“网络安全的本质在对抗,对抗的本质在攻防两端能力较量”。新一代科技产业革命和世界百年变局交织叠加之际,国内外网络安全形势风云变幻、错综复杂。有组织、有预谋、训练有素的黑客和模拟攻击者,不断嗅探和渗透着我们的网络。尤其在政治、经济、社会等方面的重大活动期间,渗透攻击愈发猛烈。在各类网络安全威胁日益增多,网络攻击、数据泄露、网络钓鱼等网络安全问题给个人、企业和国家的信息安全带来巨大威胁的大背景下,如何提升守方的对抗能力,甚至实现“反制”,成为网络运营者亟需解决的问题。
“神农遍尝百草以医民恙”,更好的防守需要更深地了解进攻端的手法,知己知彼才能百战不殆。无论是真实的黑客还是模拟攻击者,虽然攻击目的和危害有所不同,但手法却很相似,通常包括信息收集、纵向攻击、边界突破和横向扩展等环节。信息收集环节,攻击者会充分收集目标单位暴露在互联网上的IT资产和相关信息;纵向攻击环节,攻击者会综合利用口令破解、木马上传、源代码审计、0DAY、供应链攻击等手法获取目标系统的一定权限;边界突破是在纵向攻击的基础上,进行提权、搭建内网隧道;横向扩展是在具有外网到内网通道的基础上,对目标单位的内网核心资产发起攻击,获取更多重要系统权限和敏感数据。
依据以上攻击流程和各环节的渗透手法,北方实验室正安研究院结合多年实战经验,总结出敌进我退、固守城池、诱敌深入、一触即发和反客为主、五条网络安全保障计策,旨在快速构建网络安全防御体系,为重要时期网络安全保障提供解决方案。下面分别就“五妙计”进行详细说明。
{ 第一计 · 敌进我退 }
采取有计划的主动避让,减少暴露,以退为进。此计并非临阵脱逃,消极应战,而是在攻击发生之前,进行暴露面收敛,下线无用资产,退去多余数据,最大程度减少攻击者在信息收集环节可以捕获的信息数量,降低收集到的信息价值,从而可以集中网络安全防护资源,降低被攻击的可能。
1、下线资产:关闭非必要或无用的网站、业务系统、APP、中间件、数据库及服务器等IT资产。例如通过互联网扫描、爬虫工具进行互联网资产清查,同时进行内网资产探测,主动发现多余、“僵尸”资产并进行下线处理;
2、关闭端口:通过防火墙关闭所有非必要端口,仅允许必须的端口面向互联网或外部边界开放,例如仅允许门户网站的80、443端口面向互联网开放,不允许22等端口进行远程访问;
3、封禁IP:结合本单位业务情况,在重保时期,可以对来自境外、外部云平台等不存在业务交互的IP地址进行封禁;
4、收敛信息:隐藏真实IP,禁止PING命令,修改默认服务端口号;删除或修改系统的属性特征,包括框架版本、服务单位信息、框架链接接口名称和具有指向性的标签等;隐藏系统后台访问地址,仅允许指定IP、通过VPN或使用UKEY进行后台访问;清理多余过期账号,及时回收VPN等重要权限账号;删除或加密显示系统敏感信息,包括身份验证逻辑、人员信息(姓名、电话、工号、身份证号、邮箱等);删除发布在文库、论坛、代码托管等外部平台存在敏感信息的文章、说明书、操作手册、源代码等;加强供应链管理,签订保密协议,避免供应链人员掌握过多敏感信息,严格管控人员接触和使用的系统权限等。
{ 第二计 · 固守城池 }
采取守势,深挖壕沟,高筑营垒。此计需在攻击发生之前,开展自检自查和安全加固,修复隐患漏洞,提高系统抵御黑客攻击的能力,在攻击者暴露攻击行为后,寻求反制机会。
1、物理安全:对机房和重要区域,设置门禁系统、视频监控系统或人员巡检,避免近源攻击者靠近或进入。
2、网络安全:
1)互联网、外部单位、内网区域、无线等网络边界,部署防火墙、入侵防御、防病毒等防护措施;例如互联网系统可通过云防系统进行流量清洗和安全防护;通过防“钓鱼”系统进行邮件系统防护,提升应对社会工程学攻击的能力;
2)进行网络分区分域,区域边界和区域内部均需部署端口级访问控制策略,以实现最小化的访问;
3)运维管理、核心内网等重要网络禁止使用无线,必须使用无线时,对信号进行隐藏,并使用强口令进行身份鉴别。
3、系统自身安全:
1)应用系统、操作系统、数据库等避免存在弱口令和默认口令,建议口令设置数字、字母大小写、特殊字符无序组合,长度超过8位;
2)系统登录和重要操作设置图片验证码等防止重放机制,配置登录失败处理功能,例如5次登录失败锁定20分钟;
3)系统必须保存数据库等账号和口令的配置文件,建议对口令等重要信息进行加密处理;
4)服务器及重要终端禁止同时连接内网和互联网,例如通过违规外联监测系统识别“一机两网、一机多用、被控外联”等安全事件;
5)服务器及重要终端不留存或加密留存运维地址、账号和口令等敏感信息;浏览器、远程管理等工具不保存账号和口令;
6)利用主机防护系统预警并阻断网页篡改、漏洞利用等网络攻击事件,实时感知主机威胁;
7)对系统登录、退出和重要操作进行审计记录,记录留存超过六个月。
4、安全运行管理:
1)开展源代码审计、漏洞扫描和渗透测试,对发现的漏洞隐患进行修复;对防护系统的版本库进行升级;
2)开展应急演练,模拟攻击事件,锻炼队伍应急处理能力,提高应急协作水平;
3)开展防范钓鱼(邮件钓鱼、OA 钓鱼)、电诈培训,增强人员防范意识。
{ 第三计 · 诱敌深入 }
此计可在攻击发生之前,故意设置有漏洞的蜜罐系统,使攻击者放松警惕,充分暴露攻击痕迹,从而根据攻击手法进行防御策略的完善,消耗攻击者时间和精力,同时寻求反制机会。例如通过蜜罐系统,模拟多个或海量高仿资产,引诱黑客发起攻击。
1、低交互蜜罐:
低交互蜜罐会模仿少量的互联网协议和网络服务,攻击者会非常有限的访问该资产。此类蜜罐易于维护但无法欺骗攻击者参与更多的攻击,捕获效果较弱。
2、高交互蜜罐:
高交互蜜罐会提供仿真系统,攻击者不易察觉,可以发现威胁并跟踪攻击者的行为,获取其攻击手法和使用的工具等。
{ 第四计 · 一触即发 }
此计需在攻击发生时,对网络流量、攻击行为等进行监测预警、审计分析和应急处理,攻击者一旦暴露,立刻将其IP地址进行封禁,四面包围、聚而歼之。结合攻击行为进行防护策略完善,在发生实质性攻击事件时,第一时间进行应急处理,阻断攻击行为,降低影响范围。
1、建立重保值守制度,进行人员24小时排班;
2、明确值守人员职责划分,通常可根据监测预警的防护系统、IT资产属性、人员能力和角色进行分工;
3、建立有效的沟通汇报机制,依据事件等级明确沟通和汇报流程,保证处置工作及时、准确、合理;
4、健全日志收集机制,进行网络重点部位的全流量感知,不出现死角。结合防护系统的监测预警、威胁情报和日志审计(特别是错误和异常日志,非常规IP的正常操作日志等)进行综合分析研判,开展阻断、应急、策略完善和追踪等处置工作。
{ 第五计 · 反客为主 }
在重保时期,防守方通常处于被动挨打的局面。此计在攻击发生时或发生后,结合攻击者暴露的手法和信息等,开展溯源取证和反制,由被动的地位变为主动的地位,甚至反败为胜。
1、通过防护系统攻击日志和威胁情报的收集整理,分析攻击者的真实IP地址及攻击手法;
2、通过在被攻击的系统中找到攻击者上传的工具和病毒木马,进行沙箱或反编译分析,发现连接攻击者的IP地址等信息,通过对攻击者相关的IP地址进行渗透实现反制;
3、故意发布VPN账号和口令,或某些需要安装插件才能访问的系统,促使攻击者下载包含防守方植入木马的安装程序;
4、通过发送与防守单位相关的钓鱼邮件,诱导攻击者浏览;
5、通过蜜罐系统或MYSQL、RDP等服务,获取攻击者浏览器信息、身份ID、个人账户等隐私数据,利用这些敏感信息对攻击者的相关系统进行反渗透。
相对于隐藏在暗处的攻击者,处于守势的网络运营者相对被动。“兵以计为本,故多算胜少算”,通过以上“五妙计”科学的、灵活的运用,一定程度可确保重要系统网络运营者在重保时期“运筹帷幄,决胜千里”。
【 研究员介绍 】
段晓祥
北方实验室正安研究院渗透测试中心总经理,红蓝攻防对抗专家、资深安全顾问、高级等级保护测评师、全国优秀等级保护测评师、商用密码应用安全性评估师。
【 正安研究院 】
正安研究院是北方实验室(沈阳)股份有限公司设立的技术研发机构,下设信创适配验证中心、渗透测试中心、商密应用中心、国家工程研究中心智造网络安全分中心等专门技术研究中心。正安研究院在探索网络安全领域前沿科技的同时,支撑北方实验室的技术创新与业务创新。
北方实验室是以网络安全检测评估为主营业务的网络安全服务提供商。公司是国家级专精特新“小巨人”企业、国家中小企业公共服务示范平台、国家高新技术企业、瞪羚企业,为辽宁省商密协会会长单位,拥有辽宁鲲鹏生态创新中心、辽宁省信创适配验证创新中心、辽宁省企业技术中心等多个技术创新平台。