安全检测设备
互联网
资产发现系统
互联网资产是实战演练中攻击方首先可以接触到的资产,同时也 是防守方的重点防守对象。然而,大量组织未全面掌握暴露在互联网 上的IT资产,包括应用系统、域名、端口、应用服务、IP等。这就造 成了组织的防御边界出现了盲区,成为整个网络安全
体系的重大短 板。甚至,在一些真实案例中,我们看到:一方面,组织在竭尽全力 检测、分析、抑制攻击;而另一方面,新的攻击却从一些“陌生资 产”源源不断地爆发出来。这些“陌生资产”就像黑洞一样,平时不 可见,关键时刻却吸引了大量攻击流量,造成整个防御体系的失效。
设备应具有的核心功能
1)资产及应用发现:通过数据挖掘和调研的方式确定企业资产范 围,之后基于IP或域名,采用Web扫描技术、操作系统探测技术、端口 探测技术、服务探测技术、Web爬虫技术等各类探测技术,对参演单位 信息系统内的主机/服务器
、安全设备、网络设备、工控设备、Web应 用、中间件、数据库、邮件系统和DNS系统等进行主动发现,并生成资 产及应用列表,列表中不仅包括设备类型、域名、IP、端口,更可深 入识别运行在资产上的中间件、应用、技术架构的详细情况(类型、 版本、服务名称等)。
2)信息安全
资产画像绘制:在资产及应用发现的基础上,对每个 业务梳理分析,依据信息系统实际情况、业务特点、资产重要度等信 息,结合信息安全的最佳实践进行归纳,最终形成参演单位专属的资
产画像,构建起参演单位专属的信息安全资产画像。资产画像构建完 成后可根据域名、IP、端口、中间件
、应用、技术架构、变更状态、 业务类型(自定义)等条件对资产进行查询和统计。
产品在实战中的应用
互联网资产发现是攻防实战前期梳理资产中比较重要的一项工 作,通过资产发现平台,对暴露在互联网上的资产信息进行摸排和测 绘。做到摸清家底,为下一步针对资产进行安全检测提供依据。
可以通过产品或服务的方式进行,通过定期的资产发现降低被攻 击者利用的风险。
自动化渗透测试系统
自动化渗透测试工具可为渗透测试全过程提供专业的技术支持, 在渗透前期、中期、后期提高渗透测试效果,赋能渗透测试人员。
- 设备应具有的核心功能
1)漏洞探测功能。对渗透目标进行自动化漏洞探测,有两种漏洞 探测方式:网站URL探测方式和IP地址探测方式。网站URL探测方式是 通过对目标进行指纹识别,收集中间件、通用网站框架、开发语言、 操作系统等指纹信息,从插件库中寻找与之相关的漏洞插件,发现存 在的漏洞。IP地址探测方式是对目标进行端口扫描,发现对外开放的
服务,识别对应的服务类型,寻找与之相关的漏洞插件,从而判断漏 洞是否存在。漏洞插件库包含的漏洞插件超过7000个,漏洞范围覆盖 Web、中间件、数据库、网络设备、操作系统、智能设备、移动终端、 工控设备等。漏洞探测功能能够发现的漏洞类型不限于SQL注入、 XXE、XSS、任意文件上传、任意文件下载、任意文件操作、信息泄 露、弱口令、本地文件包含、目录遍历、命令执行、错误配置。
而自动化渗透测试系统提供一键漏洞利用功能,能够执行命令、 执行SQL、上传文件、反弹Shell、上传Webshell、下载文件等。自动 化渗透测试系统提供的Web指纹库可识别超过600种CMS(内容管理系 统)。系统服务指纹能够满足常规系统服务的类型和版本识别。支持 场景化检测,可以根据需求快速定制至少包含常规测试、攻防演练、 靶场演练、安全能力评估在内的场景,从而满足定制化场景漏洞发现 的需求。单次任务不限制添加目标的数量,任务能够分布式并发执 行,从而保证高效率地发现漏洞。
2)漏洞利用功能。漏洞利用功能可以解决两个问题:一是可直接 探测指定的漏洞是否存在,如存在,则进一步自动利用此漏洞;二是 针对一些无法完全自动化发现的漏洞提供单独漏洞利用功能,例如, 在无法通过爬虫或者其他手段自动获取目标地址时,渗透人员只需要手动填写相应的参数即可一键利用漏洞。漏洞利用功能可以把复杂的漏洞利用过程简单化,大大提高渗透测试的效率,如通过输入Oracle 账号密码,实现一键提权、执行系统命令等效果。自动化渗透测试系 统也提供漏洞利用的高级功能,包括执行命令、执行SQL、上传文件、 反弹Shell、上传Webshell、下载文件等。
3)反弹交互式Shell功能。渗透人员可以通过内置的方法反弹交 互式Shell,该Shell与正常的Shell完全相同,可以执行vim、交互执 行操作等。自动化渗透测试系统支持所有的Unix操作系统进行远程控 制,可采用Python、Java、Bash反弹Shell,并提供示例代码方便渗透 人员快速利用该功能。此功能采用端口复用技术,使所有使用该功能 的人员可以通过同一个端口反弹Shell,并可以绕过防火墙设备对数据 连接端口的限制措施。此功能采用加密技术,保证传输的数据以密文 方式传输,从而保证远程控制无任何特征。
4)Webshell远程管理功能。自动化渗透测试系统的该功能采用加 密算法对传输的数据进行加密,保证数据传输过程中没有任何特征, 从而躲避各种流量分析设备的检测。该Webshell支持ASP、ASPX、 PHP、JSP语言编写的代码。对被控端代码进行变形处理可以绕过静态 Webshell查杀工具的检测。该功能支持文件管理、命令执行、数据库 管理、反弹Shell、文件上传、远程文件下载等。渗透人员利用该功能 可以直接管理服务器上线的文件,执行各种操作命令。自动化渗透测 试系统脚本语言提供内存马功能,保证被控服务器上没有任何文件 “落地”,恶意代码只运行在内存中,实现通过内存运行代码进行远 程控制的技术。
5)后渗透功能。通过后渗透功能对目标进行横向渗透。例如:发 现内网的网络拓扑情况,发现内网数据库漏洞,发现邮件服务器所在 的位置,甚至获取办公网段、运维主机或者域控制器的权限。
产品在实战中的应用
在攻防实战前期:定期对对外提供服务的系统进行渗透测试,挖 掘可能存在的漏洞并及时修复;定期或有系统变更时对内部系统进行 渗透测试,利用工具提高漏洞挖掘的效率。在渗透测试前期,通过工 具可以进行批量信息收集,包括子域名发现、目录扫描、指纹识别
等。在渗透测试中期,可以针对目标的漏洞进行发现和利用。在渗透 测试后期,提供进入内网之后的横向渗透等功能,提升渗透测试效 果。建议部署于内网安全管理区等区域中,在网络上保证测试目标可达即可。
开源组件检测系统
开源软件为企业带来了极大便利,提高了开发效率,降低了成 本。然而,由于开源软件之间的依赖关系错综复杂,漏洞的隐蔽传染 和放大效果显著,给漏洞发现、漏洞消控带来了很大的挑战。当某个 开源软件出现漏洞时,企业可能会受到牵连。
近几年,随着开源社区的快速发展,开源软件被广泛应用,开源 软件的漏洞数量也在飞速增长。WhiteSource 2020年发布的报告显 示,开源软件漏洞呈现逐年增加的趋势,从2014年的不到2000个增加 到2019年的6000多个,增加了两倍多。
设备应具有的核心功能
开源检测:对应用系统所涉及的开源组件进行精确识别,帮助企 业建立开源组件资产台账,输出每个软件系统的开源组件资产清单, 并给出对应的开源组件漏洞信息、开源协议信息、开源组件整改建议 等内容。同时,服务团队根据漏洞评估模型对输出的安全漏洞进行分 析,给出科学合理的漏洞整改优先级及整改建议,并对难以修复的开 源组件给出缓解加固建议,也可对无法修复的紧急漏洞提供验证。
产品在实战中的应用
通过开展开源组件检测服务,识别应用系统所引入开源组件的安 全漏洞,对安全漏洞进行修复、加固,通过漏洞验证直观地展现存在 的安全风险,从而有效推动开发部门的整改积极性。降低应用系统开 源组件的安全风险,保障应用系统安全、稳定运行。
可通过部署开源组件产品或者购买相关服务的方式,及时跟踪开 源软件的漏洞信息,结合业务情况进行整改降低安全风险。
运维安全管理与审计系统(堡垒机)
运维安全管理与审计系统(堡垒机)基于认证、授权、访问、审 计的管理流程设计理念,对IT中心的网络设备、数据库、安全设备、 主机系统、中间件等资源进行统一运维管理和审计。采用旁路部署模 式切断终端对网络和服务器资源的直接访问,使用协议代理的方式, 实现运维集中化管控、过程实时监管、访问合规控制、过程图形化审 计,为企业构建一套事前预防、事中监控、事后审计的安全管理体 系。
设备应具有的核心功能
1)身份认证:支持短信验证码、OTP动态口令、动态令牌、 USBKey等多因素认证,支持AD、LDAP、Radius等第三方认证。
2)账号管理:支持服务器、数据库、网络设备等密码自动代填, 支持特权账号改密以及密码拆分管理,支持账号核查、账号同步。
3)访问控制:支持账号有效期、文件传输、剪切板、显示水印、 登录时间、IP限制等维度的访问控制策略,支持敏感指令的强制阻 断、告警及二次复核的命令控制策略。
4)操作审计:支持实时监控、全程录像及字符审计;支持全文指 令搜索、定位;提供OCR工具,对图形审计进行字符转化;支持生成多 维度的系统及运维报表。
5)自动化运维:可自定义脚本及任务编排,定期、批量、自动执 行预置的脚本或运维任务。
产品在实战中的应用
1)堡垒机作为集中认证授权的管理系统,一旦被攻击者攻陷、获 取了权限,其所管理的服务器就可能会被全盘接管,危害很大。因 此,在实战前需要开展集权系统检查,对堡垒机自身系统的漏洞情况 进行排查,通过升级和加固的方式保证其安全。
2)对堡垒机管理的设备的权限和账户等进行清理和排查,防止不 合理的账户被攻击者获取和利用。
堡垒机一般部署于安全管理区,可以根据网络中划分的不同安全 区域分配不同的堡垒机,提供运维管理和审计。
- 流量监测设备
- 流量威胁感知系统
流量威胁感知系统基于网络流量和终端EDR日志,运用威胁情报、 规则引擎、文件虚拟执行、机器学习等技术,精准发现网络中针对主 机与服务器的已知高级网络攻击和未知新型网络攻击的入侵行为,利 用本地大数据平台对流量日志和终端日志进行存储与查询,结合威胁 情报与攻击链分析对事件进行分析、研判和回溯,同时,结合边界 NDR、终端EDR及自动化编排处置可以及时阻断威胁。
- 设备应具有的核心功能
1)高级威胁检测:运用威胁情报、文件虚拟执行、智能规则引 擎、机器学习等技术,可以检测和发现高级网络攻击与新型网络攻 击,涵盖APT攻击、勒索软件、Web攻击、远控木马、僵尸网络、窃密 木马、间谍软件、网络蠕虫、邮件钓鱼等高级攻击,并基于可视化技 术清晰地展示网络中的威胁。
2)异常行为检测:基于网络流量数据,运用大数据分析和机器学 习技术建立网络异常行为检测模型,内置非常规服务分析、登录行为 分析、邮件行为分析、数据行为分析等数种场景,实现对新型攻击和 内部违规的检测与发现。
3)告警响应处置:提供攻击告警的列表、统计、查询、调查等功 能,且提供基于ATT&CK标签分析告警的能力,并支持终端EDR联动、防 火墙NDR联动与自动化编排处置,帮助安全运营人员快速研判和处置告 警事件。
4)攻击回溯分析:支持全包取证分析,并提供线索可视化图谱拓 线分析能力(威胁狩猎),能够呈现一次攻击的完成过程,有助于对 网络攻击进行回溯和深度分析。
产品在实战中的应用
1)流量全面。流量威胁感知系统的告警是否全面取决于所搜集的 流量是否全面,除了南北向的流量,也要搜集东西向的横向流量,威 胁感知的范围要尽量覆盖全网络。
2)规则优化。在日常运营及实战前,需要对威胁感知系统的告警 规则等进行优化,将网络扫描、业务正常访问等触发的告警进行调整 和优化,减少误报的告警,专注于真实的告警。
3)加密流量处理。由于业务需要,不少系统采用加密的方式保护 数据的安全,这给流量威胁感知系统带来了不小的挑战。建议在负载 均衡等设备上对加密流量进行解密,再将解密后的流量上传到流量威 胁感知系统的传感器,以便于及时发现加密流量中的威胁。
4)威胁情报库和规则库及时升级。通过及时更新威胁情报库和规 则库,就能更快地识别出流量中隐藏的风险,进而及时进行分析处 置。
流量威胁感知系统采用旁路部署的模式,将设备部署于安全管理 区,利用镜像的方式将流量镜像给探针(见图9-1)。务必将需要监测 区域的流量汇聚到探针,对用户网络中的流量进行全量检测和记录。 所有网络行为都将以标准化的格式保存于系统中,结合云端威胁情报 与本地分析平台进行对接,提供发现本地威胁的通道,并对已发现的 问题进行攻击回溯。
图9-1 实战中的部署方式或位置
参考资料
红蓝攻防构建实战化网络安全防御体系
青藤云安全 2022攻防演练蓝队防守指南
1340
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
