[安全大会]2020-BCS-企业安全运营实践-1-黑产对抗的反制之道

=Start=

缘由:

趁着周末整理回顾一下前几天(20200812)观看的「企业安全运营实践论坛」中的几个议题,方便后续学习参考。

PS:另外提一句,最近发现越来越懒了,思考的也少了,动笔的也少了,身体锻炼也少了,感觉还是要变化变化了,否则再这么下去,感觉人就慢慢废了!

正文:

参考解答:

按自己的想法先大致总结整理一下:

【知己知彼】在了解自己公司的资产和业务的基础上,了解你的对手;

【举一反三】借助历史上已有的cases进行复盘和关联拓展,发掘一些类似的但暂未被发现/利用的风险,让已发生的事件产生更多的价值;

【安全合规】黑产反制的过程和手段一定要合规,且要避免被黑产挖坑利用;

【主动探索】有些时候问题不是不存在,可能只是你还不知道,这时你应该主动去想办法去感知(投放一些标记过的饵料,放置更多的蜜罐)和应对(联合更多的企业,寻求执法部门的帮助和合作)。


1、【举一反三,关联拓展】

做得好的企业安全在和黑产对抗过程中,除了要能被动感知(通过SRC或是一些举报、反馈渠道)/主动监控(实时关注一些暗网交易市场、QQ/微信/tg群)、及时修复止损(快速、完善的处理流程SOP)的基础上,还应该好好利用历史上已发生的cases(不论是自己公司的,还是业内其他公司的,每一个事件都是一个学习复盘的机会)进行不断的复盘回顾,以期能够做到举一反三,关联拓展出其它的一些实际存在问题,只是还没有被及时发现的风险,这样才能更好的避免「头疼医头脚疼医脚」的救火队长困境。

2、【了解你的对手】

在了解自己的基础上,还需要了解你的对手,了解他们的目标,他们的工作链条、运作模式,才能更好的更有针对性的去防护。

3、【反制目标】

黑产反制的3个主要目标:

  • 失效:让攻击者的攻击方法失效,进不来;
  • 迷惑:通过蜜罐或诱饵给攻击者不下迷魂阵,无法找到真正目标;
  • 打击:联合公安溯源打击,断掉整个攻击团伙,彻底击垮。

4、【反制策略】

5、【黑产反制需要注意的问题】

  • 首先,过程一定要【合规】;
  • 其次,要注意避免被【「反」反制】。

参考链接:

企业安全运营实践论坛
https://bcs.qianxin.com/2020/live/index?meeting_id=20

=END=

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/4927.html

《[安全大会]2020-BCS-企业安全运营实践-1-黑产对抗的反制之道》上的3个想法

  1. 小步快跑,快速迭代:安全运营的器术法道
    https://security.tencent.com/index.php/blog/msg/162
    `
    一、前言

    在进行安全体系建设工作的时候,人们往往容易看到的成果是新研发了一个安全系统,采用了一个新的技术,似乎做出一个系统采用一种技术就可以一劳永逸地解决某类问题了。可现实告诉我们那是不可能的,因为我们面临的安全威胁总是在变化,安全本身是一个动态的持续的过程,没有任何技术和系统能够覆盖完全一劳永逸,我们既需要有系统有技术,也需要对系统和技术做持续的、长期的、细致的、有效的运营,不断对系统和技术进行迭代优化,最终才能真正解决问题。

    所以,笔者的观点是,安全系统研发完成投入使用是解决了从无到有的问题,是万里长征第一步,而之后的安全运营工作才是从有到优的不断升级之路。

    二、安全运营是什么

    互联网业务的快速发展产生了很多新概念,最重要的就是系统/产品的“运营”,即指系统的快速迭代过程,用朴素的语言描述就是业务遇到问题“先抗住,再优化”。

    那么,什么是安全运营呢?信息安全类工作只听说过写脚本、挖漏洞、黑网站、建系统,“安全运营”到底是要做什么?这个工作曾经一度让笔者很迷茫,我相信很多刚工作不久的新人都有这个困惑。记得腾讯漏洞扫描系统之父、“如入无人之境”(见聂君《企业安全建设指南:金融行业安全架构与技术实践》)的安全大神宝哥刚刚工作不久也在例会上提出过对安全运营的困惑。

    经过多年的工作经验沉淀以及与圈内大佬、同事们的反复交流讨论,笔者终于大概摸到了安全运营的门道:使用系统、发现问题、解决问题 —— 使用安全系统,在使用过程中发现系统和策略的问题,分析问题提炼出优化点,反馈给系统迭代优化,最终达成完美解决安全问题的目标。相比于传统行业,互联网业务本身讲究小步快跑快速迭代,所以运营的迭代也很快,安全运营也继承了这个特性(更多关于互联网业务系统运营的思路,可以参考腾讯的海量服务之道)。

    把安全系统真正用起来,发现安全系统的问题,不断去优化安全系统,提升系统能力最终解决安全风险,就是安全运营的核心思想所在。

    三、衡量标准探讨

    我们明确了安全运营是什么,那么,如何衡量安全运营工作的好坏呢?

    首先,需要有一系列衡量指标。

    有指标才能判断当前距离目标的差距。

    根据不同的安全系统,可能有的指标有所不同,但大的指标包括这两大类:系统覆盖率、策略有效率和误报率。前者是指安全系统对被保护对象的覆盖比率,关注工程落地,比如公司有一万台服务器,目前HIDS已部署了5000台,这个系统覆盖率就是50%;后者衡量安全系统对安全风险的有效应对情况,关注策略效果,比如HIDS理应发现各类WebShell,目前有样本1000个,HIDS能发现800个,策略有效率就是80%,实际运营过程中发现1000个WebShell,有1个最终确认不是,那这个策略误报率就是0.1% —— 一个误报率高的系统最终是没法运营的,那就等于没有。

    一个好的安全系统,一定是朝着提升覆盖率、提升有效率、降低误报的目标前进的:任何脱离覆盖率谈有效率的安全系统都是扯淡;数据上既要看率也要看绝对量,当基数足够大的时候任何一点抖动背后可能就是很大的改进空间;任何误报率高的安全系统都是没法运营的,那就等于没有。

    其次,需要进行实战检验。

    第三,需要做好完整复盘。
    每一个漏洞每一次安全事件都是一次练兵的好机会,团队需要抓住机会去复盘,看看哪些点做得不够,哪些地方还可以优化的,举一反三,从一个问题优化一类问题。没有机会怎么办?那就让蓝军创造机会。

    四、运营方法论与实践

    以下是笔者总结的一些常见运营方法论和具体实践。

    1. 关注落地

    第一诫:运营要关注落地,即解决问题,一切不以解决问题为目的的运营都是渎职。时刻自省,有则改之无则加勉。

    2. 抓大放小
    3. 控制增量
    4. 原生安全
    5. 灰度放量
    6. 群策群力

    7. 借力复盘
    普通人的安全意识是很薄弱的,企业里的员工一定是短板,好多攻击都是员工打开了邮件附件中木马引起的 —— 需要经常性地、反复地、实际地教育。一旦业界出现重大安全事件,瞬间会成为大家关注的热点,大家都会关注为什么会出这个事件,这时候就是绝佳的安全意识教育的机会,赶紧行动起来,指点一番,把安全意识植入进来。另外,他山之石可以攻玉,不要只看笑话,要搞清楚友商发生安全事件的原因,复盘自己是否存在问题,也是一个几乎不付出成本而获得经验的好的机会。

    8. 不断学习
    9. 纵深防御

    10. 关注未知
    笔者以为,“关注未知”是尽责的运营和优秀的运营的重要区别,同样是发现问题,可预期的问题就不是大问题,而未知的问题可能会是极其重要的问题。因为有个术语叫做0day,到了我们把基础安全都做得很好的时候,攻破系统的,一定是你未知的手法。当我们宣称漏洞都被修复了的时候,是不是只是指应用和系统层面,网络设备的漏洞呢?

    所以,运营过程中,一定要有发现未知的意识,一定要考虑到你的策略失效或者被针对绕过的情况。笔者一直宣称,优秀的安全策略是不依赖黑名单、通用且像公钥密码算法那样可以公开的。

    我们制定的运营策略,大部分是基于白名单和黑名单,但是介于黑白之间非黑非白的是灰名单。这一块就是未知,看不见才可怕,是需要重点关注的。以威胁情报提供的黑IP为例,既然都被拉黑了就说明攻击被人发现了,真正高级的攻击是不会再用被发现的IP的 —— 这并不是说黑IP没用,只是说对高级攻击者基本无效,当然高级攻击者也可能犯低级错误。

    对未知始终保持敬畏之心,终极的攻防对抗(APT)一定是高维度打低维度,一定存在某种你想不到的手法,但是安全策略要尽量去覆盖,还要建立纵深防御即多点布防,APT再厉害总会触碰到一个策略 —— 当然,大多数企业连低级攻击都防不住,就不要好高骛远了。

    【后记】

    安全是一个动态过程,它随着形势在不断变化,运营就是发现变化趋势调整优化安全策略达到安全目标的重要手段。比如,今年疫情让许多企业开始支持远程办公,随之而来的是远程办公的安全威胁,短期内这部分企业的安全工作重点之一应该是远程办公安全保障。
    `

  2. 浅谈蓝队反制手段
    https://mp.weixin.qq.com/s/qjM7Fh0u0Edsz5C7L_ErGQ
    `
    网络安全攻防演习在国内已经逐渐常态化,从行业、区域(省份、地市)到部级…
    2020年1月份开始到现在可以说基本上每个月都有1-3场HW,红与蓝的对抗从未停息。
    红队的攻击技巧可以无穷无尽(扫描器、社工、0day、近源…),但是对于蓝队防守来说除了演习中常规的封IP、下线业务、看日志分析流量等“纯防守”操作以外,似乎实在是没有什么其他的防御手段了。
    笔者在参与的几场攻防演习项目中担任“蓝队防守”角色,就发现了这一缺陷,似乎安全防御基础较弱的厂商再怎么充足的进行演习前准备,都只有乖乖的等待被“收割”。
    转换一个思维,化被动为主动,尝试用“攻击”思路代入“防守”中,对“红队”进行反向捕获(反制)。

    # 蜜罐篇
    # 场景篇
    # 技巧篇

    只要思维活跃,枯燥无味的一件事情也可以变得生动有趣,生活如此,工作亦如此。

    蓝队反制,需要具备这几个条件才能淋漓尽至的挥洒出来:
    * 客户安全相关部门的权力要高
    * 以自家厂商为主导的防守项目
    * 最好具备现成的现代蜜罐产品

    未来,攻防对抗演习不仅仅是前几年所展示的那样:蓝队只要知道防守手段;而趋势将会慢慢的偏向于真正的攻防,蓝队不仅要会基本的防守手段,还要具备强悍的对抗能力,与红队进行对抗,这对蓝队成员的攻防技术水平也是一种更高的考验。
    `

  3. 【企业安全运营实践论坛】耿志峰:以攻为守-黑产攻防的反制之道
    https://mp.weixin.qq.com/s/F7LdXvFf23_XBOMB-nrvCg
    `
    京东每天都在抵御各种各样的网络攻击。以前黑产来攻击京东的时候,京东是主动地感知黑产的攻击,然后发现黑产的攻击点,对攻击点进行重点防护,除此之外,我们也会通过提前预演攻击进行防护。

    后来我们发现,只有防护是不够的,我们应该主动去发现弱点,比如我们的产品有哪些漏洞,基础设施开放了哪些不应开放的端口。

    再后来,我们认为,弱点是发现不完的,因为业务会越做越大,弱点也会随着业务的膨胀而膨胀。当然,企业可以用自动化的方法来控制弱点的发生概率,但是我们更应该正视弱点——弱点是不可能被完全消灭的。所以我们开始思考,如何才能站在黑产的角度,对黑产进行对抗和反制。

    前段时间,我们发现暗网上有人出售机器注册的账号(以下简称“机注账号”),里面有很多京东的账号。发现这个情况以后,我们首先去获取了一批机注账号,在系统里对它们进行了标记,然后观察这些账号的行为。我们发现,这些账号不仅活跃于暗网的账号交易市场,它们的利用也非常活跃。通过标记,我们发现了黑产的主要攻击点,并进行了修复。除了标记之外,从这些数据本身也可以看出他们的主要攻击点,因为通过这些数据的行为,我们能够进行聚类,从而发现他们的主要目标进行修复。

    通常来说,到这里攻防已经基本结束了,但还有其他问题——
    * 机注账号从哪里来的?
    * 为什么这些账号能够机注?
    * 为什么黑产拿到这些账号之后可以实施后续的攻击?
    * 除了企业资产有弱点之外,更深层次的原因是什么?
    `

发表评论

电子邮件地址不会被公开。 必填项已用*标注