【2023安天攻防演練廟算記】回顧

【攻防演練廟算記一】五事具足

【攻防演練廟算記二】十處必救必守?

【攻防演練廟算記三】情報(bào)先行

【攻防演練廟算記四】郵件安全

【攻防演練廟算記五】網(wǎng)站防護(hù)

【攻防演練廟算記六】邊界防御

【攻防演練廟算記七】終端安全

?

“善動敵者，形之，敵必從之；予之，敵必取之；以利動之，以卒待之”是《孫子兵法·勢篇》中的重要戰(zhàn)術(shù)思想，是指在對抗中善于“調(diào)動”敵軍的人，向敵軍展示一種或真或假的軍情，敵軍必然據(jù)此判斷而跟從；給予敵軍一點(diǎn)實(shí)際利益作為誘餌，敵軍必然趨利而來，從而被本方牽制。

?

隨著網(wǎng)絡(luò)環(huán)境日益復(fù)雜化，網(wǎng)絡(luò)攻擊行為趨于產(chǎn)業(yè)化，攻擊手段也愈發(fā)多樣化，根據(jù)經(jīng)驗(yàn)構(gòu)建防御策略、部署產(chǎn)品的傳統(tǒng)方式在面對層出不窮的新型、持續(xù)性、高級威脅時，難以及時有效的檢測、攔截、分析和響應(yīng)。特別是在實(shí)戰(zhàn)攻防演練這種高烈度的對抗場景中，防守方并有太多的辦法可以讓攻擊方停止攻擊，因此，就必須要采用一些“非傳統(tǒng)的新型”防護(hù)方法來提升攻擊方的攻擊成本和門檻，或致使其進(jìn)行無效攻擊，從而降低攻擊的數(shù)量和質(zhì)量，進(jìn)而釋放出更多的防護(hù)資源去做更有針對行的對抗動作。即《孫子兵法·勢篇》中同時提到的“凡戰(zhàn)者，以正合，以奇勝”，即用“奇兵”去出奇制勝。

?

在實(shí)戰(zhàn)攻防演練對抗場景中，防守方通過構(gòu)建欺騙式防御體系，就是上述兩大重要戰(zhàn)術(shù)思想的落實(shí)體現(xiàn)。通過主動投放“利益”作為誘餌，誘導(dǎo)攻擊方對設(shè)有“陷阱”的仿真虛假資產(chǎn)目標(biāo)進(jìn)行攻擊，并進(jìn)行威脅捕獲，進(jìn)而對事件深度分析、研判并反制，以守轉(zhuǎn)攻，實(shí)現(xiàn)從被動防御向主動防御的轉(zhuǎn)變，從而有效保護(hù)真正資產(chǎn)，即是提升防御能力，降低失分風(fēng)險(xiǎn)的妙計(jì)。

?

本期為【2023安天攻防演練廟算記】第八章：威脅誘捕分析。

?

安天威脅誘捕分析專項(xiàng)服務(wù)，是為滿足防守客戶單位實(shí)戰(zhàn)攻防演練高烈度對抗場景需求，基于安天捕風(fēng)蜜罐系統(tǒng)（以下簡稱“捕風(fēng)”）和追影威脅分析系統(tǒng)（以下簡稱“追影”）制定的欺騙式防御體系?？捎行嵘朗乜蛻魡挝坏耐{防御能力，及時發(fā)現(xiàn)網(wǎng)內(nèi)未知威脅，爭取被攻擊后的響應(yīng)處理時間，掩護(hù)真實(shí)的信息資產(chǎn)。通過自帶的反制措施及溯源分析，形成自有情報(bào)的積累；誘捕到攻擊方的豐富信息，做到“知彼”。

?

同時，可從內(nèi)網(wǎng)、外網(wǎng)、隔離網(wǎng)等場景捕獲威脅，生成針對威脅事件、攻擊鏈等攻擊行為的溯源信息，協(xié)助客戶及時發(fā)現(xiàn)安全風(fēng)險(xiǎn)、清除威脅，并提供修復(fù)建議，保障網(wǎng)絡(luò)與系統(tǒng)能夠安全、穩(wěn)定、持續(xù)的運(yùn)行。

?

安天威脅誘捕分析專項(xiàng)服務(wù)可覆蓋攻防演練全生命周期信息系統(tǒng)安全防護(hù)。

1. 啟動階段

在實(shí)戰(zhàn)攻防演練對抗場景中，防守方需要面對攻擊方持續(xù)多維的攻擊，因此，充分的了解攻擊方的整體情況，才能根據(jù)攻擊特點(diǎn)建立完善的安全防護(hù)體系。所以，需要在事前部署捕風(fēng)和追影，協(xié)助防守客戶單位及時獲取攻擊方的關(guān)鍵性“線索”。

?

2. 備戰(zhàn)階段

攻擊方在入侵攻擊之前，通常會制定攻擊策略、規(guī)劃攻擊線路、明確分工合作，力爭在最短時間內(nèi)取得最大戰(zhàn)果，常見的攻擊鏈條分為三個階段：

1.情報(bào)收集：攻擊者搜集關(guān)于目標(biāo)組織的人員信息、組織架構(gòu)、網(wǎng)絡(luò)資產(chǎn)、技術(shù)框架及安全措施信息，為攻擊決策提供支撐；

2.建立據(jù)點(diǎn)：通過分析漏洞，發(fā)起定向攻擊，同時也會對目標(biāo)現(xiàn)有安全措施進(jìn)行突破；

3.橫向移動：通過在被攻陷的目標(biāo)內(nèi)網(wǎng)進(jìn)行橫向移動，盡可能的獲得更多權(quán)限；同時，對目標(biāo)進(jìn)行內(nèi)網(wǎng)情報(bào)收集，主要包括當(dāng)前主機(jī)情報(bào)與內(nèi)網(wǎng)掃描探測情報(bào)。

?

?

針對上述攻擊鏈條與思路，可利用捕風(fēng)在互聯(lián)網(wǎng)部署 ERP、OA、VPN系統(tǒng)、虛擬化桌面系統(tǒng)、郵件服務(wù)系統(tǒng)等高交互蜜罐資產(chǎn)，并且選擇部分蜜罐資產(chǎn)預(yù)置不同的弱口令、漏洞等誘騙攻擊方；同時散播虛假信息“蜜餌”，干擾攻擊方收集情報(bào)，使其選擇攻擊目標(biāo)時產(chǎn)生誤判，指數(shù)級地增加攻擊方的攻擊成本，延緩攻擊進(jìn)程的同時，將攻擊者不斷誘導(dǎo)引入蜜罐陷阱，從而誘捕攻擊者，保護(hù)真實(shí)資產(chǎn)。

?

3. 迎戰(zhàn)階段

在實(shí)戰(zhàn)攻防演練正式對抗期間，安天將通過五項(xiàng)重要防御動作，有效牽制攻擊方。

1.?產(chǎn)品運(yùn)行及安全狀態(tài)監(jiān)測

通過捕風(fēng)和追影開展周期性的檢查，可實(shí)時了解整體的網(wǎng)絡(luò)狀況，及時發(fā)現(xiàn)網(wǎng)絡(luò)中存在的問題，快速有效的制定相應(yīng)的安全處置策略，從而降低網(wǎng)絡(luò)中的安全威脅。巡檢包括但不限于：

??安全設(shè)備狀態(tài)檢查：對網(wǎng)內(nèi)設(shè)備進(jìn)行健康狀態(tài)檢查，包括系統(tǒng)引擎、CPU占用率、內(nèi)存占用率、接口狀態(tài)、證書授權(quán)狀態(tài)等內(nèi)容。

?

??安全日志分析：定期為客戶信息系統(tǒng)內(nèi)安全設(shè)備產(chǎn)生的日志進(jìn)行挖掘和分析，從事件類型分布、事件發(fā)展趨勢、事件頻率、源地址、目的地址等五個維度進(jìn)行詳細(xì)梳理，發(fā)現(xiàn)潛在的風(fēng)險(xiǎn)點(diǎn)，并提供分析報(bào)告，及時掌握網(wǎng)絡(luò)運(yùn)行狀態(tài)和安全隱患。

2.?設(shè)備告警分析?

對威脅事件深度分析、研判并反制，具體步驟為：

?

??事件證據(jù)收集

??事件證據(jù)識別

??事件證據(jù)生成

??事件感知、態(tài)勢的研判與惡意樣本確認(rèn)

??事件樣本人工深度分析

??事件溯源與反制

3.?威脅排除

在溯源反制的基礎(chǔ)之上，通過事件威脅評估明確防守客戶單位信息系統(tǒng)安全情況，對已發(fā)生的威脅及時處置，對可能面臨的潛在威脅進(jìn)行預(yù)判分析，提前防御。事件威脅評估基于網(wǎng)絡(luò)威脅事件分析，針對被攻擊目標(biāo)的身份、職責(zé)以及其他特別因素，結(jié)合樣本功能和被竊信息以及攻擊手法，分析攻擊方的攻擊動機(jī)，并提供有針對性的防護(hù)方案。

4.?威脅清除

??分析清除：根據(jù)對系統(tǒng)威脅預(yù)警的研判結(jié)果，進(jìn)一步開展溯源或策略優(yōu)化工作。如果威脅預(yù)警存在誤報(bào)則優(yōu)化其相關(guān)安全策略；如果威脅預(yù)警真實(shí)存在，則根據(jù)攻擊行為采集功能，確定客戶受影響的范圍以及主機(jī)，并對攻擊方遺留的攻擊痕跡進(jìn)行清除，痕跡包括但不限于后門、啟動項(xiàng)修改、命令行修改等。

?

??安全加固：根據(jù)威脅多維度的展示功能，從多角度、多方位來制定相應(yīng)合理的安全加固方案，清除客戶目前存在的安全風(fēng)險(xiǎn)。方案包括但不限于客戶架構(gòu)、管理方式、人員安全素質(zhì)、技術(shù)手段等。

5.?策略調(diào)優(yōu)

根據(jù)網(wǎng)站監(jiān)測誤報(bào)情況、近期漏洞通報(bào)情況對客戶相關(guān)安全策略進(jìn)行優(yōu)化升級。

?

4. 總結(jié)階段

在總結(jié)環(huán)節(jié)，安天將對演練期間攻擊成功事件和防守成功事件進(jìn)行復(fù)盤，并根據(jù)演練過程中的工作記錄，回顧演練工作的全過程，整理與安全事件相關(guān)的各種信息，全面總結(jié)服務(wù)工作成果，輸出《威脅誘捕分析總結(jié)報(bào)告》。

安天威脅誘捕分析專項(xiàng)服務(wù)客戶價(jià)值

?

1.?全網(wǎng)威脅誘捕

對客戶目標(biāo)資產(chǎn)進(jìn)行探測并利用空閑IP資源自動創(chuàng)建仿真資產(chǎn)，充分?jǐn)U大威脅感知范圍，及時了解客戶整體網(wǎng)絡(luò)安全態(tài)勢，降低安全風(fēng)險(xiǎn)，保障自身業(yè)務(wù)可持續(xù)性。

?

2.?保護(hù)真實(shí)資產(chǎn)?

明確業(yè)務(wù)系統(tǒng)安全現(xiàn)狀，分析當(dāng)前應(yīng)降低的安全風(fēng)險(xiǎn)，保持蜜罐資產(chǎn)與環(huán)境資產(chǎn)高度仿真，使攻擊方真假難辨。

?

3.?增強(qiáng)誘捕能力?

檢驗(yàn)信息安全基礎(chǔ)設(shè)施的有效性，針對發(fā)現(xiàn)的安全隱患提供專業(yè)解決方案，用仿真資產(chǎn)代理取代真實(shí)資產(chǎn)暴露在網(wǎng)絡(luò)中，使攻擊認(rèn)為攻擊的是真實(shí)系統(tǒng)。

?

4.?贏得響應(yīng)處置時間?

投放“誘餌”，將攻擊方引致蜜罐中，拖延攻擊方時間和精力，為安全加固和溯源贏得寶貴時間。

?

5.?情報(bào)生成與溯源能力?

對各安全設(shè)備進(jìn)行安全事件日志分析，通過關(guān)聯(lián)分析，使安全事件有理有據(jù)，還原安全事件鏈條。

?

在2022年大型實(shí)戰(zhàn)攻防演練活動中，安天威脅誘捕分析專項(xiàng)服務(wù)為某客戶單位捕獲攻擊事件70余起，溯源加分900分。

附錄：關(guān)鍵產(chǎn)品價(jià)值簡介

?

下期預(yù)告

下期為【2023安天攻防演練廟算記】第九章：靶標(biāo)系統(tǒng)防護(hù)。

?

將分享安天在實(shí)戰(zhàn)攻防演練場景中，通過布防基礎(chǔ)安全產(chǎn)品防御能力聯(lián)動安全專家現(xiàn)場響應(yīng)能力，構(gòu)筑動態(tài)綜合防御體系，保障靶標(biāo)不被攻陷。

?