蓋ATT&CK攻擊框架各階段的核心關(guān)鍵攻擊指標(biāo),尤其是在初始訪問、執(zhí)行、持久化、提權(quán)、防御規(guī)避、橫向移動等階段,幫助用戶因利制權(quán),創(chuàng)造優(yōu)勢,進而全面掌控主機安全,獲得攻防戰(zhàn)爭的主動權(quán)。
