您的位置:首页 > 互联网

瑞数信息防护“三板斧”,如何有效提升攻防演练能力?

发布时间:2021-03-29 00:00:00  来源:互联网     背景:

  实战攻防演练是检阅政企机构安全防护和应急处置能力的有效手段之一。每年举行的国家级实战攻防演练,聚集了国内多支顶尖攻击团队,在攻击手段和强度上远远超过日常安全检查,防守方都面临着非常严峻的考验。

  今年网络攻防演练专项行动在即,相信不少的企业和机构早已开始了准备。那么,如何高效应对网络安全实战攻防演练?与之前相比,今年的网络攻防演练又会出现哪些新特点呢?

  一、从合规到实战,攻防演练呈现五大趋势

  由于目前网络空间态势复杂,如何在攻防对抗环境中具备实战能力,已成为所有行业和政企机构网络安全建设的重要目标。

  瑞数信息首席安全顾问周浩表示,从2016-2020年的攻防演练实践看,无论从演练规模还是攻击技术上看,都在不断升级演进升级。

  例如:2016年,攻击方法以传统应用系统攻击为主,攻击手段相对单一;但到了2020年,攻击范围进一步扩大,自动化攻击、武器化攻击越来越多,大批量0day在演练中使用,并且攻击范围也扩展到了安全设备自身,各种高级实战的攻击手段也有所使用。

  从去年攻防演练的实战情况,可以看到攻防演练已呈现五大攻击趋势:

   攻击手法一:自动化攻击、武器化攻击越加明显

  在攻防演练中,红队会对开源工具、泄漏工具、定制工具等进行整合,构建自己的武器库。通过武器库可快速高效的对各类0day、Nday漏洞进行探测利用,在攻击过程中还可对特征识别、IP封锁等防护措施进行突破。

  除了漏洞探测利用工具外,红队还会利用动态加密Webshell来穿透WAF防护,进行权限维持和跳板搭建,如哥斯拉、冰蝎等Webshell采用动态加密方式,通信过程无稳定可识别的特征,碾压市面上所有基于特征匹配的传统WAF。对于蓝队基于规则的防护而言,实则是一种降维打击。

   攻击手法二:人员和管理漏洞探测

  除了攻击应用漏洞之外,红队还会探测蓝队在人员和管理上的漏洞,如:弱口令、网络遗漏备份文件等,尤其是VPN、邮箱、管理平台等系统,已经成为重点攻击对象。

   攻击手法三:多源低频攻击

  攻防演练中,封IP是最主要的防护手段之一。实战过程中,红队会通过分布在全国各地的IP代理发起攻击,这些IP地址可能来自机房,也可能来自家庭宽带、手机基站等。贸然对这些IP进行封堵,可能会造成业务不可用,甚至达到防火墙IP黑名单的数量上限。

   攻击手法四:社工钓鱼

  社工钓鱼在实战中的应用越来越广泛。红队会从人的角度下手,给相应的员工、外包人员发钓鱼邮件,搭建钓鱼用的WIFI热点,甚至雇人混入蓝队,插U盘、中木马等等。

   攻击手法五:0day攻击成为常态

  在攻防演练中,0day攻击已成为常态,由于0day漏洞能够穿透现有基于规则的防护技术,被视为红队最为有效的手段之一。2020年攻防演练中,出现了上百个0day漏洞,这些漏洞中大部分和暴露在互联网上的Web应用相关,直接威胁到核心系统的安全。

  总体而言,在实战化、高级化、常态化的攻击趋势下,攻防演练的力度将空前加大。鉴于今年建党100周年等重大活动众多,境外恶势力攻击将更加激烈,各类重保活动的时间也会持续拉长。

  二、从人防到技防,瑞数信息“三板斧”构建实战能力

  攻易守难,安全工作者在攻防演练中往往要承受巨大的压力。由于蓝队处于被动,当发现攻击事件、溯源攻击时,整体已经处于滞后状态,所以在攻防演练中,蓝队需要投入大量精力做防守,甚至是7*24小时的人工值守,处于非常态化的安全运营中。

  那么,是否能够通过一些技术手段来降低蓝队安全人员的工作量,并达到很好的防护效果呢?瑞数信息首席安全顾问周浩认为,要做到从“人防”到“技防”,可以从攻击的三个阶段入手:

   第一阶段:自动化攻击、信息收集

  在攻击前期,红队的重点在于以自动化攻击、信息收集为主,如:资产探测、已知漏洞探测;利用工具发起批量攻击;弱口令嗅探、路径遍历、批量POC等。

   第二阶段:手工攻击、多源低频、重点突破

  信息收集后,红队会转向重点系统攻击,通过人工分析漏洞,发起定向打击,同时对现有安全措施进行突破。

   第三阶段:横向移动、核心渗透

  在红队获得一定权限后,会对权限进行提升,并搭建代理跳板,横向移动,对核心系统靶标进行渗透。拿下靶标时,意味着红队的胜利。

  针对以上三个阶段,周浩建议,蓝方可以通过瑞数信息“三板斧”模式,采用三种不同的防护手段,来做相应的阻拦。

   板斧一:拦工具。通过对工具类的探测利用进行拦截,降低红方攻击效率。

  为了弥补特征识别的缺陷,对于工具的防护可以根据攻击工具自身的特点,采用“分级分层、按需对抗”的策略。针对不同级别的工具,采用相应的识别拦截手段:

  实现效果:

  通用漏扫防护方面,瑞数信息能够提供漏洞隐藏功能,将所有的高危、中危漏洞、网页目录结构做隐藏,让红方扫描器得不到任何有价值的信息。

  0day防护方面,通过瑞数信息独有的动态验证、封装、混淆、令牌四大动态安全技术,能够实现不基于规则的防护。从0day漏洞利用工具请求的固有属性出发,只要识别到是工具行为,那么就可以直接对0day攻击进行阻断,从而实现对业务的动态保护。

  插件扫描和被动漏扫防护方面,基于瑞数信息特有的“动态安全”技术,能够通过敏感信息隐藏、针对扫描器做重放性检测、动态挑战等方式来进行防护,摆脱传统封禁IP的繁琐,让红方无法获取有价值的信息。

  密码破解方面,通过准确的人机识别技术,可不依赖频率阈值的情况下对密码破解攻击进行拦截,可实现首次破解即被拦截的效果。

  同时,瑞数信息还可以通过指纹溯源关联的形式,对整个攻击团伙做攻击画像,精确定位攻击者身份,对攻击者设备指纹直接做封杀。

   板斧二:扰人工。对人工渗透行为进行迷惑干扰,提升红方分析难度。

  随着对抗的升级,基于规则和特征的传统安全设备防护效率将越来越低。对于人工攻击,不妨换个思路,从干扰攻击行为的角度出发进行防护。

  作为动态安全技术的代表厂商,瑞数信息拥有多种动态干扰功能:web代码混淆、JS混淆、前端反调试、Cookie混淆、中间人检测等,能够不基于任何特征、规则的方式进行有效防护。

  例如:瑞数信息可以将URL动态变化成乱码,隐藏链接地址,攻击者无法通过分析代码,定位攻击入口;可以通过高强度、动态混淆机制,保证前端JS代码不被泄露;可以通过干扰攻击者调试分析,防止通过浏览器开发者工具对网站进行调试分析,获取业务流程、接口;可以将Cookie内容动态变化成乱码,防止攻击者拦截Cookie,伪造交易报文,进行中间人攻击等等。

   板斧三:断跳板。对红方webshell等跳板工具进行阻断。

  Webshell可以说是内网穿透利器,只要开放web服务,就有可能被利用搭建代理进行内网穿透。

  目前,Webshell主要分为两类:一类是传统型,具备明显的通讯特征;另一类是动态加密型,能够隐藏攻击特征,很难防御。

  对于动态加密类的webshell,如:哥斯拉Godzilla、冰蝎等,同样可以采用瑞数信息的“动态安全”技术,通过令牌等方式判定为非法访问,并直接进行阻断,而不依赖于攻击特征的识别。

  总体而言,瑞数信息彻底转换了传统防护的思路,通过独特的动态安全技术,以多维度“分级分层”的对抗策略,让自动化工具和攻击者无法轻易发现攻击入口,大幅提升攻击难度与成本。同时,通过对终端环境和设备指纹的多维度画像,可以有效识别各类恶意自动化工具,并能实时追踪通过大量跳板隐藏攻击来源的恶意终端。

  对于蓝队而言,基于瑞数信息的动态防护体系,能够有效实现从“人防”到“技防”。无论在攻防演练还是日常运维中,都能将安全人员从安全对抗和值守中释放出来。

  三、从被动到主动,瑞数信息推出“重保神器”

  在如今严峻的网络安全形势下,动态防护、主动防御已经成为安全建设的趋势。面对花样百出的攻击手段,未知的安全威胁,瑞数信息已推出多项安全产品,覆盖Web、移动App、H5、API及IoT应用,从应用防护到业务透视,建立了从动态防御到持续对抗的防护体系。

  针对攻防演练、重大活动保障这样的特殊场景,瑞数信息也相应推出了“重大活动动态安全保障”、“网站护盾”等解决方案,助力政企机构防护方更高效、灵活地应对复杂攻击。

  目前,瑞数动态安全防护系统已应用在政府、金融、能源、运营商等多个行业中,被众多行业客户防守方作为“重保神器”。从2016到2020年,瑞数信息参与了上百家单位的攻防演练防守工作,瑞数动态安全防护系统对攻击工具的防护能力,大大提高了攻击门槛,让攻击队的信息收集、漏洞扫描、0day探测等无法发起,从而得到了客户的高度认可。

  据《2020网络安全行业研究白皮书》显示,某政务服务网站尽管已部署了传统安全防御产品,但系统仍经常被攻击,网页无法打开,投诉量持续增加。在紧急上线瑞数动态安全产品后,60小时内,即识别并拦截了近4500万次异常访问请求,异常请求占到向该网站发起的总请求数的78%。深入分析后发现,大多数爬虫攻击工具都采用多源低频的方式,通过更换大量IP来规避传统安全检测机制,使得溯源难度加大,传统手段失效。而瑞数信息运用“动态安全”技术进行人机识别,批量防爬虫,具备独特优势。

  可以看到,基于瑞数信息的动态安全技术和“重保神器”解决方案,能够有效帮助攻防演练的防守方开展实战工作,提升用户网络安全防御能力,真正实现从人防到技防,从被动到主动。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页

本文评论
2019“科学探索奖”颁奖典礼在京举行,50位获奖青年科学家集体亮相
11月2日,2019年“科学探索奖”颁奖典礼在北京隆重举行,奖励来自9大领域的50位获奖青年......
日期:11-03
贝壳找房召开新居住大会 以数字化重塑居住产业互联网
4月23日, 以“预见新居住 共建新经纪”为主题的2019贝壳新居住大会在北京召开。50多位来......
日期:04-24
数字中国虎符网络安全赛道完美收官 开创PK系统和安全赛事双里程碑
国内首个基于双系统(Wintel+PK)的2020数字中国创新大赛-虎符网络安全赛道,从3月到10月,历经8月之久......
日期:10-14
第二届“强网”拟态防御国际精英挑战赛即将开赛
近日,国内外近30支精英白帽战队齐聚南京,第二届“强网”拟态防御国际精英挑战赛将于201......
日期:05-06
第十届中国卫星导航年会——(CSNC2019)开始注册啦!
第十届中国卫星导航年会将于2019年5月22日至25日在中国北京召开,欢迎各界人士参加此次会议。现将有......
日期:03-27
同比增长数十倍,魔动高速抢占千亿换电市场
近两年,伴随着即时物流行业的高速发展,配送员群体不断壮大。为了解决二轮车电源续航问题,国内换......
日期:08-27
效率与美感的融合:ThinkVision智能会议大屏实测
在人们已经习惯了智能化的生活便利性、移动互联网时代成长的千禧一代进入职场的背景下,“枯燥......
日期:03-11
曙光“液冷方案”获2019“金鼎奖” 建行、工行青睐液冷数据中心
2020年1月9日,2019中国国际金融展“金鼎奖”获奖名单公布。曙光凭借为中国建设银行总行......
日期:01-10
后会无期?苏宁:双十一狮晚“博君一笑”哦
江湖再见,后会无期。 一剧《陈情令》火遍大江南北,也让肖战、王一博两位超颜值小鲜肉人......
日期:11-04
新款iPhone,越看越好看,等良心价
时间进入下半年之后,很多用户都在期待手机厂商推出新一代的产品,而最令人关注的自然是苹果即将在9......
日期:07-29
腾讯优图再次刷新三大ReID公开数据集纪录,首位命中率最高近99%
近日,腾讯优图实验室在行人重识别(ReID)技术上再次取得突破,通过引入跨场景ReID,其ReID模型性能......
日期:04-24
国行Switch迎来高光时刻 《健身环大冒险》京东现货首发仅499元
前几天在微博上有网友爆料称,国行《健身环大冒险》正在工厂加急组装中,而距离9月3日0点,京东现货......
日期:09-02
武汉市红十字会收捐赠服务费?百度辟谣:假的!
随着新型肺炎事态逐步升级,社会各界人士、企业纷纷伸出援助之手,为武汉捐赠医疗物资,共抗疫情。......
日期:01-27
Epic Games 高管 “怒喷”苹果、谷歌:阻碍创新
Epic Games 首席执行官 Tim Sweeney 在周五的采访中对苹果和谷歌各自的应用商店政策进行了谴责,称......
日期:07-25
贝壳找房启动D轮融资 腾讯领投
近日,技术驱动的“新居住”服务平台——贝壳找房接棒链家,启动D轮融资。本轮......
日期:03-25
AI手写、语音降低输入难度,百度输入法让老年人打字不费劲
当移动互联网的发展为年轻人的生活带来诸多便利时,却不知不觉间将很多不会上网、不会使用智能手机......
日期:02-05
什么样的策略才能成就一款爆款的休闲游戏?
5月23日,由Mintegral、Google AdMob、Avid.ly联合举办的“打造爆款休闲游戏的全方位攻略&middo......
日期:06-05
腾讯教育与英特尔达成全方位战略合作 共建智能教育应用平台
12月4日,在首届MEET教育科技创新峰会期间,腾讯教育与英特尔签署战略合作协议。未来,双方将以&ldq......
日期:12-05
一加 Buds 真无线蓝牙耳机上架京东商城:499 元
7月27日消息 一加 7 月 21 日在海外发布了旗下第一款真无线耳机:一加 Buds 。目前一加 OnePlus Bud......
日期:07-27
2019年中国投影仪行业报告,黑马当贝投影横空出世!
导读:国际知名研究机构IDC近日公布的《IDC 2019年第四季度中国投影机市场跟踪报告》显示,2019年中国......
日期:03-25