基于攻防演練的檢測防御體系建設(shè)思考

01

當(dāng)前攻防態(tài)勢

在目前實(shí)戰(zhàn)型攻防演練日益常態(tài)化的的趨勢下，攻擊方與防守方互相博弈。攻擊方的攻擊手段和技術(shù)更加多樣化，從傳統(tǒng)的以滲透測試為主的邊界突破轉(zhuǎn)向了釣魚郵件、供應(yīng)鏈攻擊、安全設(shè)備0Day漏洞挖掘等更加豐富的入侵手段同時攻擊行為也更加隱蔽，內(nèi)存馬、隱秘隧道、加密通信流量等技術(shù)在其攻擊過程中也普遍應(yīng)用。因此防守方的檢測防御技術(shù)也要針對性的從多個維度進(jìn)行提升來應(yīng)對不斷進(jìn)步的攻擊技術(shù)。

02

暴露面梳理

攻擊方在實(shí)戰(zhàn)中只要實(shí)現(xiàn)單點(diǎn)突破即可，作為防守方則要從全局出發(fā)對各邊界暴露面和重要的內(nèi)部區(qū)域建立相應(yīng)的監(jiān)控防護(hù)手段，因此對資產(chǎn)進(jìn)行全面排查和梳理十分重要，是開展檢測、防御工作的前提和根本。

首先防守方要基于現(xiàn)有的各類資產(chǎn)管理平臺進(jìn)行梳理，明確需要重點(diǎn)防護(hù)的互聯(lián)網(wǎng)邊界、三方邊界、重要內(nèi)部系統(tǒng)等所在區(qū)域及其涉及的相關(guān)資產(chǎn)，并確認(rèn)其是否部署了有效的安全監(jiān)控防護(hù)措施，同時還需與對應(yīng)平臺建立信息同步機(jī)制以保障資產(chǎn)變更時，與其對應(yīng)的安全防護(hù)策略也可以第一時間進(jìn)行調(diào)整，以保障安全防護(hù)的有效性。

另外在實(shí)際中企業(yè)涉及到的業(yè)務(wù)系統(tǒng)、應(yīng)用系統(tǒng)多種多樣，僅通過資產(chǎn)平臺對其梳理往往會出現(xiàn)遺漏。因此還要從攻擊方的視角來進(jìn)行資產(chǎn)收集，使用攻擊者常用的子域名爆破、ip地址段掃描、三方網(wǎng)絡(luò)空間策略工具搜索等技術(shù)手法來對安全資產(chǎn)管理機(jī)制進(jìn)行補(bǔ)充和完善。通過上述機(jī)制來及時發(fā)現(xiàn)基于資產(chǎn)平臺梳理所遺漏未知資產(chǎn)、無人認(rèn)領(lǐng)的資產(chǎn)、以及未徹底下線的老舊系統(tǒng)對其進(jìn)行針對性的安全監(jiān)控，來減少安全監(jiān)控的死角。同時還可對暴露的邊界資產(chǎn)周期性的進(jìn)行統(tǒng)一監(jiān)控和輕量級的風(fēng)險探查以期來發(fā)現(xiàn)更多對外風(fēng)險，對發(fā)現(xiàn)的風(fēng)險點(diǎn)進(jìn)行及時加固，進(jìn)而使對外風(fēng)險點(diǎn)逐步進(jìn)行收斂。

03

多層次的檢測防御體系

針對日益多樣化的攻擊方式和更加隱蔽的攻擊手法，也要建立多維度多層次的檢測防御體系進(jìn)行應(yīng)對。在檢測層面要通過采集多維度海量的邊界區(qū)域網(wǎng)絡(luò)全流量日志，各類應(yīng)用服務(wù)器的操作日志、安全設(shè)備告警日志等多樣化的日志數(shù)據(jù)，將其以標(biāo)準(zhǔn)化的形式存儲到集中的數(shù)據(jù)處理平臺，并建立對應(yīng)的檢測模型和檢測規(guī)則在網(wǎng)絡(luò)流量和主機(jī)應(yīng)用層面進(jìn)行威脅自動化挖掘和關(guān)聯(lián)分析，并在內(nèi)外網(wǎng)絡(luò)中以不同的監(jiān)控視角為切入點(diǎn)進(jìn)行制定有針對性的監(jiān)控策略。

在互聯(lián)網(wǎng)等邊界網(wǎng)絡(luò)區(qū)域，要以安全攻擊監(jiān)控分析為重點(diǎn)。邊界區(qū)域的各類應(yīng)用為攻擊方最直觀的攻擊入口，其通常會嘗試各種攻擊手段嘗試進(jìn)行邊界突破獲得內(nèi)網(wǎng)的攻擊入口，因此針對邊界應(yīng)對各類安全攻擊進(jìn)行精準(zhǔn)的分類分級，建立合理的分析、處置措施，來過濾大量無效掃描流量，定位真正有風(fēng)險的安全攻擊，并對其攻擊結(jié)果，攻擊造成的影響第一時間進(jìn)行響應(yīng)和處置。

在內(nèi)部網(wǎng)絡(luò)區(qū)域，要以異常行為感知為監(jiān)控分析的重點(diǎn)。攻擊方通過邊界突破、職場社工、釣魚郵件等方式獲得內(nèi)網(wǎng)權(quán)限后，通常都會以各類加密流量為基礎(chǔ)建立持續(xù)隱蔽的通信隧道，因此通過常規(guī)的安全監(jiān)控手段無法對其進(jìn)行有效的檢測和發(fā)現(xiàn)，但攻擊方會以此為入口進(jìn)一步探測內(nèi)網(wǎng)資產(chǎn)、獲取內(nèi)部數(shù)據(jù)來進(jìn)行范圍更廣的內(nèi)部橫向移動。因此內(nèi)部安全監(jiān)控要以異常發(fā)現(xiàn)為重點(diǎn)，基于內(nèi)部各類主機(jī)、應(yīng)用、蜜罐等的數(shù)據(jù)來制定針對性監(jiān)控策略及時發(fā)現(xiàn)安全風(fēng)險并進(jìn)行分析和處置。

在防御層面應(yīng)將WAF（web應(yīng)用防火墻）、流量分析檢測系統(tǒng)、威脅情報系統(tǒng)、防火墻等各類設(shè)備和系統(tǒng)進(jìn)行聯(lián)動。將分析檢測系統(tǒng)發(fā)現(xiàn)的威脅結(jié)合情報系統(tǒng)以及其他維度的數(shù)據(jù)進(jìn)行分析和風(fēng)險評分。將達(dá)到一定分值的告警源IP下發(fā)至防火墻和WAF等設(shè)備進(jìn)行自動化封堵，及時對惡意的攻擊行為進(jìn)行攔截阻斷，通過自動化的攔截處置措施，來降低人力監(jiān)控的成本，提高安全監(jiān)控的效率。

此外還可以通過部署一定數(shù)量的互聯(lián)網(wǎng)蜜罐，采取以蜜罐為基礎(chǔ)的主動防御手段。通過蜜罐來捕獲攻擊方惡意攻擊行為，通過對攻擊行為進(jìn)行深入分析來發(fā)現(xiàn)攻擊者的攻擊意圖、其所使用攻擊手法和攻擊技術(shù)。將獲取到的攻擊信息與自身防御體系結(jié)合，進(jìn)行更加精準(zhǔn)和高效的防御。

04

常態(tài)化的安全態(tài)勢監(jiān)控

從實(shí)際來看攻防對抗是一個持續(xù)動態(tài)的過程，攻擊者的手段在不斷變化，攻擊方法和工具也在不斷更新。通過一套固定的方法來解決所有的安全檢測與防護(hù)問題并不現(xiàn)實(shí)。因此要常態(tài)化持續(xù)性的對安全態(tài)勢進(jìn)行監(jiān)控，與多方人員進(jìn)行協(xié)同運(yùn)營，共同維護(hù)和優(yōu)化檢測防御體系。

一方面要通過平時安全監(jiān)控、事件處置中不斷總結(jié)經(jīng)驗(yàn)和技巧，建立一個快速高效的事件協(xié)同處置機(jī)制，持續(xù)根據(jù)最新的攻擊態(tài)勢進(jìn)行優(yōu)化，這樣來應(yīng)對各類型的保障和挑戰(zhàn)。另一方面則需要持續(xù)總結(jié)日常安全監(jiān)控用到的技術(shù)方法，將其落地成標(biāo)準(zhǔn)化的技術(shù)文檔和分析工具，將防御手段流程化、標(biāo)準(zhǔn)化可以進(jìn)一步提升安全事件檢測處置效率，同時還可以最大限度的避免因人員流動造成的技術(shù)下滑等問題。

攻防的對抗無時無刻不在進(jìn)行，安全防護(hù)工作也不容停歇。體系化的檢測防御體系需要一步一步做起，本文對其進(jìn)行了總結(jié)供大家參考，希望在在實(shí)際建設(shè)對大家有所幫助，在安全檢測和防護(hù)體系的建設(shè)過程中共同探索和成長。

審核編輯 ：李倩