史上最难攻防季 值得关注的攻击趋势及应对姿势

首页 / 业界 / 资讯 /  正文
作者:西西
来源:安全419
发布于:2024-07-31
“全天候全方位感知网络安全态势。知己知彼,才能百战不殆。没有意识到风险是最大的风险。网络安全具有很强的隐蔽性,一个技术漏洞、安全风险可能隐藏几年都发现不了,结果是‘谁进来了不知道、是敌是友不知道、干了什么不知道’,长期‘潜伏’在里面,一旦有事就发作了。”
——2016年4月19日 网络安全和信息化工作座谈会
 
自“4·19”重要讲话发表以来,网络安全攻防实战演练活动在各行业、各地区拉开序幕。随着全球网络空间战略博弈的升级和攻防对抗的持续加剧,这一活动每年覆盖的行业、单位、系统都在不断扩大并逐渐常态化,成为检验各单位网络安全综合防护水平的“试金石”和提升网络安全应急处置能力的“磨刀石”。
 
进入今年的攻防演练活动,我们看到,无论是演练时长周期,还是行动任务数量,以及攻防对抗强度,都在持续提升,堪称“史上最难攻防季”。综合业界多家长期开展漏洞情报收集分析以及多次参与过相关演练和重保工作的安全机构释出的分析,在此为大家梳理最新的攻防趋势以及应对策略。
 
 
关注高危漏洞
 
要在短时间达成演习目的,最高效的方式便是拿到目标靶机的权限,动用一些先进的武器(0day)进行快速突破。2023年攻防演练期间暴露出的0day漏洞数量超过200个,有详情的漏洞超过100个,Web漏洞占比达到90%以上。作为防守方,有必要在攻防演练前、期间对己方系统资产的漏洞情况进行深度和及时排查,在攻防演练前及时修补漏洞,在攻防演练期间快速研判0day、nday漏洞情况,并进行快速处置。
 
安恒信息应急响应中心近日发布“2024攻防演练需要关注的高危漏洞清单”,梳理汇总了近年来红蓝对抗演练中的高频率漏洞清单,以及近期实际红队任务中依然暴露的漏洞清单,包括漏洞名称、漏洞影响范围、安全版本以及漏洞描述等,且对这些高危漏洞进行评估并标注了需要重点修复的漏洞。
 
斗象情报中心输出的“2024攻防演练必修高危漏洞集合(4.0版)”,整合了自2023年1月份至2023年7月份在攻防演练被红队利用最频繁且对企业危害较高的漏洞,包含详细的漏洞基础信息、检测规则和修复方案,企业可根据自身资产信息进行针对性的排查、配置封堵策略和漏洞修复相关工作。
 
关注社工钓鱼
 
社工手段主要从人性的弱点进行攻击,一直是攻防演练中老生常谈、频频得手的典型攻击思路。其利用了员工的安全意识薄弱的特点,可以选择具有特定权限或者职位的人员进行精确设计和精准打击,并且社工可能会降低安全设备告警的可能性。
 
根据微步在线的跟踪及研判,近期攻击IP特征行为以漏洞利用、扫描器扫描、端口扫描、Zgrab扫描、Nmap扫描、备份文件爆破为主,无明显变化;攻击样本部分,主要围绕政企、机构等个体不同角色不同需求制造攻击样本,招聘、员工日常及业务是重灾区,重点涵盖以下几大类,如:
 
·招聘/应聘简历:简历-**.pdf、****研究所应聘登记表 - 副本.exe、**金融(渠道经理).zip、**金融(渠道经理).zip等;
·员工日常生活需要:***抢票助手.exe、快猫.rar 、****商业报销.PIF、**会议(去除 30 分钟限制).exe等;
·员工工作业务相关:如集团网站隐私保护政策的疑问及建议.zip、关于***违规违纪问题处理意见的函.rar、化工项目现场安全员+**+*****.zip等。
 
关注新兴技术、业态及供应链
 
网络技术日新月异,尤其伴随人工智能技术及应用全面铺开,网络攻击的难度、成本越来越低,自动化水平越来越高,也成为演练活动中攻击方的有力工具。今年的攻防演练特别增加了新技术、新业态专项演练内容,如大模型、人工智能安全专项演练、无人机平台安全专项演练等。
 
同时,攻击的渠道更加多元而隐蔽,攻击方向从之前的业务系统、安全设备扩展到以智能终端、办公大厅自助机小程序、微信等作为新的突破口,趋向于收集企业的办公系统、安全服务商、软件开发商等供应链,利用供应链攻击拿下目标靶机。
 
防御模式的升级
 
攻击趋势的进化升级,驱使防守方在机制策略和工具选择上都要做出更主动、更有效的对抗,提高攻击成本,倒逼对方放弃攻击。
 
封禁怎么封才丝滑
 
“封禁”是攻防演练活动中最有效且最常用的防御姿势,在攻击周期短的情况下,传统手动封禁或联动防火墙封禁,能解决一定问题,但实际封禁的准确率与人效仍让人担忧。
 
在新的常态化攻防、大批量、不定时攻击发生的情况下,微步威胁防御系统OneSIG的自动化防御模式,可以在检测到攻击后,直接自动秒级封禁,且无需安全人员值守,相比手动及联动模式节省步骤、时间和人力。面对手动及联动模式下无法被封禁的首次出现的攻击,OneSIG依靠高精准情报与0day检测能力的加持,能在超低误报率前提下,从首次开始就准确拦截攻击行为。其最大并发IP封禁数量可达100万条,能够保证重要活动中封禁效果的持续性与稳定性。OneSIG还能自动同步云端红队IP情报,具备丰富的红队IP攻击画像,精准封禁重要攻防期间红队IP,也能自动联动NDR、SOC等不同设备进行封禁,该能力在2023年攻防演练期间已得到充分验证,累计拦截红队攻击3亿多次。
 
怎么守护应用系统基本盘
 
在一系列的攻防演练中,超过70%的得分最终来源于利用应用系统的漏洞。随着越来越多的企业开始向DevOps模式靠拢,漏洞积压越来越多,传统的防御机制下,应用层防护的WAF设备和主机侧的HIDS设备,都是基于特征分析原理,依靠攻击特征库、异常特征库的匹配来进行攻击识别,对于0day、内存马等新型攻击难以检测并防范。
 
RASP(运行时应用程序安全保护)工具通过使用直接嵌入到应用程序中或与应用程序相邻的安全引擎来保护应用程序,解决了现有的用于保护网络和Web应用程序的外围安全技术的局限性,并使用应用程序威胁情报在攻击发生时获取有关攻击的完整上下文,并立即阻止攻击,同时还可以与现有常见的SOC工具和控制台(日志、SIEM)一起实现内部安全。悬镜安全推出的云鲨RASP,通过专利级AI检测引擎、应用漏洞攻击免疫算法、运行时安全切面调度算法及纵深流量学习算法等关键技术,将主动防御能力“注入”到业务应用中,借助强大的应用上下文情景分析能力,可捕捉并防御各种绕过流量检测的攻击方式,提供兼具业务透视和功能解耦的内生主动安全免疫能力。
 
瑞数信息对此提出了动态安全的理念,利用动态封装和动态混淆两大创新技术对攻击者实施动态干扰,采用不基于任何特征、规则的方式进行有效防护。在0day漏洞防护方面,从0day漏洞利用工具请求的固有属性出发,通过动态安全技术,无需依赖规则特征,只要识别到是工具行为,就可以直接对0day攻击进行阻断。在漏扫防护方面,提供漏洞隐藏功能,将所有的高危、中危漏洞、网页目录结构做隐藏,并通过敏感信息隐藏、针对扫描器做重放性检测、动态挑战等方式来进行防护,让攻击方扫描不到任何有价值的信息。
 
怎么应对实战化攻防
 
如今的攻防演练更加注重实战化,通过模拟真实网络攻击场景,检验各单位的网络安全防护体系。强大的攻击队伍采用复杂多样的攻击手段,特别是针对APT攻击、勒索攻击、0day漏洞等进行专项演练。
 
网络靶场成为攻防演练活动中重要的基础设施,启明星辰云众可信打造的红蓝网络攻防演习平台,依托启明星辰多年安全实践经验,并结合企业在网络攻防方面的实际业务需求,着力解决演练组织、演练过程等阶段中存在的信息分散、不规范、效率低、态势维度单一、风险管控与综合评估手段弱等问题,助力用户高效开展“实网、实兵、实战”的网络攻防演练。在数字化转型的政策及需求驱动下,其推出“实战化攻防应急演练解决方案”,帮助用户构建“实战攻防应急演练”全链路闭环数字化管控,实现全局可视,全程可控,责任到人的精细管理。该方案以真实业务系统为目标,将启明星辰“云众可信红蓝网络攻防演习平台”与启明星辰“云众可信网络安全应急演练平台”搭配使用,助力用户打破壁垒、互联协同、高效运转,开展实战攻防演练的同时,完善应急预案及机制,提高应急处置能力。
 
攻防演练仍在持续进行,真实的网络对抗也在随时发生,安全体系建设不够完善、安全威胁防御能力不足导致排名靠后的单位,不仅组织形象受损,而且还可能会面临客户流失以及法律制裁等更为严重的损失。随着攻防演练活动愈加严格并走向“常态化”发展,各单位机构更需提早思考和做足准备,在实战中补齐薄弱环节,提升安全水位,从容应对威胁。