ADconf 2023:实战是攻防核心 身份安全将成网安新赛道

首页 / 业界 / 资讯 /  正文
作者:闫小川
来源:安全419
发布于:2023-01-11
1月7日,由中安网星主办的首届 ADconf 安全大会成功举办,这是国内2023年首场硬核技术分享型网络安全大会,也是国内目前为止,目标明确的以实战攻防为主题的网络安全大会。AD为Attack Defense的英文缩写,明确代表了大会以攻防为主题,首届 ADconf 安全大会共有六大议题分享,从其演讲嘉宾阵容和议题内容来看,主办单位对他们的第一届 ADconf 也确实下了不少功夫,全实战议攻防题可谓诚意满满。
 


因为讨论攻防,就不能脱离实战,就像MJ在致辞时提出的那样,只有实战,才是网络安全的未来。六大演讲嘉宾全部来自攻防一线,且均有着长期的攻防演练实战经验,这也是首届 ADconf 最为吸引人关注之处。
 
ADconf 2023核心关键词:实战、集权、身份
 
深信服深蓝实验室负责人潘立亚、360灵腾实验室负责人赖志活、绿盟科技烈鹰战队队长陈永泉、微步在线红队业务线负责人苏大江、长亭科技华北综合交付红队负责人章遵豪、中安网星御守实验室负责人李帅臻。以上是首届 ADconf 的演讲嘉宾阵容,嘉宾与其背后的力量都是近年来国内大型攻防演练活动的杰出代表。他们在 ADconf 大会上分享的议题方向不同,有的是红队视角的战术战法上的创新,有的是针对金融行业或是运营商的突破战术,而有的攻防视角主要落点是工控安全和供应链安全上。
 
嘉宾演讲内容方向不同,但也有大量相同的观察和战法上的采用,通过安全419梳理总结,嘉宾普遍认为攻防演练红队一方竞争越来越激烈,行业特点的不同带来了不同的网络架构,所以攻防能力的进一步提高其一是实战化要求必须更懂目标行业背景和系统架构;其二是战法战术上要不断创新。



在具体的战术战法执行时,除了不同场景上的细节技术点之外,倒是有着很多交集,那就是对集权基础设施的攻击趋势,以及攻击链路上的身份利用,这也是一线实战侧对未来攻防趋势的定义与观察。
 
其中深信服深蓝实验室负责人潘立亚演讲内容主要视角是攻防技术的创新,在他讲到创新与业务落地之间的关系时,其重点认为在拓展全域安全之余,仅从攻防演练这一视角来看本身即可以拓展一些专项服务,比如针对集权设备的安全评估,如AD域、vCenter、k8s,这些场景都是创新的落地点。
 
360灵腾实验室负责人赖志活演讲内容聚焦红队视角下的运维体系攻防,他也指出了红队正逐渐将演练攻击对象转向企业内的集权管理设备,因为其价值在于能够拿下这些集权设备,管理范围内的其他设备的攻击成本将大幅下降,从而可以为横向渗透逼近靶标开辟道路。
 
绿盟科技烈鹰战队队长陈永泉在其“实战演练破盾战术”分享供应链攻击时分享了某一外包服务商的攻防演练案例,从供应商内网ERP系统获取关联信息,并通过密码碰撞拿下邮箱,进而获得VPN开放时间和凭据,从而拿下目标靶标。其中关键点除了情报,战术之外,身份是攻击链路上的核心要素。
 
微步在线红队业务线负责人苏大江攻防实战分享集中于EDR对抗上,对于拿下靶标而言,EDR产品的检测能力对于红队是个拦路虎,在理论外的实践侧,从其实战案例分享环节可以看出,身份都是攻击链路中的核心点,无论是身份验证绕过,还是获取关键人员终端权限。
 
身份是攻击链路的核心 身份安全是未来重要新赛道
 
中安网星御守实验室负责人李帅臻议题分享从网络安全体系变化上谈起,这也是一套宏观而又经典的现代攻击杀伤链,其由应用(边界保护)、设备(终端保护)、身份(用户保护与横向移动)、数据(核心设备和数据保护)四大元素组成。不难看出的是,企业基础 IT 架构的变化必然影响攻防上的变化,而身份,已成为网络新边界。



ADconf 网络安全大会主办方中安网星曾在会前向安全419表示,身份作为安全新边界,未来,与其相关的身份基础设施将会成为攻击重点,比如IAM、AD、PAM、4A、vCenter等基础设施将逐渐成为主要的攻击对象。
 
总结 ADconf 2023演讲嘉宾的实战分享,不难发现定义这一趋势的原因:
 
1、企业网络规模和架构随着信息化发展变得越来越大、越来越复杂,企业为了高效安全管理,各种集权设备正逐渐成为企业广泛采用的重要基础架构;
2、另一方面,集权设备的安全现状较差,不仅是高危历史漏洞普遍存在,且存在缺乏统一管控的安全解决方案,实战侧失陷案例举不胜举;
3、身份类集权设施通常保存密码多、控制节点多、网络权限广,对攻击者而言是核心的攻击对象,值得企业去重点设防;
4、从实战案例分享来看,基于身份的攻击是攻击链路中的核心,其中利用合法身份,或伪造身份绕过安全防守均为常用战术,实际上这也是初始阶段钓鱼攻击会非常常见的原因。
 
“身份安全现在非常重要,如中安网星现在做的事情就有着极高价值,特别是在当前攻防演练场景下,已经进入了无漏洞攻击时代,全场景下的攻击利用最终都需要用到身份。”陈永泉在主题分享时就曾直接表示,可见身份安全产品在场景当中的安全价值。
 
提起主办方中安网星,其主办的 ADconf 安全大会命名不仅直接体现实战攻防,还一语双关了他们之前的核心能力,即AD域安全。此前,中安网星在接受安全419采访时曾表示,作为国内一线身份安全厂商,中网安星正在落地ITDR(Identity Threat Detection and Response,简称:ITDR)战略,全面促进全身份场景上的安全产品落地。
 
ITDR技术由咨询调研机构Gartner对于身份优先安全趋势定义的对应的一项技术合集,其包括保护身份基础架构免受恶意攻击的工具和流程,他们可以发现和检测威胁、评估策略、响应威胁、调查潜在攻击并根据需要恢复正常操作。
 
Gartner对ITDR技术的定义可以看出,一方面作为DR产品将具备检测和响应能力,另一方面,其作为一个全新的技术解决方案,可以包容更多的检测和响应项,从而填补了现有的攻击链路中对身份统一防护空白。
 
在理解技术价值与成功落地方面,主办方此前在接受安全419采访时也曾做出全面陈述。身份基础设施现在提供的主要是认证与管理功能,普遍缺乏检测和响应能力,而两者结合,才能构筑完整的身份安全技术集。而落地方面,技术独立的ITDR,可以更好的融入到众多应用场景当中,针对不同场景的身份基础设施提供检测和响应,而非这些身份基础设施独立集成。
 


在 ADconf 2023安全大会上,中安网星御守实验室负责人李帅臻带来的议题内容在探讨趋势之余,重点分享了不同身份认证协议攻防细节,充分展示了中安网星在这一技术栈上的技术积累。大会当天,中网安星还发布了《ITDR-身份威胁检测与响应》、《ITDR-vSphere》、《ITDR-身份认证协议》、《ITDR- IAM》、《ITDR-Kubernetes》技术白皮书,全面梳理了其自身在ITDR技术栈诸多技术沉淀。
 
在商业化方面,中安网星不断巩固自身ITDR技术栈,其推出的ITDR身份威胁检测与响应平台,将对AD、vCenter、K8s、PAM、IAM、4A等基础设施提供安全防护,并不断加深场景上的覆盖。同时他们也将根据客户的具体需要,实现单点身份安全上的能力交付。
 
正如首届 ADconf 安全大会的圆桌讨论环节上嘉宾指出的那样,任何一次攻击都可以抽象为“寻找目标-获取凭据-登录”的过程,身份类攻击将贯穿攻击链始终,未来,攻防焦点将会聚焦在身份上,身份安全也将成为一个独立的网安新赛道,以帮助客户迎接挑战。