任何攻击都会留下痕迹。攻击队尽量隐蔽痕迹、防止被发现。而防守者恰好相反,需要尽早发现攻击痕迹,并通过分析攻击痕迹,调整防守策略、溯源攻击路径甚至对可疑攻击源进行反制。建立全方位的安全监控体系是防守者最有力的武器,总结多年实战经验,有效的安全监控体系需在如下几方面开展。
1) 自动化的IP封禁
在整个红蓝对抗过程中,如果红队成员7X24小时不间断从安全设备的高警中识别风险,将极大地消耗监测人员、处置人员的精力。通过部署态势感知与安全设备联动,收取全网安全设备的告警信息,当态势感知系统收到安全告警信息后,根据预设规则自动下发边界封禁策略,使封禁设备能够做出及时有效的阻断和拦截,大大降低了人工的参与程度,提高整个红队的防守效率。
2) 全流量网络监控
任何攻击都要通过网络,并产生网络流量。攻击数据和正常数据肯定是不同的,通过全网络流量去捕获攻击行为是目前最有效的安全监控方式。红队或防守者通过全流量安全监控设备,结合安全人员的分析,可快速发现攻击行为,并提前做出针对性防守动作。
3) 主机监控
任何攻击最终目标是获取主机(服务器或终端)权限。通过部署合理的主机安全软件,审计命令执行过程、监控文件创建进程,及时发现恶意代码或WebShell,并结合网络全流量监控措施,可以更清晰、准确、快速地找到攻击者的真实目标主机。
4) 日志监控
对系统和软件的日志监控同样必不可少。日志信息是帮助防守队分析攻击路径的一种有效手段。攻击队攻击成功后,打扫战场的首要任务就是删除日志,或者切断主机日志的外发,以防止防守队追踪。防守队应建立一套独立的日志分析和存储机制,重要目标系统可派专人对目标系统日志和中间件日志进行恶意行为监控分析。
5) 蜜罐诱捕
随着红蓝对抗的持续化发展,蜜罐技术是改变红队被动挨打局面的一把利器!其特点是诱导攻击队攻击伪装目标,持续消耗攻击队资源,保护真实资产,监控期间针对所有的攻击行为进行分析,可意外捕获0Day信息。
目前的蜜罐技术可分为3种:自制蜜罐、高交互蜜罐和低交互蜜罐,也可诱导攻击队下载远控程序,定位攻击队自然人身份,提升主动防御能力,让对抗工作由被动变主动。
6) 情报工作支撑
现场防守队员在防守中,一是要善于利用情报搜集工作提供的各种情报成果,根据情报内容及时对现有环境进行筛查和处置。二是对已获取的情报,请求后端资源对情报进行分析和辨别,以方便采取应对措施。
六、 应急处突:完善的方案通过近几年的红蓝对抗发展来看,红蓝对抗初期,蓝队成员通过普通攻击的方式,不使用0Day或其他攻击方式,就能轻松突破红队的防守阵地。
但是,红队防护体系的发展早已从只有防火墙做访问控制,到现在逐步完善了WAF、IPS、IDS、EDR等多种防护设备,使红队无法突破,从而逼迫红队成员通过使用0Day、NDay、现场社工、钓鱼等多种方式入侵红队目标,呈无法预估的特点。
所以应急处突是近两年红蓝对抗中发展的趋势,同时也是整个红队防守水平的体现之处,不仅考验应急处置人员的技术能力,更检验多部门(单位)协同能力,所以制定应急预案应当从以下几个方面进行。
一是完善各级组织结构,如:监测组、研判组、应急处置组(网络小组、系统运维小组、应用开发小组、数据库小组)、协调组等。
二是明确各方人员,在各个组内担任的角色,如:监测组的监测人员。
三是明确各方人员,在各个组内担任的职责,如:监测组的监测人员,负责某台设备的监测,并且7X24小时不得离岗等。
四是明确各方设备的能力与作用,如防护类设备、流量类设备、主机检测类设备等。
五是制定可能出现的攻击成功场景,如:Web攻击成功场景、反序列化攻击成功场景、WebShell上传成功场景等。
六是明确突发事件的处置流程,将攻击场景规划至不同的处置流程:上机查证类处置流程、 非上机查证类处置流程等。
七、 溯源反制:人才是关键溯源工作一直是安全的重要组成部分,无论在平常的运维工作,还是红蓝对抗的特殊时期,在发生安全事件后,能有效防止被再次入侵的有效手段,就是溯源工作!
在红蓝对抗的特殊时期,防守队中一定要有经验丰富、思路清晰的溯源人员,能够第一时间进行应急响应,按照应急预案分工,快速查清入侵过程,并及时调整防护策略,防止再次入侵,同时也为反制人员提供溯源到的真实IP,进行反制工作。