=Start=
缘由:
上个月参加的乌云峰会,第一天的企业场中有几个议题挺赞的(「入侵对抗体系建设漫谈」就是其中之一),不过当时内容较多,也一直没来得及回顾和总结,这几天刚好有时间,对着给出的PDF文件再整理一下思路,如果有不对的地方,还请不吝指正。
正文:
1.风险分析
&
通过资产信息统计分析可能存在的安全风险,通过红蓝对抗的方式统计可被发现/利用的安全风险,根据外部事件统计已被发现/利用的安全风险。
2.聚焦业务场景
每个公司/业务线都会有各自的侧重点,不同的侧重点意味着使用不同的技术栈/基础软件,对于攻击者而言也就意味着不同的攻击手法,对于防御者而言也就意味着不同的防御策略(不同的防御策略需要的资源和产生的效果并不一样,需要根据业务特点进行组合使用)。因为攻击的方法千千万万,封堵同一个安全风险的防御方法往往不止一种,如何选择性价比最高的手段是甲方安全从业者需要权衡的[选择在不同的维度做防御]。
3.工程化项目运作
在企业里面做安全不(应该)像脚本小子那样:来了一个安全问题,随手写几行代码就算完事了;而应该以做产品的思路来进行运作整个项目,并且「将安全产品化,提高的不仅仅是工作效率」。在运作项目时,需要考虑风险和收益(进行必要性论证,风险考量),不要贪多,而要专精,以解决问题为最终目的。
4.根据数据进行运营、迭代
更快更准更全的风险数据运营能在对抗开始占得先机
充分利用数据运营;不断进化
5.发现并解决盲点
根据上面的「入侵检测成熟度模型」,一个成熟的入侵检测系统在「资产数据覆盖、传感器部署覆盖」上应该要达到或接近100%的覆盖率(嵌入新系统模板;强制老系统安装),否则,就无法保证对存在的问题或风险进行全面分析、评估。
更多参考链接:
=END=
《 “关于「入侵对抗体系建设漫谈」的思考” 》 有 30 条评论
六面防护:教你如何打造一套深度防御体系 #比较简单,不过有时候也会有些作用的
http://mp.weixin.qq.com/s/S-85DdWYqpZu77Z6tc8r5A
攻击溯源的价值到底在哪里?
http://mp.weixin.qq.com/s?__biz=MjM5Njc3NjM4MA==&mid=2651070936&idx=3&sn=fdcd04bef48513a8fb734d71e644299f
俄罗斯间谍是如何入侵雅虎的
http://mp.weixin.qq.com/s?__biz=MjM5Njc3NjM4MA==&mid=2651070936&idx=1&sn=4e46c730427fb68617cdbc6bc2b60ab2
DJ的札记
http://chuansong.me/account/DJ_notes
威胁防御水平的四个阶段
https://mp.weixin.qq.com/s?__biz=MzAwNjA3MzEwNg==&mid=208930699&idx=1&sn=0b8f9fea966ab8f64b6ee0fe41bddbf3
敏感数据分类,是首选的数据保护技术
http://chuansong.me/n/2597895
20 CSC – 有效网络防御的20个关键安全控制,应得到广泛重视的框架
http://chuansong.me/n/2597894
你永远不能保护看不见的资产!谈威胁情报来源
http://chuansong.me/n/2597890
如何评估安全威胁情报对企业的价值 (1)
http://chuansong.me/n/2597888
信息安全体系的“术”:标准主线与关联性
https://zhuanlan.zhihu.com/p/21348250
信息安全体系的“术”:“术”的详解
https://zhuanlan.zhihu.com/p/21355001
蜜罐的设置有时候会起到意想不到的效果(当然了,也要避免黑客利用蜜罐当做跳板进行进一步的扫描/攻击),可以作为入侵对抗体系的一个补充
一份极好的蜜罐资源列表(an awesome list of honeypot resources)
https://github.com/paralax/awesome-honeypots
SSH/Telnet蜜罐(Cowrie SSH/Telnet Honeypot)
https://github.com/micheloosterhof/cowrie
基于Apache2服务器的Struts漏洞蜜罐(Struts Apache 2 based honeypot as well as a detection module for Apache 2 servers)
https://github.com/Cymmetria/StrutsHoneypot
开源的telnet蜜罐(Open Source Telnet Honeypot)
https://github.com/Cymmetria/MTPot
SSH蜜罐(Kippo – SSH Honeypot)
https://github.com/desaster/kippo
企业防御
http://kb.drops.wiki/doku.php?id=enterprise:defence
http://kb.drops.wiki/doku.php?id=defence:technical
`
1、管理控制
2、技术控制
3、物理控制
`
蜜罐(Honeypots)概念的延伸衍生出了 honeyfile,故意放置诱饵文件,坐等攻击者访问。 MWR Labs 这篇 Paper 介绍如何利用 Windows 内置的文件审计功能检测 honeyfile 的访问
https://labs.mwrinfosecurity.com/blog/using-windows-file-auditing-to-detect-honeyfile-access/
威胁情报:随笔
https://mp.weixin.qq.com/s?__biz=MzA3MTEwNDE1NA==&mid=2649431959&idx=1&sn=258e65aada6ab546b28043359fca2cb4&scene=0
蜜罐与内网安全从0到1(一)
https://sosly.me/index.php/2017/08/23/goldenspark1/
纵深防御和新威胁情报感知的利器——蜜罐
http://www.vipread.com/library/item/show/126/613
威胁情报2012-2016会议笔记
http://docs.ioin.in/writeup/www.tanjiti.top/_threatIntelligenceNote_html/index.html
http://www.tanjiti.top/threatIntelligenceNote.html
【知识库】浅谈企业内部安全漏洞的运营(一)——规范化
https://mp.weixin.qq.com/s/eHB9zA0dZ-4Fv6ZpKzkHYA
`
一、漏洞类型
二、漏洞等级
三、漏洞实效性
四、处理流程
五、复盘流程
`
moloch 网络流量回溯分析系统
https://mp.weixin.qq.com/s/iRobUHtTIAsaU-i2TvLjTQ
一些蜜罐资源
https://github.com/0x4D31/deception-as-detection/blob/master/Useful_resources.md
红蓝对抗:怎样组织有效模拟演习
http://www.aqniu.com/learn/27190.html
`
红队是引入来测试安全项目有效性的外部实体。他们被聘来模拟可能攻击者的行为和技术,使之看起来尽可能真实。
与之对应的,就是蓝队,负责阻止这些模拟攻击的内部安全团队。不过,越来越多的公司在预演中不再使用特意组建的蓝队。他们的想法是:通过查看自身安全团队在无准备情况下对模拟攻击的反应,可以更切实地获悉其真实防御能力。
此类测试的最终目标,是测试公司安全成熟度,及其检测和响应攻击的能力。基于模拟程度、涉及人员和被测试的攻击类型,这种操练可耗时3或4周。
`
2017年度蜜计划(蜜罐工作)总结
https://mp.weixin.qq.com/s/SIBGnMc-XIqy2Ohj1ni_fg
企业安全项目架构实践分享
https://mp.weixin.qq.com/s/RlBTH9-xrY7Nd1ZJK3KjDQ
`
安全项目架构
漏洞无处不在
安全项目
攻击(漏洞和情报发现)
主动人工渗透测试和代码审计
主动自动化黑盒漏洞扫描和白盒代码审计
主动情报获取
被动情报与漏洞
应急
安全技术评估小组
安全技术委员会
部门安全接口人
漏洞管理
漏洞修复
安全运营
安全培训
安全分享
安全规范
关系维护
防御(对抗)
…
应对策略
早期
以资源投入来决定安全架构
借外力助攻
人人都是安全工程师
中期
后期
`
一份对抗模拟工具列表
http://pentestit.com/adversary-emulation-tools-list/
一次红队之旅
https://xz.aliyun.com/t/2389
`
0、记录
1、红队测试的意义
2、识别目标
2.1 图片上的蛛丝马迹
2.2 OWA的预置模式
2.3 云端的Office365
2.4 利用shadon
2.5 发送电子邮件到一个不存在的帐户,等待返回错误信息
2.6 通过邮件搜索社交网站,比如LinkedIn
2.7 通过目标的企业网站获取网络钓鱼攻击的主题
3、钓鱼式攻击
3.1 不要把恶意的Payload放入电子邮件
3.2 不要让自动化解决方案发觉到攻击者最后阶段的行为
3.3 使用分类域名
3.4 使用HTTPS
3.5 钓鱼主题-尽可能的无聊
3.6 避免使用拼写错误的域名
3.7 不要重复使用同样的域名
4、创建有效载荷
5、狩猎
6、工具和技巧
7、参考
`
美团点评自研高可用分布式堡垒机
https://ppt.geekbang.org/slide/download?cid=25&pid=1161
https://ppt.geekbang.org/list/qconsh2017
堡垒机:爱奇艺海量服务器安全运维平台的建设
https://mp.weixin.qq.com/s/TGswXl9cuwlRmaVsZs46hA
`
堡垒机是集帐号管理、授权管理、认证管理和综合审计于一体的IT基础设施。它为企业提供统一框架,整合网络设备、主机系统、应用系统,具备强大的安全审计功能和防御功能。
爱奇艺堡垒机分为Web端和Client端两部分。Client端包括登录模块、管理模块和审计模块;Web端包括作业平台、服务器管理模块、发布模块等。爱奇艺堡垒机当前服务于数千用户、数万服务器,数十万授权列表。
01 单点登录
1.1 登录入口
1.2 账号管理
1.3 用户组管理
1.4 登录方式
1.5 KeyLess方案
1.6 二次认证
02 访问/授权控制
2.1 服务器管理
2.2 服务器授权
2.3 登录列表同步
2.4 SSH-Agent
03 文件传输
04 基线规则
05 审计
5.1 会话审计
5.2 事件审计
5.3 远程堡垒机日志审计
5.4 公钥审计
5.5 日志存储
06 堡垒机作业平台
6.1 Web端批量操作
6.2 用户定制命令 – 执行脚本(类似alias)
07 总结
堡垒机作为办公网到IDC的第一道屏障,服务器运维入口,在保证4A的同时,也要尽量保证用户体验。
用户体验:爱奇艺堡垒机支持多种登录方式,支持大文件快速传输,支持IDE通过SFTP连接服务器开发。
运维管理:堡垒机拥有一套完善的认证,授权系统;相比于商业堡垒机更轻量级,可定制化,支持更多的服务器运维操作。
安全合规:堡垒机支持主被动式二次认证;支持基线规则检查,可异常弹窗和阻断用户操作;采用机器学习识别异常登录,账号共用;以及合规检查的日志查询系统。
创新探索:堡垒机支持KeyLess方案;集成作业平台,可定时,批量执行运维脚本。
`
安全防护系统构设计与实践
https://mp.weixin.qq.com/s/jV59TEoH9lO6tEnT59rycA
`
通过构建不同的安全系统,并建立其联系,进行安全防护的,分为以下几个具体的流程例子:
云WAF威胁防护:流量串并连接同时存在。
云WAF系统构成解析:一种系统的多种形态。
安全网关案例实践:数据聚合系统的门户。
负载均衡与自动运维:服务质量和安全同样重要。
端口扫描与日志分析汇聚:主动发起探测交互感官触角。
Agent与大数据聚合:面对异构系统日志的复杂性。
日志系统数据迁移:让数据流动的更顺畅。
日志监听与威胁分析:威胁就隐藏在数据中。
CH大数据系统日志接入:举个栗子。
`
面向数据分析的道与术
https://mp.weixin.qq.com/s/8KZxBig0wEsHegVTBW-6Fg
`
1、数据不能给你答案
对于数据,我向来倡导脑子里有模糊的思路便可动手。
真正的数据高度敏感者,是在每一次操作之后都能够面向数据的去提出质疑并解决疑问。
在一次次的问题和数据的迭代中建立了完整的分析过程和无限接近终极答案的结果。
2、思考的严谨与数据的证伪
在数据中,很多情况都是证实要难于证伪。
所以很多我们在脑子中构建出来并自以为合理的逻辑,在数据计算过程中可能往往是成立的,但当我们去从另一个差异化的视角或更高的层面去验证这个逻辑时,也许他就不成立了。
在复杂的数据分析过程中,链条往往极长且异常复杂。
如果在某一个环节只是对逻辑做了正向的想象而没有做反向的验证,可能最终的结果就谬之千里了。
3、数据关联与规则的独立性
关联分析是在数据分析中谈及最多的。
而很多关联分析的失败之处在于,关联和分析,这两件事做成了一件事。
4、面对大数据束手无策时,不如试试小数据
很多数据分析是为了使用大数据而使用。
其实,少量的小数据样本往往更能带来惊喜。
`
公有云内网威胁检测系统
https://mp.weixin.qq.com/s/-67FpcF3JvZT14M6x-_5Rg
`
(一)虚拟资产
蜜罐管理
a.Web应用沙箱:weblogic、nginx、IIS、Apache httpd、Apache Tomcat/Coyote JSP engine
* 漏洞类型:JSP、PHP、ASP
* 专用漏洞:struts2-045
* 诱饵设置:弱口令
b.数据库沙箱:mysql、mssql、postgresql、redis、mongodb
* 诱饵设置:弱口令
* 专用漏洞:安全基线配置漏洞
c.远程管理沙箱:ssh、RDP
* 诱饵设置:弱口令
d.运维类沙箱:Zabbix、Jenkins
* 诱饵设置:弱口令
(2)网站代理
nginx部署设置
(3)主机代理
镜像端口设置
(4)安全设备代理(IDS/WAF)
路由配置
(5)密网管理
Kubernetes组网设置
VPC-link配置
(二)入侵事件
a.威胁概览
- VPC网络整体安全等级
- APT攻击分析
- recon 阶段
- access 阶段
- exploit 阶段
- payload drop 阶段
- C&C 阶段
- Data Loss 阶段
- 告警事件发展趋势
- 虚拟资产拓扑
- Top5入侵人员
- Top5恶意软件
b.入侵事件详情
* 事件查询和展示
(三)入侵人员
黑客画像
·设备指纹
·浏览器信息
·ip地址关联威胁情报
`
浅谈大型互联网的企业入侵检测及防护策略
https://mp.weixin.qq.com/s/1Iry620hCkJ8sHA626T3Dg
`
安全无小事,一旦互联网公司被成功“入侵”,其后果将不堪想象。
入侵的定义:
就是黑客在未经授权的情况下,控制、使用我方资源(包括但不限于读写数据、执行命令、控制资源等)达到各种目的。从广义上讲,黑客利用SQL注入漏洞窃取数据,或者拿到了目标域名在ISP中的帐号密码,以篡改DNS指向一个黑页,又或者找到了目标的社交帐号,在微博/QQ/邮箱上,对虚拟资产进行非授权的控制,都属于入侵的范畴。
企业入侵检测的范围,多数情况下比较狭义:一般特指黑客对PC、系统、服务器、网络(包括办公网、生产网)控制的行为。
“入侵”和“内鬼”
与入侵接近的一种场景是“内鬼”。入侵本身是手段,GetShell只是起点,黑客GetShell的目标是为了之后对资源的控制和数据的窃取。而“内鬼”天然拥有合法的权限,可以合法接触敏感资产,但是基于工作以外的目的,他们对这些资源进行非法的处置,包括拷贝副本、转移外泄、篡改数据牟利等。
内鬼的行为不在“入侵检测”的范畴,一般从内部风险控制的视角进行管理和审计,比如职责分离、双人审计等。也有数据防泄密产品(DLP)对其进行辅助,这里不展开细说。
入侵检测的主要思路也就有2种:
1、根据黑特征进行模式匹配(例如WebShell关键字匹配)。
2、根据业务历史行为(生成基线模型),对入侵行为做异常对比(非白既黑),如果业务的历史行为不够收敛,就用加固的手段对其进行收敛,再挑出不合规的小众异常行为。
针对一个明确的“目标”,它被访问的渠道可能是有限集,被攻击的必经路径也有限。“攻击方法”+“目标的攻击面”的组合,被称为“攻击向量”。
入侵检测得先把各类攻击向量罗列出来,每一个细分场景分别采集数据(HIDS+NIDS+WAF+RASP+应用层日志+系统日志+PC……),再结合公司的实际数据特性,作出适应公司实际情况的对应检测模型。不同公司的技术栈、数据规模、暴露的攻击面,都会对模型产生重大的影响。
高危服务入侵
Web入侵
0day入侵
办公终端入侵
入侵检测基本原则
不能把每一条告警都彻底跟进的模型,等同于无效模型。
入侵检测产品的主流形态
主机Agent类:HIDS
网络检测类:NIDS
日志集中存储分析类:Splunk/LogRhythm
APT沙箱:FireEye、Palo Alto、Symantec、微步
终端入侵检测产品:杀毒软件有Bit9、SEP、赛门铁克、卡巴斯基、McAfee ;EDR产品不枚举了,腾讯的iOA、阿里的阿里郎,一定程度上都是可以充当类似的角色。
入侵检测效果评价指标:
主动发现的入侵案例/所有入侵 = 主动发现率。
蓝军对抗主动发现率——弥补真实入侵事件低频的不足,但掌握的攻击手法往往也是有限的。
已知场景覆盖率
影响入侵检测的关键要素:
1、数据采集的完整性(全链路的对账)。
2、每一个策略时刻工作正常(自动化拨测监控)。
3、基础数据的准确性。
4、工单运营支撑平台及追溯辅助工具的便捷性。
`
【红蓝对抗】大型互联网企业安全蓝军建设
https://mp.weixin.qq.com/s/Aes0EOWD6mHeONCbtYhcGQ
`
最近几年一直在做网络安全攻防相关的工作,从威胁情报、DDoS攻防、风控基础技术攻防、APT红蓝对抗等方向,基本覆盖了基础安全的几个主要场景,算是泛蓝军相关的内容,目标都是以攻击带动促进安全建设。
从实际项目来看,很多攻防的需求,前期都是因为现状不清晰、防护检测效果无法衡量、策略有缺漏、策略人员对防护场景认知不全面,或是对抗战场的升级,外部黑灰产的技术发展、真实对抗日趋激烈、需要拓展防守视野和能力,从而引进蓝军攻击团队进行场景的梳理、对现有安全体系的评估和对抗提升。当防御建设到一定程度之后,也需要蓝军挖掘更多的攻击面和风险盲点,并相对客观的评价当前防御体系的水平和攻击成本。
本文主要从入侵检测方向的红蓝攻防演练切入,分享一下对于互联网企业安全中企业蓝军建设的经验和想法,仅代表个人观点,欢迎大家交流和指正。
1、什么是蓝军
2、进攻是最好的防守
3、蓝军工作如何开展和考核
4、能力提升和个人成长
5、挑战
6、展望与产品化思考
`
中通内网安全之外发流量管理
https://mp.weixin.qq.com/s/inANTt-97Rjfr6Rf5lJ07A
`
「外发流量管理」即管理从内网向外网发送数据的网络行为。
为什么要进行「外发流量管理」?
1. 找出内网中对外连接的后门、向外脱数据的行为
2. 对各主机的网络访问行为进行统一管控和汇总,实现网络层面对主机的权限控制
3. 只允许内网主机在合法的业务需求范围内,向外请求数据(如微信推送、钉钉推送、监管局推送等)
4. 部分业务系统可能存在 SSRF 漏洞,扫描器、人工测试均采用「向外发送请求」的方式验证漏洞是否存在。通过外发流量管控能很快的发现由哪台主机发起了一个意外「孤立的请求」,然后顺藤摸瓜找到漏洞存在点。
了解黑客入侵主机后的一些手段:
作为一位合格的黑客,在获取到主机 root 权限后,首先要做的就是维持后门的持久性:保住自己的控制权,持续潜伏,以便持续收集各种信息。这时,就需要想办法穿透内网对外进行通讯,很多封了外网访问的情况下也能杀出一条通道来。
企业现状
• 传统的四层防火墙,配置细粒度只能到目标IP和端口,目标业务为 CDN 域时,CDN 节点更新后业务就无法正常工作了。有时还需要维护一张很大的 CDN 节点表,还会受到防火墙规则条目的容量限制。
• 较新的一些七层防火墙,规则配置细粒度可以精确到域名级,仅允许指定主机访问指定域名,实现外网访问的管控。
万金油方案
在核心交换机旁挂了透明网关,其运行的基本原理是在转发 TCP/IP 流量时劫持掉指定协议内容,其他类型的流量则直接透传给防火墙处理。将它旁挂于核心交换机,也便于透明网关发生故障时核心交换机能够自动 bypass。
我们基于 openresty 进行二次开发,对目标请求进行代理,以实现 http/https 协议管控,根据规则对访问进行放行或阻断。对于被劫持的 DNS 请求,可送给 CoreDNS (或其他开源 DNS 服务器实现)进行清洗。
DNS 清洗的实现
DNS 清洗是通过 CoreDNS 插件实现的。
CoreDNS 广泛应用于 Kubernetes 作为其默认的 DNS 服务,基于 Caddy 服务器框架,由 golang 语言编写。CoreDNS 实现了一个插件链的架构,将大量应用端的逻辑抽象成 plugin,因此我们可以方便地通过插件实现 DNS 清洗。
鉴于 CoreDNS 官方插件中已经实现了通过 etcd 的方式解析域名(github.com/coredns/coredns/tree/master/plugin/etcd),我们可以参照 log 和 etcd 插件的实现,编写一个清洗器来对客户端的 DNS 请求过滤和审计。
核心逻辑是实现 github.com/coredns/coredns/plugin.Handler 接口。
劫持主机请求的方案选择
对于劫持主机流量的方案,有几种:
• DNS 劫持
• 网关劫持
• 路由劫持(优点:透明无感知)
`
以攻促防:企业蓝军建设思考
https://security.tencent.com/index.php/blog/msg/133
`
(一)高悬的达摩克利斯之剑
(二)从大到强的试炼之路
(三)当我们谈蓝军时,我们在谈些什么
(四)环环相扣:浅析网络攻击杀伤链
第一阶段:获取立足点
第二阶段:扩大控制权
第三阶段:达成目的
(五)从理论到实战:论腾讯蓝军的崛起
(六)前路虽长,上下求索
`
Red Team从0到1的实践与思考
https://mp.weixin.qq.com/s/cyxC4Of4Ic9c_vujQayTLg
http://avfisher.win/archives/1081
一次攻防实战演习复盘总结
https://mp.weixin.qq.com/s/Cnl3jDXRD16HuWhqBAeljg
https://paper.tuisec.win/detail/f4c582f9c587270
`
一、知彼
攻击者也是讲成本的,因此防守方最好的策略是:做的比其他防守方好一点点即可。好一点的含义:不在低级问题上犯错(弱密码、互联网应用远程RCE、管理后台暴露、重要服务器未打补丁等)。对于“时间紧、任务重”的防守方来说,修建固若金汤的防线显然意味着大成本投入,以及最紧缺的时间,因此本文不会面面俱到,只选择性价比高值得快速投入的安全措施和大家分享。
攻击者一般:目标明确、步骤清晰、控制成本、反检测,反清理、三流分立。
目标明确:攻击者只攻击得分项,和必要路径(外网入口,内网立足点),对这些目标采取高等级手段,会隐蔽操作;对非必要路径顺路控制下来的服务器,并不怕被发现,用起来比较随意,甚至主动制造噪音,干扰防守方。
步骤清晰:信息收集-控制入口-横向移动-维持权限-攻击目标系统。每一步都是经典操作和教科书式手法。
控制成本:
优先攻击高权限账号,如管理员,目标系统负责人账号;
优先攻击运维/安全人员账号和终端,这些人往往有服务器root账号,安全设备管理员账号,可以进一步深入控制;
优先攻击集中管控设施,如域控,集中身份认证系统,终端管理系统,攻陷单系统即获得公司内大部分系统的权限;
优先攻击基础设施,如DNS,DHCP,邮件系统,知识分享平台,oa系统,工单系统;这些系统有内置高权限账号,或可以帮助攻击者隐蔽痕迹。或Git/SVN等开发源代码管理服务器,通过代码审计发现应用0day漏洞。
反检测,反清理:
样本隐蔽技术(白利用(带微软签名的程序执行未签名的黑dll),样本不落地执行(从网上加载样本,只运行在内存,不落盘不惊动杀软));
快速扩散(攻击者会将攻击包做成自动化工具,降低人力投入,快速控制一批有漏洞发服务器);
停止日志外发,日志清除(脚本优先停止常见日志外发工具;同时有开源自动化工具来劫持日志产生的进程,使得系统不产生日志;使用完后删除access.log等日志);
减少扫描,通过分析日志、分析配置文件、管理员来源IP等方式来获取内网的其他机器IP信息,而不是扫描。
三流分立:
扫描流:用来大批量扫描内网存活IP和漏洞,扫描源通常不被攻击者重视,被清除也不会影响到攻击计划,高水平攻击者通常使用扫描行为来分散防守方精力。
数据流:用来向外网大量传输非关键数据,通常是有互联网权限的终端或服务器(终端较多),很少有隧道行为或扫描行为,通过简单的https,sftp方式传输数据
控制流:用于接受和传递远控指令的服务器,攻击者最重视的设施,使用起来最为谨慎,和远控中心进行交流,常用组件cobaltstrike, empire;有隧道行为,且数据传输量很少,会连接若干个IP和域名(避免外网封禁),传输必定加密,不使用自签名证书。
二、知己
知己,主要是知晓防守方防守区域内的资产信息,缩小暴露面。原则如下:
不用的系统,该下的下,该暂停的暂停。不用的功能,该下的下,该暂停的暂停。(平时就应该这样处理,而不是战时)
该取消访问的取消,能限制访问范围的限制访问范围。
在用的,搞清楚功能,双流(数据流和运维流)谁用,有没有风险,能否一键处置。
三、防护关键点
临战前,再想按照大而全的梳理一遍,几无可能,最好就是把防护关键点过一遍,切记都实际看一遍,不要相信别人的反馈。
四、事中和事后
前面分享了很多防护和检测的事项,但防守方到了这个阶段,更重要的是考虑一下事中的各种过载信息的研判和快速应急处置措施。
我们打内部攻防演习的时候,最大的困扰是决策和处置。
五、注意事项
不要影响业务。攻防演习前的加固,需要妥善评估对业务可用性影响,攻防演习中的应急处置,需要妥善评估对业务可用性影响。
毕竟,业务可用性才是老大,安全不是,摆正心态和位置。
`
堡垒机哲学史
https://www.sec-un.org/%E5%A0%A1%E5%9E%92%E6%9C%BA%E5%93%B2%E5%AD%A6%E5%8F%B2/
`
一、缘起:堡垒机从哪里来? ——无风不起浪,从需求中来
1. 运维部门的需求
那时候,数据中心的运维管理人员的技术水平还处于“社会主义初级阶段“,经常会出现一些低级的误操作,导致网站突然无法正常访问,解决问题基本靠在人堆里吼一声”谁TM干的”。痛苦在于,误操作而导致的运维事故极大的降低了网站的可用性,而可用性(俗称几个9)又是运维部门永恒不变的关键考核指标。运维部门深知,误操作问题的出现是无法杜绝的。那么,何时出现?看风险概率。而风险概率=运维部门人数 * 服务器规模 * 业务复杂度。由于不能保证没有误操作,所以只能在出现误操作事故后,快速定位问题,快速恢复网站可用,也算是“曲线救国”。运维部门由此产生了一个需求:有没有一种技术手段在出现误操作后,第一时间知道是谁做的,怎么做的?
2. 安全部门的需求
我们发现,“坏人”在连续跳转登录多台服务器的过程中,会隐匿他最初的身份。那么,有没有一种技术手段能解决:不管“他”连续跳转多少次,身份如何变化,都能知道他就是最初的那个“他”呢”?
3. 风控部门的需求
当时公司准备去美国纳斯达克上市,面临萨班斯(SOX)法案的合规要求,审计事务所普华永道有一份针对数据中心的问题检查列表,虽然我们都应答满足,但却缺少一种有效的技术手段去应对账号、密码、操作等方面的审计要求。
I. 系统层面:在服务器上解决,国外运维厂商的最爱
II. 系统层面:在服务器的系统日志里实现,系统管理员的最爱
III. 系统层面:服务器上解决,修改登录脚本,系统管理员的最爱
IV. 网络层面:在网络中解决,网络安全厂商的最爱
V. 终端层面:在终端上解决,终端管理厂商的最爱
各自的「实现方式、方法」,「优点」,「缺点」
二、性空:堡垒机到哪里去? ——从需求中来,到需求中去
堡垒机的发展史完全就是高端客户的需求推动史,高端客户的特点就是有钱,爱思考,爱提需求,而且是源源不断地提:
和谁在一起,真的很重要。我们就像海绵一样,从各个行业顶尖客户中吸取独特的思路,融入到产品中去:
全国性股份制银行客户让我们学会了如何提高风险管控;
头部互联网客户让我们学会了什么才是领先的技术;
世界五百强客户让我们学会了如何做好项目管理;
……
高端客户打磨了我们高端的能力,和他们在一起,根本不缺高质量的需求和高标准的要求,一路相伴,如履薄冰。
三、无我:堡垒机是什么?——近朱者赤,始终和运维在一起
人类并不偏爱风险,运维也是如此,运维偏爱效率,但是风险始终如影随形,好比硬币的正反面,风险和效率需要一个完美的平衡,堡垒机就是平衡效率的风险工具。
安全永远是业务的一个属性,国家安全是国家业务的属性,网络安全是网络业务的属性,运维安全是运维业务的属性,而对运维这个业务的深刻理解决定了堡垒机是什么。
`
【干货分享】对提升入侵检测能力的一点思考
https://mp.weixin.qq.com/s/0SDHshDvARx4gBPyLzkR3A
`
本人旨在结合MITRE ATT&CK 威胁矩阵,谈一谈自己对提升企业入侵检测能力的一点理解和思考,若有不足之处还请多多交流,也希望通过此次分享能够给读者带来一些启发。
01 安全应急响应简记
02 从被动应急到主动防御
1、对资源的自动化管理
2、对区域的严隔离
3、自动化安全编排技术
03 加速检测主动防御
ATT&CK旨在对攻击流程进行统一定义及归纳,从而帮助我们更好的理解攻击行为所带来的安全隐患。这里谈一谈我对MITRE ATT&CK的一点理解。MITRE提出的ATT&CK框架,是将入侵期间可能发生的情况,做出更细的画分,区隔出11个策略阶段。包括:入侵初期、执行、权限提升、防御逃避、凭证访问、发现、横向移动、收集、渗透、指挥与控制。
`