重大流动保障期间,企业不仅要面对愈发灵便荫蔽的新型攻打挑战,还要在人员、精力有限的状况下应答不分昼夜的高强度平安运维工作。如何防止“疲于应酬”,在多重工作中“抽丝剥茧”?
本文从蓝军视角,拆解攻打方的攻打门路,帮忙企业理清重保场景下的应答策略,通过构建云原生平安“3+ 1 防护体系”,晋升响应效率,确保“0 安全事件 0 损失”。
知己知彼,方能百战不殆。只有充沛理解攻打方的思路,从全局视角当时构建齐备的平安防护体系,能力系统性防护云上资产。
红蓝反抗的五个阶段
Step1 信息收集:东搜西罗,打探军情
信息收集是攻打第一步,也是最要害的一个阶段。信息的收集深度间接决定了浸透过程的复杂程度。在开展攻打前,蓝军往往会先对企业资产裸露面进行剖析,对指标企业进行资产信息收集。
1、从公开信息动手,利用 FOFA、SHODAN、搜索引擎等,收集域名、IP 等资产信息;利用天眼查、企查查等获取企业相干信息;
2、通过主机扫描、端口扫描、零碎类型扫描等路径,发现攻打指标的凋谢端口、服务和主机,并对指标服务器指纹和敏感门路进行探测辨认,实现攻击面测绘及企业防护薄弱点的梳理;
3、除了技术手段,攻击者还会利用社会工程学或企业泄露在外的敏感信息,借助钓鱼攻打等形式获取账号密码等要害信息,晋升攻打成功率。
应答要诀:摸清家底,部署防线
资产治理是平安防护的第一要务。倡议企业先通过云平安核心清晰防护对象现状,对 IP、端口、Web 服务等裸露在外的资产进行全盘测绘。同时,构建云上三道防线,实时感知平安危险,做好资产加固。
第一道防线 | 应用云防火墙笼罩云上所有流量边界,守护所有互联网业务平安 |
第二道防线 | 部署 WAF 防护 Web 业务,守护 Web 服务、API 资产平安 |
第三道防线 | 借助主机 / 容器平安的终端平安能力,对云工作负载进行过程级防护 |
Step2 破绽剖析:顺藤摸瓜,伺机行事
破绽是蓝军撕开防线的重要武器,蓝军攻打门路的确认依赖于对破绽的探测剖析后果。
1、依据信息收集阶段梳理的企业资产信息(包含 Web 指纹、高危服务等),利用破绽扫描器、指纹对应的已知破绽或自行代码审计开掘的 0day 破绽来进行外网打点;
2、寻找到可被利用的攻打突破口后,确认内部攻打入侵门路并进行攻打验证。
应答要诀:非必要不裸露,先缓解再修复
实现资产盘点后如何对蓝军的攻打门路进行封堵?首先,企业需进一步收敛资产裸露面,做到非必要不裸露,必须对外的业务务必重点加固。针对破绽危险,集成三道防线和云平安核心兼顾能力对破绽等互联网裸露面做无效收敛。
第一道防线 | 配置云防火墙拜访控制策略封禁不必要裸露端口,开启虚构补丁检测、拦挡破绽利用攻打 |
第二道防线 | 对公众提供服务的 Web 利用,可通过 WAF 限度 IP 拜访地区、配置 BOT 策略避免爬虫收集 Web 资产指纹,并开启虚构补丁检测并主动拦挡 Web 破绽利用攻打 |
第三道防线 | 检测并收敛主机 / 容器弱口令、未受权拜访等配置危险;通过主机 / 容器安全漏洞治理能力疾速排查破绽影响面,借助主动修复能力,批量实现危险资产平安加固,并开启过程级破绽进攻,被动拦挡破绽利用攻打 |
Step3 浸透攻打:顺手牵羊,乘虚而入
当剖析失去无效破绽入侵攻打门路之后,蓝军将针对指标服务器的脆弱性发动浸透攻打。
1、利用反序列化破绽、命令执行破绽、代码执行破绽、任意文件上传破绽、文件蕴含破绽、表达式注入破绽、JNDI 注入破绽、SSTI、SSI、XXE、SQL 注入、未受权拜访破绽等类型的已知高危破绽或开掘的 0day 破绽来 getshell 或获取敏感数据库权限;
2、获取外网入口点,为进一步进行横向浸透打下据点。
应答要诀:知己知彼,隔靴搔痒
针对不同类型的攻打,可通过云平安核心联动三道防线部署全面的平安管控策略。针对已知起源、手法攻打进行实时检测、拦挡;针对未知威逼,利用云防火墙网络蜜罐能力,将仿真服务通过探针裸露在公网对未知攻击者进行诱捕并反制。
第一道防线 / 第二道防线 | 开启内置的腾讯平安威逼情报检测,自动识别歹意 IP/ 域名拜访,并通过开启严格模式主动拦挡 / 拉黑网络攻击 IP |
第三道防线 | 借助主机 / 容器平安对暴力破解、高危命令执行、外围文件监控能力进行实时检测 |
Step4 横向浸透:暗渡陈仓,继续浸透
蓝军胜利通过外网打点冲破边界之后,会基于 getshell 的入口点持续进行横向浸透,逐渐扩充攻打成绩。
1、为了深刻理解内网状况,攻击者会先对本机系统信息、网络架构信息、域信息等进行收集,梳理指标内网资产信息(包含内网网段、开启的主机、服务等);
2、针对内网存在破绽的资产进行浸透攻打并搭建内网隧道,减少浸透入侵攻打门路。
应答要诀:精准隔离,部署陷阱
针对内网浸透攻打,需进行细粒度网络隔离。同时主动出击,对蓝军行为进行继续监控,在内网增设网络蜜罐陷阱,无效溯源反制攻击者,迁延攻打工夫,为失常业务争取贵重的平安加固工夫。
第一道防线 | 借助云防火墙的 VPC 间防火墙、企业平安组能力,实现对东西向流量的“非白即黑”严格管控;通过云防火墙部署网络蜜罐在内网加设陷阱,被动诱捕攻击者 |
第三道防线 | 通过主机 / 容器平安对黑客工具应用和容器逃逸行为进行实时检测和告警 |
Step5 后浸透:瞒天过海,长期埋伏
在后浸透阶段,蓝军会尽可能放弃对系统的控制权,并进行痕迹清理避免浸透入侵行为被溯源。
1、依据是否为高权限用户来决定是否进行权限晋升;拿到高权限之后,为了长久化浸透指标内网,蓝军会利用各种长久化后门技术来进行短暂的权限维持,包含 Rootkit、内存马、crontab 后门、写 ssh 公钥、LD_PRELOAD 劫持函数、新增暗藏用户、替换 bash 后门、环境变量植入后门、启动项后门等等利用形式;
2、在整个浸透测试指标达成之后,蓝军会对浸透的指标主机进行痕迹革除,包含 history 清理、利用日志清理、系统日志清理、权限维持后门清理、新增用户清理等。
应答要诀:做好日志治理,无效取证溯源
借助云平安核心联动剖析报告、攻打日志对立治理能力,联合威逼情报提供攻击者行为画像(包含战术、手法、环境、样本等),无效实现攻打溯源和反制。
第一道防线 / 第二道防线 | 开启云防火墙 NAT 边界防火墙的被动外联管控能力,并留存云防火墙、WAF 拜访 & 告警日志,用于后续必要的取证溯源 |
第三道防线 | 借助主机 / 容器平安反弹 Shell、本地提权、内存马等事件检测能力,对蓝军的入侵事件进行发现与审计 |
腾讯云原生平安“3+1”防护体系
为帮忙企业建设全面、高效的防护体系,腾讯平安推出“3+1”一站式重保解决方案。
三道防线
1、第一道防线——云防火墙:作为最外层城墙,笼罩用户云上业务的所有流量边界,提供访问控制、入侵进攻、身份认证等平安能力,并集成破绽扫描与网络蜜罐。在重保场景下,可主动梳理云上资产、发现并收敛裸露面。借助网络蜜罐诱捕与溯源反制、以及基于身份认证的访问控制能力应答未知攻打,让攻击者无处隐匿;
2、第二道防线——Web 利用防火墙:在客户端和客户业务源站之间筑起一道七层利用防火墙;可提供细粒度的处理策略,保障重保及常态情境下业务与数据安全,为企业 Web 利用提供 0day 破绽应急响应、反爬虫、防薅羊毛等全场景防护;
3、第三道防线——主机 / 容器平安:作为云原生平安体系中最初一道屏障,主机平安为企业提供纵深防御能力,对不同攻打期间的入侵事件实时告警和主动防御,无效阻断入侵行为。为企业提供破绽主动修复能力,帮忙企业疾速实现资产平安加固,从源头解决平安威逼。
一站式平安门户——云平安核心
三道防线该如何做好协同,在重保场景下晋升经营效率?腾讯平安通过插件化串联起各平安产品能力,为企业打造云上一站式全科医院,为客户提供更加简略易用的一体化经营体验。
联合地面预警机制威逼情报,理解出入站 IP/ 域名 / 样本是否存在歹意行为,通过已发现歹意 IOC 关联剖析和深度开掘,及时发现攻打团伙实现平安左移;快人一步辨认平安威逼,定位危险资产,以全局视角助力企业输入系统安全解决方案。
重保季已来,欢送扫码交换,体验产品。