攻防演练的终极目标在于检验企事业单位关键信息基础设施的安全防护能力,发掘自身防御优势及短板,因此攻防演练复盘是提升安全能力的关键环节。
与之前相比,今年的攻防演练在规则制定、攻击规模、攻击手段等方面出现了哪些新特点?这些新变化对企事业单位的安全能力建设提出了哪些要求?
瑞数信息多年深耕bots自动化攻击技术和动态安全技术,已连续数年参与国家级攻防演练,帮助众多企事业单位提升防守竞争力。此次瑞数信息专家通过对比分析历届攻防演练情况,对企事业单位构建实战化的安全体系给出了相应建议。
2022攻防演练新变化:四大攻击趋势凸显
网络安全攻防演练,是对全国企事业单位网络安全的一次大练兵。攻防演练自2016年开展以来,规模越来越大,红队攻击手段越来越高级,攻防对抗水平逐年提升。特别是今年对数据安全和供应链安全的要求提到新高度,使得攻防演练更加贴近实战,对企事业单位拥有常态化的安全能力提出了更高的要求。
攻击趋势
瑞数信息安全专家周浩表示,除常规化的攻击方式外,今年攻防演练呈现以下攻击趋势:
1.0day攻击量大,出现新手段
0day依然是攻防演练中被红队视为最有效的手段之一。传统规则型防护手段无法匹配0day攻击特征,同时配合上自动化攻击平台,可以快速地对安全设备之后的目标进行攻击。
值得注意的是,今年0day攻击还出现了新方式,即利用0day谣言对蓝方的下一步动作进行探测和利用。红方通过散布0day谣言或发布假的0day漏洞补丁,使防守单位下线一些防护设备,或者给防护设备打0day漏洞补丁,进而找到系统薄弱点实现木马植入。
2.社工钓鱼,攻击数量翻多倍
社工钓鱼在实战中的应用越来越广泛,今年的攻防演练中社工钓鱼数量成倍增长。由于今年蓝队普遍加强了安全防御能力,因此红队从人的角度下手,给相应的运维管理员、高层人员发钓鱼邮件进行投毒,以获得系统管理权限。
3.加强供应链攻击,侧面突破
供应链攻击是一种新兴的攻击方式,以供应链企业为跳板,对最终用户进行攻击。由于企业普遍重视自身的防御能力,但并不清楚供应链上下游的安全水位,因此今年红队普遍加强了供应链攻击。当获取到供应链企业的某些访问权限后,红队就会进行深入的渗透,例如源代码分析、0day挖掘、补丁污染等等,进而攻击最终的用户。
4.API攻击加剧,成为攻击优先入口
通过API发起的业务逻辑攻击越来越多,相比传统的Web攻击,这类攻击多是模拟正常的业务调用,没有明显的攻击特征,识别起来难度很大。一方面,API承载了很多重要的业务,传输着大量敏感数据;另一方面,很多蓝队单位对自身API资产情况并不掌握,API漏洞、僵尸API的存在为红队敞开了大门。这也加剧了API的风险。
瑞数信息应对建议:让企业安全从合规走向实战
攻防演练中蓝队被攻破的过程,其实也暴露了企事业单位在日常安全建设和运营中存在的问题。面对不断升级的攻击手段,企业应当采用什么样的安全思路和方式来应对实战中的攻击?瑞数信息安全专家陆攀通过攻防演练实践总结,给出了如下应对建议。
针对0day攻击
针对0day攻击,目前并没有100%的有效防护手段,但可以从一定程度上进行缓解。企业不能再依靠传统WAF规则和特征进行防护,而是应从0day漏洞利用过程中的固有属性出发,通过动态安全技术,摆脱对规则特征的依赖,对0day利用工具的行为直接进行阻断。
瑞数信息作为动态安全技术的首创者,在攻防演练中已实时拦截近百个0day漏洞:
· 在0day爆发初期,攻击者会利用漏洞探测工具进行大范围的攻击探测,通过瑞数动态防护技术可以有效识别工具发起的请求,进而可以对这些0day攻击进行拦截;
· 在0day爆发中期,攻击者开始针对重要系统进行人工定向的攻击,通过瑞数动态干扰技术,例如web代码混淆、JS混淆、前端反调试、cookie混淆、中间人检测等,让攻击者无从下手。
· 在0day爆发后期,补丁已经基本升级完毕,漏洞已经被修复,这个阶段需要重点关注是否存在已经被上传的webshell,通过瑞数动态令牌等技术可对webshell的访问进行阻断。
针对API攻击
企业可以从四个方面对API进行安全防护:
资产管理,梳理API接口,对API进行分类分权管理;
缺陷识别,对API自身的缺陷进行识别,早于攻击者发现其中的隐患;
攻击防护,首先对于存在明显特征的传统Web攻击进行识别,然后通过UEBA、机器学习等手段,对于异常API访问进行识别;
敏感数据管控,对通过API接口传输的敏感数据进行检测,并依据预先设定的策略进行数据脱敏、拦截。
攻击处置,基于多维度监控API接口的访问控制,及时发现阻断异常访问行为。
建设纵深防御体系
瑞数信息安全专家陆攀表示,单点防护早已失效,建设纵深防御体系将是企业安全必经之路,其建设思路大致可遵如下路径和原则:
攻击面收敛,可通过敏感信息排查、攻击路径梳理、互联网访问路径梳理等方式收敛攻击面,降低被渗透攻击风险。
全方位防护,从边界防护,到分区分域,到主机防护,再到全局监控、态势感知,建立一条从内到外、由点到面的全方位防护体系。
联防联控,与监管单位、安全部门、兄弟单位建立联动机制,在威胁情报、事件处置、技术支撑等方面资源共享,最大化的发挥各部门优势,进行联防联控。
打造常态化安全能力
除了体系化的安全建设,陆攀也指出,攻防演练中体现的安全能力需要常态化,才能真正让企业安全从合规走向实战。
从“人防”转向“人防+技防”的主动防御策略。为了避免传统安全依赖规则和人力的防护方式,瑞数信息动态安全技术能够通过人技结合,实现更主动和有效的防护,从而降低企业安全运维负担,让企业安全运维人员不再疲于奔命、亡羊补牢。
企业应提升安全重视程度,提高安全预算投入;定期对企业内部进行安全培训,提升全员安全意识;基于小团队进行内部红蓝对抗演练,实时完善应急响应流程等。
建立一支稳定高效安全团队,将安全运营常态化,避免战时突击,闲时放羊。
结语
“安全”体现的是一个企业的综合能力,并不是由堆砌安全设备组成。在安全常态化、实战化的今天,企业更需要转变防守思路,构建真正意义上的主动纵深防御体系。瑞数信息基于历次重大活动安全保障任务的考验和累积,其领先的动态安全技术和重保方案,全面体现了“整体防御、协同联防;主动防护、内外兼防;动态防御、主动免疫;纵深防御、技管并重”的防护特点,获得了来自各方的认可与肯定。未来,瑞数信息还将持续助力企业基于“人防+技防”做好常态化安全运营,助力全行业构建实战化的安全能力。