永利皇宫
技术博客

让网络空间更有序

兵临城下公开课丨构建蓝队第二道防线——针对黑客行为的专项防护规则

发布日期:2022/06/23

【兵临城下】系列公开课是永利皇宫基于多年攻防实战经验,针对重保及攻防演习等场景而推出的系列直播活动,将从资产暴露面梳理、攻击面管理、脆弱性自查、安全防线加固、协同联动防御以及攻击溯源、应急响应等全流程进行梳理。

 

本期公开课的主题是“构建蓝队第二道防线——针对黑客行为的专项防护规则”,以下实录文字供大家参考。


各位线上的朋友大家好,我是永利皇宫的聂晓磊,今天我们继续来分享攻防实战中的防守技巧。上一期我们讲到,根据攻击者的特点和路径分析,在防守过程中需要建立三道防线:收敛攻击面、守好关键点和内网防失陷。


假如攻击者已经突破了第一道防线,开始寻找重点目标,那么接下来我们应该怎么做呢?首先还是要分析攻击者的下一步动作,上一期我们提到过,攻击者自己的资源也是有限的,因此他们不会轻易的暴露自己。所以,在重点突击时,他们既不能大范围的进行扫描,也不能使用特征过于明显的攻击,这些都很容易暴露而导致攻击IP被封堵,当然也不能慢条斯理地做各种尝试。

 

在有限的时间、有限的资源内,也就是说在有限的攻击窗口期内,攻击者会紧盯一些所谓的“高价值”目标采取行动。在这里我们列举了三类典型的系统:

 

一、办公系统,比如OA系统或者邮件服务器等。这类系统的特点是目标明显、好找,但是承载的用户信息却很多,一旦被攻击者控制就会泄露大量的情报信息,既可以被用来钓鱼,又可以用来制作口令爆破的字典等等,是攻击者喜欢的突破口之一。

 

二、远控系统,比如一些远程桌面的系统、VPN系统等等。很显然,这类系统本身就是用来远程办公和协作的,所以天然具有直通内网的通道,一旦被控制就相当于暴露了内网环境。

 

三、集权系统,包括堡垒机、域控,各种管理平台比如云管平台等等,这类系统普遍具有更高的内网权限,并且与内网的其他系统交互较多,所以是攻击者关注的重点,一旦被控制就直接威胁到核心系统的安全。

 

针对这些重点目标,攻击者采用的突破方式有很多,但这几年大家提及较多的还是0day漏洞。因为0day漏洞的特点是还未公开或刚刚公布,所以没有提前检测的POC用例,也没有针对性很强的防护规则,所以对目标系统的威胁较大。

 

在这里我们列举了几类需要重点注意的漏洞类型,包括OA、项目管理等业务系统的漏洞;各类设备或产品的漏洞,比如VPN或者杀毒软件的管理控制台等;当然还有操作系统的漏洞,大家需要重点关注一些身份管理类、远程控制类和远程执行类的漏洞;最后就是热度较高也是大家通常较头疼的漏洞——中间件类的漏洞,这里列举的都是容易出现的类型,比如S2的漏洞、WebLogic的漏洞、Shiro的反序列化漏洞等等。

 

这些系统或组件的利用率高,攻击者的关注度也高,因此漏洞出现的也很频繁,对于防守方而言必须要持续关注和反复检查。

 

那么面对这些防不胜防的攻击,防守方怎么做才能守住自己的关键系统呢?我们概括了重点目标防护的“三步走”:最小化权限控制、专项规则防护和白名单防护。

 

首先,要对系统自身加强安全控制,限制开放的权限,细化访问控制策略并做好审计工作;然后针对攻击者可能采用的手段建立专项的防护规则,针对性的进行拦截,收缩防守阵地;最后,对于核心保护对象,在靠近系统的位置建立白名单策略,采用严格的防护手段。这其实也是纵深的一种思路。

 

这就是我们今天要分享的第二道防线,针对黑客行为的专项防护规则。为了应对攻击方在中期的定向突破行为,通过专项规则加白名单相结合的方式来构筑防线,一方面可以有针对性的拦截高危的攻击,另一方面可以通过非白即黑的策略来屏蔽异常访问,从而达到守好关键点的效果。总之,在第二道防线中我们要做到三点,严把关键位置、严防定向攻击和严守关键系统。

 

从产品部署和技巧来看,第二道防线除了进行查漏补缺的部署之外,还需要灵活应用纵深防御的思想,在边界部署准确率高的专项规则,在靠近目标服务器的位置则针对性的设置白名单策略,找到业务和安全的平衡点。

 

第二道防线中的几个核心技术能力:

 

一、专项规则。我们根据攻击者常采用的漏洞利用攻击和后门工具攻击,针对性建立了几套专项检测规则,包括热门组件漏洞的规则、重点设备漏洞的规则,还有各种webshell和远控工具的规则。这些规则覆盖了近几年各类实战攻防场景中的攻击手段,以及热门高危漏洞,后续我们会持续更新,确保防守侧能够进行精准判断;另外,除了专项规则的维护外,我们还通过语义分析和机器学习引擎来进行训练以应对变种威胁。

 

二、口令爆破防护。针对重点目标的口令安全,我们利用口令字典、反向校验与请求限制等方式来检查和拦截,包括对默认口令的收集和各类简单口令、重复口令的编制。概括而言,该技术的要点就是检查口令的健壮性、访问来源的真实性和请求行为的合法性。

 

三、内网防DDoS。在实战中由于DDoS比较依赖资源支撑并且需要应对各种限制,因此在外网侧相对较少。但攻击者进入内网后,为了获取目标系统的权限,则可能会采用DDoS攻击消耗其系统资源,从而导致系统处理异常并暴露缺陷。因此,在内网,我们可以采用连接限制加DDoS识别清洗的方式来做综合防护。

 

四、自学习白名单的能力。针对核心系统,我们在前面专项规则的防护下,还可以再加一道保险,那就是白名单。其实白名单是一种严格的安全策略,如果业务系统自身设计不规范,白名单策略很容易造成误伤。但是在实战化场景中,白名单的防护又是更可靠的,因此我们为了兼顾业务和安全,一方面需要将白名单策略建立在最贴近业务的位置,另一方面需要采用自学习的方式来建立白名单模型,兼顾业务的可用性。根据以往的经验,通常会提前至少两周进行业务学习和建模,保证系统搜集足够的正常业务样本,之后直接启用白名单策略,这样就能达到更好的防护效果。

 

概括而言,构筑第二道防线可总结为以下三点:

 

1、建立专项规则,应对0day威胁等高危攻击,提高攻击检测精度;

2、建立白名单策略,提升对重点系统和关键业务的安全防护强度;

3、守好关键系统,整体上降低内网失陷风险。

项目咨询

*姓名
*单位
*电话
*验证码
发送验证码
*您感兴趣的产品
项目规格
*需求概述
*所在地
*意向行业
+
XML 地图