廣州熱線

在大型實(shí)網(wǎng)攻防演練中總結(jié)凝練的技戰(zhàn)法對(duì)每位安全從業(yè)者而言,都是極為寶貴的經(jīng)驗(yàn)總結(jié),經(jīng)由多年實(shí)戰(zhàn)驗(yàn)證過的技戰(zhàn)法更能作為從業(yè)者在適應(yīng)當(dāng)今“極速攻防”安全趨勢(shì)下的兵法秘籍。

華順信安作為常年在國(guó)家級(jí)網(wǎng)絡(luò)攻防演練中扮演重要角色的安全力量,從四大典型場(chǎng)景總結(jié)歸納了高實(shí)用性的平戰(zhàn)結(jié)合“兵法策略”,致力于將網(wǎng)絡(luò)空間測(cè)繪技術(shù)發(fā)揮到最大效能。

“高度隱蔽、不暴露出破綻,才是最好的軍陣態(tài)勢(shì)。敵人再厲害也不能窺探我的虛實(shí),對(duì)我無從下手?！?/p>

暴露在外的互聯(lián)網(wǎng)隱形資產(chǎn)是企業(yè)IT規(guī)模達(dá)到一定程度必定出現(xiàn)的風(fēng)險(xiǎn)之一,這些或有意或無意產(chǎn)生的防守破綻也經(jīng)常成為攻擊者“借用”的突破口。在華順信安的《技戰(zhàn)法·挖掘互聯(lián)網(wǎng)隱形資產(chǎn)》一篇中就重點(diǎn)闡述了如何通過體系化、自動(dòng)化的方式來解決在極速攻防場(chǎng)景下的攻防信息差這一問題。

為了能夠有效率地發(fā)現(xiàn)隱藏資產(chǎn),我們基于已掌握的目標(biāo)資產(chǎn)信息,提取和構(gòu)建企業(yè)互聯(lián)網(wǎng)資產(chǎn)線索庫(kù)。在實(shí)戰(zhàn)中,圍繞企業(yè)自建線索庫(kù)進(jìn)行“滾雪球”式的自動(dòng)化隱形資產(chǎn)挖掘,搶在攻擊者之前先發(fā)現(xiàn)隱形資產(chǎn),形成安全與業(yè)務(wù)的良性循環(huán),持續(xù)收斂企業(yè)攻擊面,讓攻擊者無處尋找防御破綻。

“管理千軍萬馬就如管理小團(tuán)隊(duì)那樣如臂使指,是因?yàn)榻M織結(jié)構(gòu)和責(zé)任制度合理嚴(yán)密?！?/p>

在實(shí)網(wǎng)攻防演練中,“找責(zé)任人”常常是安全部門非常頭疼的問題,CMDB記錄不準(zhǔn)確、主機(jī)服務(wù)或端口無法探測(cè)、主動(dòng)探測(cè)資產(chǎn)顆粒度不足...往往是攻擊事件發(fā)生了,安全部門還需要疲于到各個(gè)平臺(tái)查詢找責(zé)任人。在實(shí)網(wǎng)攻防演練這樣高強(qiáng)度的對(duì)抗中,這樣的時(shí)間成本很可能就會(huì)影響最終的結(jié)果。

在華順信安的《技戰(zhàn)法·秒級(jí)定位到資產(chǎn)責(zé)任人》一篇中提出通過建立安全視角下的完整準(zhǔn)確的資產(chǎn)動(dòng)態(tài)臺(tái)賬,通過資產(chǎn)及資產(chǎn)關(guān)聯(lián)關(guān)系信息與資產(chǎn)與人員的關(guān)系信息結(jié)合,實(shí)現(xiàn)全網(wǎng)設(shè)備資產(chǎn)和人員信息的集中管理,解決資產(chǎn)歸屬部門不清晰、整改落地責(zé)任不明確等問題。

此外,還需要通過對(duì)采集的各類資產(chǎn)屬性信息進(jìn)行識(shí)別和分類,針對(duì)設(shè)備資產(chǎn)建立精細(xì)的資產(chǎn)畫像,資產(chǎn)畫像對(duì)安全相關(guān)的屬性信息分類,以此來應(yīng)對(duì)資產(chǎn)屬性變化帶來的風(fēng)險(xiǎn)。

通過上述戰(zhàn)前操作,不止可以實(shí)現(xiàn)互聯(lián)網(wǎng)暴露資產(chǎn)的攻擊路徑及責(zé)任人秒級(jí)查詢,更是要讓安全、業(yè)務(wù)、運(yùn)維等部門形成合力,并且能夠在問題發(fā)生時(shí)快速反應(yīng),贏得攻防中的主動(dòng)權(quán)。

“不能取勝的原因往往出自內(nèi)部,能夠取勝則是因?yàn)閷?duì)手的失誤?！?/p>

攻防實(shí)戰(zhàn)中,防守方經(jīng)常會(huì)為供應(yīng)鏈太長(zhǎng)而陷入防無可防的被動(dòng)局面。本質(zhì)上,這種被動(dòng)局面源于對(duì)自身資產(chǎn)識(shí)別不清。區(qū)別于一般資產(chǎn),供應(yīng)鏈資產(chǎn)難以被防守方全面識(shí)別,相關(guān)信息的缺失又會(huì)讓企業(yè)無法快速開展漏洞專項(xiàng)排查,風(fēng)險(xiǎn)面摸排效率大打折扣,也正是因?yàn)檫@些原因,供應(yīng)鏈往往成為攻擊者的首要攻擊目標(biāo)。

因此,企業(yè)需要根據(jù)所屬行業(yè)、關(guān)聯(lián)業(yè)務(wù)刻畫供應(yīng)鏈資產(chǎn)“地形圖”,在爆發(fā)漏洞時(shí)能夠根據(jù)“地形圖”快速標(biāo)定風(fēng)險(xiǎn)資產(chǎn),建立供應(yīng)鏈資產(chǎn)的漏洞響應(yīng)機(jī)制,提升安全管理能力。

2023年全國(guó)攻防演練中針對(duì)開源組件、軟件供應(yīng)鏈廠商0day/Nday漏洞攻擊占據(jù)首位,如企業(yè)微信漏洞等影響廣泛,面對(duì)一波接一波的供應(yīng)鏈安全問題,華順信安在全網(wǎng)范圍內(nèi)開展實(shí)時(shí)排查,利用本套技戰(zhàn)法精準(zhǔn)測(cè)繪,定位了大批受影響企業(yè),并第一時(shí)間報(bào)送多起供應(yīng)鏈安全情報(bào)。

“想要獲取敵人情報(bào)不能占卜問卦,也不能用經(jīng)驗(yàn)推斷,而是要通過可靠的消息渠道獲取?！?/p>

情報(bào)對(duì)于當(dāng)今攻防演練的重要性不言而喻,安全人員對(duì)廠商報(bào)送的各類“快馬加鞭情報(bào)”疲于應(yīng)對(duì),一旦響應(yīng)不及時(shí)或疏漏掉某個(gè)高價(jià)值情報(bào),企業(yè)隨時(shí)面臨被攻擊風(fēng)險(xiǎn)。在這種長(zhǎng)期高強(qiáng)度、高壓工作下,安全人員因疲憊難免會(huì)出現(xiàn)漏判、誤判等低級(jí)錯(cuò)誤。因此在《技戰(zhàn)法·海量情報(bào)響應(yīng)》一篇中,華順信安講解了一種將威脅情報(bào)、網(wǎng)絡(luò)空間測(cè)繪、漏洞驗(yàn)證等安全能力耦合的方案。

技戰(zhàn)法從多源的威脅情報(bào)中自動(dòng)化提取供應(yīng)鏈風(fēng)險(xiǎn)、組件信息、攻擊隊(duì)IP/域名等信息,通過搭建可編排資產(chǎn)中臺(tái),以情報(bào)作為輸入源與網(wǎng)絡(luò)空間測(cè)繪引擎融合,在調(diào)用安全驗(yàn)證工具,最終實(shí)現(xiàn)對(duì)海量漏洞情報(bào)的快速響應(yīng)。這其中負(fù)責(zé)調(diào)度的資產(chǎn)安全中臺(tái)需要具備安全“積木塊”的耦合能力,方便防守方根據(jù)需求進(jìn)行快速機(jī)動(dòng)調(diào)整。

刻畫企業(yè)的網(wǎng)絡(luò)空間資產(chǎn)供應(yīng)鏈條、全面識(shí)別暴露資產(chǎn),本不屬于傳統(tǒng)意義上的“防”,此前相關(guān)方法常出現(xiàn)在“攻擊方”的情報(bào)搜集階段,而防守方更多的則是通過各種硬防策略部署,形成“深溝堅(jiān)壘”。而隨著攻防技術(shù)的不斷演進(jìn),傳統(tǒng)防守思路已經(jīng)難以應(yīng)對(duì)如今的極速攻防場(chǎng)景。本次華順信安的系列防守技戰(zhàn)法,便是基于“攻即是防”的核心思想,在廣泛的實(shí)戰(zhàn)中錘煉形成。