长亭安全观察 黑伞安全 2023-08-16 12:31 发表于北京
攻防大战如火如荼
进入白热化阶段
攻与防之间的对抗此消彼长
谁也不敢松这一口气
不知道大家抵抗住猛烈的攻势了吗?
别担心
长亭来给大家加血了
你的安全由我来守护!
01/ 常态化资产安全管理
[color=rgba(0, 0, 0, 0.9)]资产是安全运营的基础支撑能力,合格的安全管理是建立在对于资产全面且精准掌握的基础之上,动态、周期性的资产监测以及及时的变更预警是非常必要的,保持对于资产部署分析、业务属性及应用上下游关系等清晰的认知,才能够将企业在互联网的暴漏面进行持续收敛。
02/ 得分利器 溯源与反制
在大型攻防演练场景中,通过伪装欺骗系统“主动”部署诱饵,诱敌深入,采集信息达到追踪溯源,最终反制,是可以减少失分获得加分的重要方式。
想要最终捕获到狡猾的攻击者,溯源与反制蜜罐的布设需要花些心思,历经大量攻防实战反制经验,我们努力探寻能够实现攻击反制的终极奥义,整理了一套反制蜜罐的培养策略,希望能够混淆攻击者收集的目标信息,提高捕获攻击者的概率。
03/ 内网威胁猎杀链攻击者突破边界,进入内网后,将会有提权、横向移动等进一步操作,内网威胁需怎样捕获?
在攻防演练场景中,全流量分析、蜜罐和主机安全产品在常见攻击路径的关键节点上均能发挥重要作用,若三者能够联动打通,可以实现“蜜-网-端”全面监测。
自动化体系的搭建,通过将安全设备、日志管理设备等的日志进行汇总分析,并根据业务场景进行分析建模并对行为进行打分,联动防火墙/CDN等边界设备对问题IP进行秒级自动封禁,减轻人工分析成本,将有限的人员的注意力转移到更需要关注处理的事件中并降低响应时间。
05/ 攻击面收敛与网络隔离
通过网络架构评估,明确整体网络安全域划分,梳理域间/域内访问控制关系,评估攻击面及入侵防护情况,最终实现网络隔离及攻击面收敛,则是对抗攻击的有效方式。[color=rgba(0, 0, 0, 0.9)]
06/ 无惧VPN0Day 零信任安全
面对攻击队的VPN0Day攻击,我红军真的束手无策吗,答案当然是NO。
零信任是解决这一问题的绝佳方案。基于零信任思路,我们找到一种只需轻量部署,就可以解决VPN0Day攻击的方法——SDP(软件定义边界)。
SDP在网络级别体现了零信任的原则,它以泛身份为中心,以应用为边界,通过网关和应用的双重隐身,有效保证内部应用的安全的访问,缩小暴露面,拆解了VPN所带来的易被攻陷等一系列问题。
边界安全
SDP网关在互联网上隐身,常用的嗅探、扫描、DDoS攻击对SDP网关无效
链路安全从客户端到网关建立端到端的加密通道
登录安全以密码、动态口令、扫码等多因子交叉认证
应用安全按需为用户建立应用访问的最小通道,每次建立通道动态鉴权,访问结束自动删除通道,缩小内网资源的暴露面
07/ 扩大安全边界的覆盖范围边界防护是重中之重! 总结多年的大型攻防演练攻防经验,我们发现对边界防护的绕过仍大比例存在,同时发现很多防守单位往往只将边界划分在企业网络出入口的范围,向内对通信协议的不同层级没有对应的防护手段,向外对第三方、分子公司没有有效的管控措施,将所有的问题总结如下:
因此,在攻防演练场景下,建议将边界的防护范围扩大,从以下方向逐一优化,筑牢边界防御体系。
实现方式:
08/ 主机黄金甲 捍卫最后一道防线攻防演练实战对抗中,攻击队有很多突破边界防线的奇技淫巧,此时需要主机安产品实现主机层的威胁预防、检测、响应、溯源的自动化安全运营闭环。
以主机安全防护内容对应MITREATT&CK威胁检测模型,可实时识别、分析、预警主机安全威胁。
09/ 利用情报提升威胁感知能力在攻防演练场景,威胁情报可以作用于防护的多个环节。威胁情报的作用多在于与所有防护产品融合带来的能力加成,它与检测阻断类产品如防火墙、IPS、WAF等联动可以提升检测准确率,与蜜罐类产品联动可有效助益对攻击者的溯源与反制,威胁情报的价值在于样本量及准确性,从更高维度的视角打通不同安全产品、不同防护阶段、不同防护位置信息交换的壁垒,掌握单点攻击全网可知的防守主动权。
10/ 安全意识提升组合拳社工、钓鱼、弱口令、随意连WiFi、随意插U盘带来的安全问题,都是可以通过提升安全意识规避的,企业若能打出一套漂亮的安全意识提升组合拳,定可以大大减少因此带来的安全风险。
|