网络攻防视角下的积极主动防御能力建设探索
2021-11-03 14:55:43 Author: www.freebuf.com(查看原文) 阅读量:28 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

前言

在信息化不断发展和深入的基础上,网络和各类应用系统在架构、应用方式等方面发生了重大变革,大量的新技术、新应用被引用,数据化、信息化成为必然的发展趋势。同时,网络架构基础设施、业务应用的提供方式的变革必然带来新的风险,而近几年随着国际形势日趋严峻,竞争已扩展至网络空间层面,境外国家和各类黑客组织对能源、航天、通信、金融等重要行业甚至进行长达数年的网络攻击渗透。各类网络攻击层出不穷,即使是安全防御能力建设比较完备的分公司,在面临各类APT攻击时,因为攻防信息不对称的原因,防御依然处于被动境地,因此,如何防范如APT等高级攻击方式方法将是业务网络安全建设的关键之一。

在当前网络安全形势日益严峻,网络安全防护更加强调攻防对抗和安全有效性的大背景下,增强安全防护体系的主动防御能力,确保数字化、信息化的正确推进,有效应对日益复杂的网络攻击手段,保障数据安全和业务安全的必然路径。

网络安全能力建设的局限性

大型企业的网络安全工作在原有等保合规驱动下的体系化建设逐渐完善,以部署防火墙、入侵防御、态势感知、上网行为管理等一类边界安全技术产品为主,具备一定程度安全防护能力。同时,因传统网络安全产品基于规则或特征的被动检测防御机制,随着网络入侵手段的日新月异,0day漏洞不断的被发现,这些静态保护手段显露不足之处。也无法对攻击者的属性信息、攻击手法进行有效的判定和监控,在面对攻击事件的溯源等问题上缺乏行之有效的方法。

重要行业企业的网络、服务、应用、数据一直是攻击者和黑客组织的首要目标,被动防御能力不足以抵挡高端攻击手段,构建企业级的主动防御能力是避免重大安全事件发生的首要任务。

以欺骗防御技术为核心构建主动防御能力

在全球知名的安全公司MITRE推出的权威积极防御Shield框架里,包括了引导、收集、控制、检测、破坏、促进、合法化、测试8大战术和33种技术,其中欺骗防御在技术中占了接近一半。在2021年RSAC大会上,MITRE将从被动到主动防御演变分为五个阶段:被动阶段、准主动阶段、主动欺骗阶段、入侵互动阶段、主动防御阶段;其中从准主动阶段到入侵互动阶段,均以欺骗防御为核心,构建诱捕、监控、溯源体系,在最后的主动防御阶段,强调对攻击链的还原和对攻击者的反制,由此可以得出结论:主动防御的核心是采用欺骗防御技术构建安全防护体系。

欺骗防御技术区别于传统安全产品的安全检测思路,以攻击者的目标、攻击思路、攻击步骤视角,构建覆盖整改攻击链路的防护链路,提供全面且主动性极强的安全防守能力,达到精准感知、全程监控、溯源反制、闭环处置等安全目标,确保网络和业务的安全性。

欺骗防御技术原理

欺骗防御技术不同于传统的安全产品,基于对黑客入侵行为的分析,通过在黑客入侵路径上每一个步骤对其干扰和诱捕,达到发现攻击行为、阻断攻击甚至是溯源身份的目的,尽可能多地收集黑客攻击的策略、手法等信息,从而使企业在日常防护中可以处于优势地位。

欺骗防御防护思路示意图

主动防御能力构建

为确保攻击感知和捕获的效果,建设过程中对现有业务分布、网络架构进行充分调研分析,从而确定欺骗防御系统部署位置,针对性进行诱捕策略设置,以安全能力与业务架构深度融合及充分混淆为核心目标进行项目建设。

外网部署

为了不影响现有网络架构,尽可能减少侵入性,外网欺骗防御部署采用旁路部署方式,通过在网络出入口交换机侧部署流量模块,通过将诱捕到的攻击流量进行劫持,实现对互联网侧攻击行为的诱捕与分析。

互联网欺骗防御能力部署示意图

内网部署

内网部署,将多种类欺骗防御组成蜜网区,同时在各个网络区域内部署探针,将欺骗防御内虚拟沙箱覆盖到真实业务环境中,一旦感知到黑客攻击行为,便将攻击者诱捕至蜜网区,进行攻击隔离。

内部网络欺骗防御能力部署示意图

业务融合与混淆

网络防护是对整个潜在攻击面的防护,欺骗防御产品体系要尽可能覆盖所有风险面,才能最大限度发挥安全防护价值。在网络纵深上,要覆盖网络边界、网络流量、主机层、应用层、数据层等各维度,在网络环境上,对办公网、生产网、测试网等要根据环境和业务特性进行不同方式的覆盖,构建欺骗防御体系化感知能力,全面防御来自不同方向和不同手法的网络攻击。

欺骗混淆示意图(红色为虚拟资产)

应用效果预期

基于欺骗防御针对黑客攻击行为进行诱捕、分析、监控、溯源、反制,加之对攻击者的迷惑性,在其无感知的情况下进行攻击锁定和溯源反制,保护真实网络和应用。

欺骗防御诱捕到的攻击者画像

溯源到的黑客信息

攻击反制获取攻击者电脑截图与设备信息

总结

网络安全合规已进入等保2.0时代,更强调将被动防御体系建设思路转变为构建积极主动防御体系,注重在安全事件的前、中、后具备主动防护和反制能力。同时针对企业的核心应用系统和数据防护,在面临严峻安全形式的背景下,构建以欺骗防御技术为核心的积极主动防御能力,既是在监管合规下的必然趋势,也是避免重大安全事件发生和信息数据泄露的有效途径。


文章来源: https://www.freebuf.com/articles/neopoints/303453.html
如有侵权请联系:admin#unsafe.sh