欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

红蓝对抗:浅谈Red Team服务对防护能力的提升

来源:本站整理 作者:佚名 时间:2019-06-10 TAG: 我要投稿

最近圈内关于红蓝对抗,Red Team服务的讨论很热烈,原因相信大家都是很清楚的。目前来看,很多企事业单位对“安全之痛”还缺乏体会,国内安全防护水平的发展很大程度上仍然需要监管部门来推动。
笔者所在的公司在今年年初,也把原来做渗透测试的团队升级成为了可提供Red Team服务的队伍,一方面是因为渗透测试服务市场受到了众测服务一定程度的冲击,另外一方面是随着攻击手段隐蔽性和复杂性的逐年提升,国内Red Team服务需求会大幅上升。现在回过头来看,我们的预判很准确。
最近很多文章都在强调Red Team服务攻击能力的重要性,由于我本人长年从事安全防护技术研究和设计工作,所以本文将从Red Team服务促进安全体系改进提升的角度进行探讨。
Red Team服务(国内团队也称为蓝军)旨在通过全场景、多维度的“真实”攻击来检验企业实际的安全防护水平和发现安全防护体系的缺陷。
Red Team服务与传统渗透测试相比最大的区别在于:
1、传统渗透测试目的在于尽可能找全某个系统的漏洞,对于漏洞的利用基本是点到为止(确认其可利用性和危害);Red Team服务的目的则不是为了找全漏洞,而是为了找到可利用的风险点,并绕过防护体系渗透到企业内部,全面检验企业各个维度的安全防护能力和安全感知能力;
2、传统渗透测试的攻击手段相对比较单一,比如针对web业务系统的渗透测试基本就是利用web攻击的相关方法;而Red Team服务会利用多维度的攻击方法(如web渗透、邮件钓鱼、鱼叉攻击、无线攻击甚至物理攻击);
3、传统渗透测试一般会选用模拟测试环境进行;而Red Team更倾向于在真实环境和场景中进行真实的对抗,会有攻击方和防守方甚至有裁判组,整个过程相对更加复杂。
笔者所在公司的Red Team方案把整个攻击链条总结为“从外到内、从内到内和从内到外”三个环节,从这三个环节基本能完整检验一个企业的真实防守能力,如下图所示:

“从外到内”主要检验企业的边界防护能力、员工的安全意识以及供应链上的安全风险等;这部分的攻击方法会涉及到web攻击、邮件钓鱼、社工测试、第三方供应链攻击等。
“从内到内”主要检验企业内部安全的防护能力和内部安全威胁感知能力等;这部分的攻击方法会涉及到内部的横向渗透、系统提权攻击、后门隐藏甚至会用到一些0Day漏洞,有点APT的味道。
“从内到外”主要检验企业对于安全威胁感知能力和信息数据外传泄露的检测能力等;这部分的攻击方法会涉及隐藏的反弹Shell(绕过防火墙)、隐蔽隧道数据传输等。
从这个三个方面的攻击链条来看,安全防护体系的纵深性、联动性和全面感知是非常重要的。由于Red Team能检验的防守点很多,接下来我们结合对应的层面分别从三个阶段给出对防护体系提升的建议。
一、从外到内
这个阶段重点推荐RASP(应用运行时自保护),这是针对web安全的纵深防护手段。目前大部分企业在边界上都部署了云WAF、硬件WAF,但如果出现一个未知web中间件漏洞或应用系统漏洞,直接绕过边界上的WAF是相当容易的(如各种JAVA中间件的反序列化漏洞);而如果此时web后端有个RASP模块进行保护,就可以轻松地发现这些高级攻击,如:web进程执行命令、web进程敏感文件读写行为、web进程对系统账号的修改行为、web进程对外网络连接行为等;对这些行为再加以分析基本就可以判断系统是否已经被攻陷并快速采取处置动作。
具体的原理如下图:

当然这类防护措施的优点虽然很明显,但缺点也很明显,就是侵入性太强;对于业务连续性要求很高的行业,一般不敢轻易尝试。从我们实际部署的经验看,可以考虑从一些边缘的系统开始测试,稳定后逐步覆盖到关键系统。在部署安装的时候可利用多节点负载备份和选择非工作时段,同时要求RASP安全策略和自身模块支持热更新模式,无需重启服务。
二、从内到内
从去年的某大型攻防演练中可以看到,很多大型企业内部防护基本是空白的(大部分单位认为内部网络隔离就是安全的),因此今年企业对这方面也特别重视。这个阶段重点推荐两种类型的防护体系:
第一类是 (云)服务器主机EDR。EDR(终端检测和响应)是Gartner针对终端安全提出的下一代安全解决方案,连续四年进入Gartner的年度安全技术榜单。笔者在实际的研究过程中发现EDR的能力要求更合适(云)服务器主机环境:
EDR要求Agent轻量化:很多甲方客户不敢在服务器上装安全Agent,就是担心安全Agent占用资源影响到业务,因此出现内部主机大面积裸奔的情况,而EDR的Agent轻量化正好符合服务器场景的要求;
EDR要求检测能力:PC终端安全的大部分问题在于容易感染病毒,而服务器主机更多问题在于如何发现入侵和违规行为,因此服务器场景对于检测能力的要求高于杀毒能力,因此EDR的检测能力非常适合在服务器场景上应用;
EDR要求快速响应能力:主机Agent可以满足阻断、隔离、还原等快速响应的要求。
因此服务器主机EDR在内部安全威胁检测中可以起到很好的效果,既可以弥补内部检测能力的不足,同时也很适用于云的场景,不受网络区域限制。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载