前 言
零信任理念自2010年由Forrester公开提出之后,经过了漫长的演化发展阶段。在国内,伴随数字经济时代下IT基础架构变化、边界安全体系瓦解、特征对抗防御失效,零信任提倡的默认一切参与因素不受信、最小权限原则、持续信任评估、动态访问控制的原则,逐渐受到了众多企业的青睐,市场进入发展的快车道。
基于零信任原则打造的网络安全防御体系,将在应用访问过程中,持续对用户身份进行验证,识别终端、系统、环境和用户行为等风险,提供动态的访问授权控制,从而确保正确的人,使用正确的终端,在任意位置,使用正确的权限,访问正确的业务,获得正确的数据。即可以理解为,将企业的所谓安全边界,高效且细粒度地移动到组织延伸的每个网络、设备、系统、用户和应用。
也正是这种“万物皆可零信任”的局面,给许多企业造成混乱和迷茫,对于自身到底需不需要零信任,零信任究竟能干什么,应该从哪里切入部署,建设周期有多长成本有多高,老旧安全体系怎么处置,都没有清晰的答案。安全419将从用户视角出发,探讨零信任落地的理想场景,针对企业用户不同的业务目标和安全需求,找到行之有效的解决方案。
本期,我们重点观察攻防演练场景。
攻击多元而隐蔽 传统安全无法应对实战攻防
近些年,0day攻击、APT攻击、勒索病毒、供应链攻击等高级未知威胁频繁重创各国关键信息基础设施,许多头部企业都遭受过系统宕机以及重要数据泄露的严重影响,以合规为主的安全建设已经不能很好地满足实网攻防对抗的需求。
《网络安全法》中明确提出,“定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力。”作为一种重要且愈加常态化的重要活动,攻防演练通过模拟攻击和防御,攻击方会针对目标网络中的各种系统、数据库、应用程序、终端等进行侦查跟踪、武器构建、漏洞利用、安装植入等步骤以达成入侵控制目的,防御方需要对自身现状做到清晰画像,还要了解对方的攻击步骤及可能采用的攻击手法,部署相应的安全防御体系。双方在彼此对抗过程中不断产生新的攻击技术及手段,也不断暴露安全防御的疏漏和短板,攻防演练目前已经成为检验国家重要行业的关键信息基础设施运营者网络安全防护能力的最有效途径。
通过观察历年的实战攻防演练活动,我们可以看到诸多典型场景下攻击方善用且容易突破目标的有力手段,以及防御方容易失陷的关键点和传统防御体系中屡屡失效的症结。
互联网资产暴露
当前大多数企业对自身资产状况掌握不全面不清晰,检测和响应机制也不完善,没有将资产和威胁进行映射及管理。在攻防演练中,部分老旧被遗忘、或未及时下线、或没有得到安全管控的系统应用,由于存在安全漏洞并缺乏相应的防护策略,很容易被攻击者找到和利用。大量企业可能会采用VPN对互联网业务的暴露面进行收敛,但传统VPN自身端口面向开放网络,容易被正面突破,同时其检测能力较弱,攻击者一旦成功盗用账户,进入内网后即可快速横移至靶标系统。
弱口令/密码泄露
弱口令常年以来一直是防守方以及企业安全建设中的一大难题。在攻防演练中,很多攻击者会利用企业的应用系统、服务器或网络设备的弱口令、单因素认证、特权账号共享等问题,通过账号密码登录到应用系统、服务器或网络设备,再进一步提权拿下目标系统。防守方难以对抗的一个主要原因是存在许多老旧系统,无法与IAM或IDAAS系统对接,而另一方面,企业认为已经设置了强口令,但其实早已在暗网等渠道被泄露了。
钓鱼等社工攻击
在攻防演练中,网络钓鱼是攻击方撕开防守大门最常用也很有效的手段之一,这类攻击往往隐藏在日常办公流程中,利用人性的弱点诱导用户上钩,这也导致传统安全产品难以从高频的办公事件中精准识别出异常。钓鱼攻击中常见的控制思路是,攻击者先控制一台终端,然后基于终端建立一个隧道,通过云上的控制机来控制终端,再继续连接内网。
无论是哪种形式的突破,一方面,传统的网络接口逐渐升级为各种智能终端,业务交互日益频繁,导致攻击渠道多元化、攻击工具更隐蔽,借助上述手段极易演变成供应链攻击、无文件攻击、内存攻击等高级手段;另一方面,传统安全架构比较重视外敌进攻,忽略内部威胁,一旦攻击者通过上述手段获取了合法的账号权限或者控制了一个攻击跳板,大片内网也就几乎等同失陷,横向移动没有有效阻拦。
零信任如何有效对抗实战中的攻击行为?
为了改变攻防不对等的情况,提供全局视角下发现实际环境中安全风险的能力,零信任解决方案已在近年的攻防演练中被投入使用。其着力解决了区域和信任的绑定关系,让用户的访问权限不再受到网络区域的限制,访问前需要经过身份认证和授权,而身份认证不再仅仅针对用户,还将对用户所持客户端进行安全校验,并且在访问过程中进行用户画像和持续性风险评估,对访问进行动态、细粒度的授权,同时采用最小授权原则,以此来有效防御攻击者入侵。
缩小业务暴露面
在企业应用系统之前部署零信任网关,对所有进出的流量进行隐身和伪装,使得内部应用在互联网上不可见,也无法与业务服务直接建立连接。在与安全应用网关成功连接之后,此时内部的业务应用还是隐身状态。只有通过身份认证的用户,才能连接到有访问权限的应用系统。
在攻防演练中,攻击方主要通过端口扫描等方式捕捉到目标系统,应用隐身后可以收敛暴露面和风险敞口,使得对方无法展开有效的攻击。此举还可以有效地防止0day漏洞的利用,即使攻击方拥有针对某个内部应用的漏洞,也无法通过扫描等方式发现该应用的存在,无从发起针对性攻击。
多维度信息评估
零信任以身份为核心构建安全防护边界,通过细粒度的身份验证和精细化的授权控制,确保访问主体身份的安全合规,保障连接、设备及访问环境等的安全。在攻防演练中,这种机制可以实时监测和评估网络流量、用户行为等因素,发现并阻止任何可疑或恶意行为,确保只有经过身份验证且具备相应权限的用户才能访问内部网络和系统,从而有效保护企业的网络安全。
基于零信任安全体系的IAM技术还可以与多因素身份验证MFA等其他安全控制措施集成,进一步提高身份验证的安全性和可靠性,从而有效解决暴力破解、拖库/撞库、账号冒用等一系列安全问题,降低攻击方突破外围防御后对内部网络和系统造成威胁的可能性。
控制攻击内部横移
零信任通过持续的风险度量和信任评估,对每一个用户的身份、设备、行为的全链路进行持续评估,给予最小访问授权并动态调整访问权限,一旦检测到异常行为或关联,就可以隔离遭入侵的设备或用户账户,切断进一步的访问,或者拉起二次认证,最大限度地减少攻击在内部的迁徙蔓延。
深入洞察内部东西向流量,及时发现并阻断攻击方在侵入系统后发起的横向侧移行为,这是零信任相比传统架构很重要的一个安全价值体现。这一举措有助于进一步提高攻防演练中用户设备的安全性,终端应用的安全性,保护数据资产安全,并提升用户安全运营效率。
零信任方案在攻防演练场景下的实践效果
下面,我们将介绍几个基于零信任理念打造的产品在攻防演练场景下的解决方案,观察落地实践效果。
持安科技提供零信任在攻防演练下的最佳实践,有效抵御未知人员发起的攻击,保障企业大型攻防演练期间不丢分。
在暴露面收敛方面,零信任应用网关根据访问者的业务身份、访问系统是否在权限范围内以及是否存在危险行为等因素,对其访问行为进行实时验证和授权,即使攻击者伪装成可信人员,并通过了身份认证,如果他试图进行不合规的恶意行为,零信任机制也能够动态地检测并阻止他。
面对钓鱼攻击,将身份认证和网络访问实时动态验证过程深入应用层,零信任网关会判断访问者的身份是否有关键设备证书,并验证证书是否与当前设备匹配,而非仅仅通过设备进行代理网络授权接入。在这种情况下,攻击者只能获取到办公网一台设备终端的网络接入权限,而无法获得该设备的业务身份权限。即使攻击者使用该设备发起代理网络隧道连接,也无法发起对业务系统的访问请求和攻击。这是其方案与普通的SDP、VPN替代解决方案之间的本质区别。
在弱口令防护时,自建了身份源,此外也和身份安全公司合作打通,第三方身份安全公司可做初次认证,持安科技负责挑战认证。例如访问者需要访问高敏数据时,会对其身份、行为、设备、上下文数据等做综合认证,只有经验证可信后,访问才可连接。
腾讯iOA针对攻防演练场景推出了终端检测与响应(EDR)模块,让其成为用户在终端安全侧的有力抓手。
面对业务暴露面,提供动态访问控制能力和单包授权SPA方案,可以进一步对零信任设备自身的暴露面进行收敛,即使攻击者手握0Day 漏洞也难以突破。还可以通过零信任接入、安全管控、安全检测与响应EDR模块之间的相互联动,构建灵活的访问控制引擎,确保只有合法用户才能安全访问业务。结合腾讯 iOA 企微网关,能够提供企业微信工作台业务防护能力,助力企业在攻防演练期间快速收敛应用暴露面。
面对钓鱼攻击,内置钓鱼样本检测引擎专项识别伪装后的钓鱼文件,从传输渠道和传输内容上进行双重识别,可针对钓鱼入侵路线实现全链路染色追踪,在钓鱼样本投递阶段和外联通信阶段实现首尾关联行为分析,最大程度识别和阻拦钓鱼攻击。
针对横移防护,腾讯iOA可在事前进行安全基线加固,事中进行可疑行为审计和阻断,提供了超过13种域渗透攻击方式拦截,12种远程命令攻击方式拦截,6种协议爆破防护能力,及时阻断非法横移行为,保护核心资产和数据安全。
尾 声
攻防演练活动本质上是为了发现安全防守中的疏漏与难点,通过评估提升实战对抗的能力。我们都知道安全是动态的,往往无法做到百分百的防护,面对斩除不尽的风险,我们需要思考,如果攻击方已经进入内网,员工终端已经被控制,防守方还能怎么办?零信任安全体系的核心就在于,它摒弃了企业内网默认的信任机制,对全网业务系统的请求,实施严格的身份和设备强化认证,通过持续细粒度的安全认证与授权,即便在安全措施失效、终端失陷的情况下,也能避免整个内网的进一步失陷。同时,通过采用零信任,还可以保证实战化演习或网络安全重保等特殊时期,与日常使用保持一致、连续的安全策略。