让网络空间更有序
发布日期:2022/06/13
“系统运行正常,风险态势可控,安全管理有序,到点正常交接”,可以说是每一位蓝队成员都向往的生活。
这几年谈到攻防演练,关注度最高的非0day、1day漏洞莫属。顾名思义,0day漏洞指的就是尚未公开的新漏洞;而1day漏洞指的则是刚公开不久的漏洞,由于没有对应的PoC检测用例,也缺乏确定的漏洞利用检测规则,因此常被攻击者们用来实施出其不意的打击,对用户而言,防守难度大,极易成为防线失守的决堤点。
“尽管0day漏洞威胁较大,也难以预知,但并非防不胜防”,防护线市场总监聂晓磊说到,“我们可以从攻击者的视角来分析其利用路径,找到防守的关键点”。
以一个典型场景为例,假设用户所用OA系统存在0day漏洞,而攻击者的目标是攻陷内网核心数据服务器,那么攻击路径可能分为如下几步:
通过对攻击路径的分析不难看出,0day漏洞固然可怕,但攻击者想要成功利用,至少还需要几个必要条件:一、绕过边界防护,二、找到关键系统,三、可以在内网扩大战果。那么对防守方而言,做好暴露面自查、守好关键路径、加强内网横向防护和对重要系统的保护则是控制0day漏洞影响的关键点。
通过对攻击路径的分析不难看出,0day漏洞固然可怕,但攻击者想要成功利用,至少还需要几个必要条件:一、绕过边界防护,二、找到关键系统,三、可以在内网扩大战果。那么对防守方而言,做好暴露面自查、守好关键路径、加强内网横向防护和对重要系统的保护则是控制0day漏洞影响的关键点。
永利皇宫Web应用防护系统(RayWAF)结合自身攻击检测与防御的经验,形成一套专门应对0day漏洞攻击的五重保障方案,无论是在日常管理还是重保值守中,都能够为用户提供精准、可靠的防护能力。
第一重:敏感信息防泄露,减少暴露面
攻防首先拼的是信息和情报。对于攻击者而言,提前搜集足够多的目标信息后,可以发起钓鱼攻击,也可以做定向打击,这样就能更快地找到突破口,攻击成功的机会也更大。因此对防守方而言,就要尽量避免敏感信息被获取和利用。
RayWAF敏感信息防泄露功能,既可以防止服务器关键信息外泄,让攻击者不得其法;又能够识别和过滤用户敏感信息,如员工姓名、联系方式等,从而降低被钓鱼风险,帮助用户减少暴露面风险。
第二重:扫描陷阱加限速,收敛攻击面
除了对自身暴露面风险加强管控,减少非必要对外开放的系统和服务、避免带病资产运行之外,还需要通过技术手段进一步强化边界防护和访问控制。
RayWAF支持扫描陷阱防护功能,可以准确识别非法扫描行为,配合智能限速模块,有效拦截攻击者的初期试探和暴力破解等活动,从而帮助用户收敛攻击面。
第三重:人机识别加语义,扩大防护面
针对0day攻击等新型、未知和隐蔽的威胁,传统的静态检测规则通常仅能覆盖已知威胁,难以做到全面发现和准确识别。
RayWAF人机识别能力,则可以主动出击,对攻击源进行反向验证,区分正常访问和异常行为;同时,RayWAF还支持语义分析检测引擎,可以利用语义和上下文线索来判断攻击逻辑,从而有效发现未知威胁,从整体上实现防护面的扩大。
第四重:业务建模白名单,守好关键点
对于重要系统和核心业务,RayWAF可以通过流量自学习建模的功能,为其建立业务访问白名单模型,仅允许匹配白名单的正常行为通过,对于任何异常和非法的访问一律进行拦截,从而提供最强硬的防护手段,帮助用户守好关键点。
第五重:外联检测加蜜罐,内网防失陷
针对内网安全的加固,用户一方面需要清晰划分业务区域、合理分配访问权限,另一方面还可以利用行为分析和诱捕防御等手段来提升内网安全性。
RayWAF的外联检测功能,可以及时发现内网主机失陷后的受控外联通道并进行阻截;同时还支持蜜罐策略,可以充分利用用户空闲的网络资源来建立诱捕环境,一旦攻击者在内网发起扫描活动,可以第一时间将其捕获并进行溯源反制。
通过五重保障方案,永利皇宫RayWAF不仅能够帮助用户建立可靠的安全防护体系、抵御0day攻击等威胁;还能够有效减轻用户单位重保及攻防演练期间的值守压力,让蓝队get属于防守方的向往的生活。有备,则无患。