保護好企業的網絡資產,做好防護工作,這日益成為了企業管理層重要的任務。企業和機構在這個方面投入了大量的資源和精力,部署了充分的軟硬件措施。但由於缺乏黑樣本數據、不同業務場景用同一套防護手段等原因,導致企業的安全防護體系的效果並不理想。
- 萬豪國際集團公布其酒店數據泄露事件,涉及約5億客人的個人信息和開房記錄。
- 一款名為VPNFilter的惡意軟件感染了Linksys,MikroTik,Netgear和TP-Link等廠商的路由器,影響范圍覆蓋全球54個國家,超過50萬台路由器和網絡設備。
- 安全人員發現開源搜索引擎Elasticsearch,至少有3個IP由於配置錯誤,可未授權訪問,約8200萬美國公民的個人信息被暴露。
- ...
2018年CNNVD公布的漏洞數量為14,866個,年增長率約為19.6%。在面對復雜的網絡狀況中,企業如何比黑客更先一步發現自身最脆弱環節呢?如何知己知彼看清資產的風險點呢?下面,給大家介紹下兩種防護手段。
1、滲透測試
滲透測試,是通過模擬黑客攻擊行為,評估企業網絡資產的狀況。通過滲透測試,企業及機構可以了解自身全部的網絡資產狀態,可以從攻擊角度發現系統存在的隱性安全漏洞和網絡風險,有助於進一步企業構建網絡安全防護體系。滲透測試結束后,企業還可以了解自身網絡系統有無合法合規、遵從相關安全條例。滲透測試作為一種全新的安全防護手段,讓安全防護從被動轉換成主動,正被越來越多企業及機構認可。
在滲透測試前,安全團隊需得到企業及機構的授權,才可以開始。同時,需要與企業溝通及確定攻擊目標、范圍(內網or外網)、規則(時長、能深入到哪個程度)等。以上確定后,便開始滲透,主要分為以下幾個步驟:
- 信息收集:收集攻擊目標相關信息,如IP、網段、端口、域名、操作系統、應用信息、服務器類型、防護信息等。
- 發現漏洞:收集以上信息后,使用相應的漏洞進行檢測,如系統有無及時打補丁、服務器配置有無錯誤、有無出現開發漏洞等。再對目標漏洞進行探測、分析、制定相應的攻擊路徑。
- 漏洞利用:對漏洞發動攻擊,獲得最高權限,取得敏感信息。
入侵結束后,需要清除入侵痕跡,並將整理滲透過程中資產信息、漏洞信息、運用工具等信息,最終形成報告,匯報給甲方。
2、紅藍隊對抗
滲透測試是每個企業防護基礎工作之一,但這緊緊代表企業網絡系統正合法合規的運行着。然而企業的業務場景是動態變化的,黑客的攻擊手法、0day漏洞更是層出不窮,企業的網絡防護系統能否對此進行及時的應急響應呢?
企業及機構面臨的挑戰:
- 0day漏洞(升級漏洞組件、加waf規則等)
- 代碼、框架層的業務漏洞
- DDos攻擊、APT攻擊等復雜多樣的攻擊
紅藍隊對抗便是針對此方面的測試。紅藍隊對抗是以藍隊模擬真實攻擊,紅隊負責防御(與國外剛好相反),最終的結果是攻防雙方都會有進步。紅藍隊對抗能挖掘出滲透測試中所沒注意到風險點,並且能持續對抗,不斷提升企業系統的安全防御能力。
因內部技術人員對自身網絡狀況比較了解,所以一般紅藍隊對抗會選用內部企業人員。
紅藍對抗例子-拉新紅隊薅羊毛(來源於阿里安全)
在模擬攻擊過程中,為了盡可能全面測試整個企業的網絡系統,藍隊攻擊手法會顯得更復雜,而攻擊路徑的覆蓋率更高。藍隊通過黑客視角,自動化的發起大規模、海量節點的實戰攻擊,以便測試紅隊在各個業務場景的應急響應能力。
紅藍隊對抗與滲透測試都是模擬黑客攻擊,但有以下的不同點:
- 時間:在滲透測試中會制定明確的時間點完成(通常是兩星期),而紅藍隊對抗並無明確時間,兩星期或半年都可以。
- 技術:紅藍隊對抗不單止需要滲透技術,還需要懂得機器學習、自動化等技術。
- 過程:滲透測試過程是有條不絮的進行。而紅隊攻擊過程中不會全面收集企業資產,也不會進行大規模漏洞掃描。紅隊攻擊的策略主要是依據藍隊防護策略、工具等,擁有不定性。
- 輸出:紅藍隊對抗后會出現清晰的脆弱點、攻擊路徑及解決方案。
- 目的:滲透測試是為了了解自身網絡資產是否存在風險點;而紅藍隊對抗更對是了解自身網絡資產能否在遭受攻擊后能迅速進行應急響應。
- 關注點:紅藍隊對抗更專注的是應用層上的漏洞,而不是信息技術上的漏洞。
總結
滲透測試和紅藍隊對抗都是企業或機構最重要的防護手段,其結果都是為了應對當前不斷增加的安全漏洞及復雜多樣的網絡攻擊。只有企業不斷經過滲透測試和紅藍對抗,形成漏洞閉環,才能構建強有力的安全防御體系。