现在的红队是越来越猖狂,从之前的“美人计”、车库潜入、声东击西到如今的0-Day炸弹一通乱扔,红队的攻击不择手段、简单粗暴,与实战场景愈加接近,而蓝队也为此焦头烂额吃尽了苦头。
去年红队几个0-Day往外一扔,蓝队直接就人仰马翻。今年红队要是再整出几个0-Day可咋办?
请先记住下面的两条“网络安全公理”。
公理1 |
没有绝对的安全。 |
公理2 |
漏洞永远都会存在。 |
所以祈祷红队不再挖0-Day、不再扔0-Day这类的虚幻奢求请直接PASS掉。为了避免今年红队再扔0-Day漏洞发起未知攻击,蓝队的朋友你可以这样做。
■ 第1步:基础工作之知己
先搞清楚自己都有啥,内网、外网,软件、硬件、人员配备、安全管理制度等等,从IT资产到人员、制度,甚至是供应链都要做好梳理排查,排查要多从几个维度展开,切忌“遗漏”,例如对于IT资产就可以分别从硬件资产、软件资产、办公资产、业务资产、内网资产以及外网暴露资产等维度进行排查。
同时要明确流程、明确联系人、明确负责人,做好预演,确定发现问题后的第一汇报人、负责人等等。
■ 第2步:基础工作之发现自身脆弱性
资产等梳理清晰后,开始查找发现脆弱点,包括内网脆弱点、外网脆弱点、应用系统脆弱点、第三方组件脆弱点、网络设备脆弱点、网络安全设备脆弱点、办公环境脆弱点、供应链安全脆弱点、流程制度脆弱点、安全意识脆弱点等等。发现脆弱点后,就要开展对应的安全加固、策略设置、权限调整、补丁修复、系统升级、流程优化、重点培训等工作。
蓝队内部也要做好协调,制定清楚联络名单,以及与各资产设备供应商的联动方式,统一出口,统一渠道,金字塔架构管理,避免多人汇报多人指挥的混乱局面出现。
对于需要重点保障的业务,一方面要制定应急预案并通过预演进行验证,一方面可以考虑适度增加攻击成本,降低其可能被红队重点“照顾”的可能性——毕竟红队的攻击时间有限,这属于规则内可以利用到的地方。
多提醒一点,弱口令的问题最好不要再出现,因为某个不起眼环节的弱口令导致防线被红队击穿,想起来就很尴尬。
■ 第3步:进阶工作之“抢”时间
这属于“曲线救国”的第一种方法,扩大并优化对安全告警、威胁情报的监控范围,加强漏洞响应和管理,增加自动化事件处理,通过这一系列的动作“抢”到更多的响应时间,提升对攻击的处理效率。这个方法拼的就是看谁能更快一步,整个过程会极为紧张刺激,心脏不好、血压高的蓝队同学请谨慎参加。
■ 第4步:进阶工作之“拼”识别
这还是属于“曲线救国”,相对于第一种方法,蓝队可以借助APT相关网络安全设备,对攻击行为进行识别,通过分析攻击的行为模式,发现部分利用0-Day漏洞展开的未知攻击。很明显,这会存在一定的概率问题,如果攻击模式十分陌生,或者极为难以辨识,或者某些合法操作与攻击模式过为相似,都可能会降低对未知攻击的提前发现概率。攻击模型、机器学习等会一定程度提升对0-Day漏洞未知攻击的发现概率,但依然不能彻底搞定0-Day漏洞的威胁。
■ 第5步:高光工作之应用侧强防护
这里其实要做的是换个思路,在时间有限的前提下,攻击面暴露更多也更容易暴露的应用系统往往会被红队“重点关照”。所以,做好应用运行时的安全防护,可以进一步增强对红队0-Day漏洞攻击的防御。特别是在应用前面部署了类似中云网安AI Web Defender这种以人工智能为核心驱动紧贴应用层的新型人工智能应用安全产品的蓝队同学,就可以在Http(s)应用安全防护节点上,实现对0-Day漏洞未知攻击的彻底杜绝。这样做的好处在于,首先可以极大减轻整条网络安全防线的压力,让蓝队同学能够把精力更聚焦在其他防护薄弱点上;其次就是尽可能的吸引红队攻击火力,消耗红队的“时间”攻击要素、应用类0-Day漏洞弹药等;另外,还能有效保障红蓝对抗期间业务应用系统的正常运行。
红蓝对抗博弈过程中,蓝队的层层设防能让红队步履维艰,而对AI Web Defender等人工智能安全新型产品的有效部署则可以帮助蓝队获取这场对抗的主动权、控场权。让整条网络安全防线里都不存在0-Day漏洞并不现实,但通过以上种种方式、手段的综合运用,蓝队再次面对红队的0-Day漏洞攻势时,将不再会不堪一击,甚至可以巧妙布局困住红队,最终让红队无功而返。
,