【兵臨城下】系列公開課是盛邦安全基于多年攻防實(shí)戰(zhàn)經(jīng)驗(yàn),針對重保及攻防演習(xí)等場景而推出的系列直播活動(dòng)����,將從資產(chǎn)暴露面梳理、攻擊面管理��、脆弱性自查�����、安全防線加固���、協(xié)同聯(lián)動(dòng)防御以及攻擊溯源����、應(yīng)急響應(yīng)等全流程進(jìn)行梳�����。
本期公開課的主題是“基于攻擊情報(bào)�,如何讓非法外聯(lián)無處藏身”以下實(shí)錄文字供大家參考。
大家好����,我是來自盛邦安全大數(shù)據(jù)產(chǎn)品線的張耀,今天我要跟大家分享的是攻防演習(xí)100個(gè)問題中的一個(gè)���,基于攻擊情報(bào)的非法外聯(lián)檢測����。
首先我們來看一下2022年上半年發(fā)生的一些重大的網(wǎng)絡(luò)安全事件。
第一����,“BlackMoon”僵尸網(wǎng)絡(luò),短短一個(gè)月內(nèi)控制境內(nèi)的IP規(guī)模已經(jīng)達(dá)到100萬��,日上線肉雞數(shù)量最高達(dá)21萬�����,給我們的網(wǎng)絡(luò)安全帶來了巨大的威脅��,受攻擊前三的�,按省份統(tǒng)計(jì)依次是廣東、河南和江蘇��。第二����,國家計(jì)算機(jī)病毒應(yīng)急處理中心披露了美國國家安全局的網(wǎng)絡(luò)間諜木馬“NOPEN”,它是美國國家安全局接入技術(shù)行動(dòng)處對外攻擊所使用的主要網(wǎng)絡(luò)武器之一�,通過它可以用來實(shí)現(xiàn)對目標(biāo)的遠(yuǎn)程控制。第三���,英偉達(dá)和三星等大型企業(yè)相繼遭受到了黑客Lapsus$的攻擊和勒索�����,造成了大量的數(shù)據(jù)泄密�,僅三星一家被竊取的文件大小接近190GB��,包括部分源代碼��。第四��,沃達(dá)豐遭受破壞性攻擊�,導(dǎo)致葡萄牙大面積斷網(wǎng),影響了超過400萬的移動(dòng)用戶���,340萬的家庭及企業(yè)寬帶用戶��。
我們接下來看國家計(jì)算機(jī)病毒應(yīng)急處理中心的統(tǒng)計(jì)數(shù)據(jù)���,第一張圖,2021年上半年����,我國境內(nèi)感染計(jì)算機(jī)惡意程序的主機(jī)數(shù)量約446萬臺(tái)���,同比增長46.8%,位于境外的約4.9萬個(gè)計(jì)算機(jī)惡意程序控制我國境內(nèi)約410萬臺(tái)主機(jī)��。
注:《2021年上半年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測數(shù)據(jù)分析報(bào)告》
第二張圖��,2021年上半年�����,境內(nèi)外8,289個(gè)IP地址對我國境內(nèi)約1.4萬個(gè)網(wǎng)站植入后門��,其中����,有7,867個(gè)境外IP地址(占全部IP地址總數(shù)的94.9%)對境內(nèi)約1.3萬個(gè)網(wǎng)站植入后門。
注:《2021年上半年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測數(shù)據(jù)分析報(bào)告》
第三張圖��,存在大量暴露在互聯(lián)網(wǎng)的工業(yè)控制設(shè)備和系統(tǒng)�,其中,設(shè)備類型包括可編程邏輯控制器���、串口服務(wù)器等�����,存在高危漏洞的系統(tǒng)涉及煤炭���、石油��、電力、城市軌道交通等影響國計(jì)民生的重點(diǎn)行業(yè)�。
注:《2021年上半年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測數(shù)據(jù)分析報(bào)告》
我們再來看2022年1月份的統(tǒng)計(jì),境內(nèi)感染木馬或僵尸網(wǎng)絡(luò)惡意程序的終端數(shù)為446萬余個(gè)��;境內(nèi)被篡改網(wǎng)站數(shù)量4,327個(gè)�,其中被篡改政府網(wǎng)站數(shù)量為24個(gè);境內(nèi)被植入后門的網(wǎng)站數(shù)量為1,812個(gè)���,其中政府網(wǎng)站有2個(gè)���;針對境內(nèi)網(wǎng)站的仿冒頁面數(shù)量為187個(gè);國家信息安全漏洞共享平臺(tái)(CNVD)收集整理信息系統(tǒng)安全漏洞2,072 個(gè)���,其中�����,高危漏洞631個(gè)����,可被利用來實(shí)施遠(yuǎn)程攻擊的漏洞有1,719個(gè)。所以我們可以看到這個(gè)感染的木馬和僵尸程序的IP地址數(shù)目����,以及境內(nèi)被植入后門的網(wǎng)站數(shù)量都在呈增長態(tài)勢。而恰恰這些被攻擊的主機(jī)�����,它們可能向外發(fā)送報(bào)文��,導(dǎo)致企業(yè)的數(shù)字資產(chǎn)外泄����,甚至成為企業(yè)內(nèi)網(wǎng)橫向攻擊的一個(gè)跳板。所以即使是企業(yè)內(nèi)部的合規(guī)資產(chǎn)被攻陷后���,如何阻止非法的向外傳輸數(shù)據(jù)是我們不得不面對的問題�����,資產(chǎn)運(yùn)營期間動(dòng)態(tài)安全防御和上線靜態(tài)合規(guī)檢查一樣重要�。
我們來看看盛邦安全威脅情報(bào)賦能下的網(wǎng)絡(luò)空間資產(chǎn)治理方案是如何解決上述問題的,它主要包括兩大模塊����。
第一個(gè)是資產(chǎn)測繪能力,包含靜態(tài)和動(dòng)態(tài)兩個(gè)方面����,靜態(tài)就是指網(wǎng)絡(luò)本身的一些屬性,如網(wǎng)絡(luò)屬性����、地理位置屬性�、應(yīng)用屬性和社會(huì)組織架構(gòu)屬性,動(dòng)態(tài)屬性就是會(huì)變化的��,比如說PoC漏洞����,隱私信息泄露,一些高危組件�����?��;谥鲃?dòng)和被動(dòng)的信息探測��,再利用一些大數(shù)據(jù)����、AI等手段進(jìn)行分析,在此基礎(chǔ)上繪制一張物理空間和網(wǎng)絡(luò)空間相映射的地圖��,然后基于這張地圖進(jìn)行各種應(yīng)用�。
第二個(gè)是情報(bào)生產(chǎn)運(yùn)營能力,一方面是豐富情報(bào)源��,包括開源�、第三方權(quán)威機(jī)構(gòu)以及情報(bào)聯(lián)盟等,搜集到了這些情報(bào)以后再進(jìn)行處理�����,包括標(biāo)記���、去重�、清洗��、關(guān)聯(lián)�����、加權(quán)、挖掘�、富化和融合,真正形成可以被利用的有價(jià)值的威脅情報(bào)�����。另一方面是資產(chǎn)治理能力�,包括Web和IP資產(chǎn)上線之前要進(jìn)行摸清家底、備案審核�����、立體化防御����、自動(dòng)化運(yùn)營和應(yīng)急響應(yīng)這樣資產(chǎn)治理的五步��,基于以上構(gòu)造眾多應(yīng)用場景�,包括災(zāi)情監(jiān)測、安全運(yùn)營����、指揮調(diào)度、協(xié)同共享等等,助力政府����、能源、運(yùn)營商���、金融�����、教育���、大企業(yè)等各個(gè)行業(yè)的網(wǎng)絡(luò)空間資產(chǎn)治理,我們本次就聚焦在非法外聯(lián)檢測這一個(gè)方面����。
如何基于攻擊者的視角,利用資產(chǎn)治理“五步法”驅(qū)動(dòng)日常的安全運(yùn)營工作��?
我們來看具體內(nèi)容��,第一摸清家底����,就是主被動(dòng)探測結(jié)合檢測風(fēng)險(xiǎn)暴露面并對資產(chǎn)進(jìn)行畫像����;第二個(gè)是備案審核�,包括備案的體系、整個(gè)上線的安全評(píng)估����、合規(guī)評(píng)估、漏洞整改評(píng)估���;第三個(gè)是立體化防御���,包括威脅攻擊的防御體系、異常流量的安全保障�、還有動(dòng)態(tài)等級(jí)保護(hù)體系;第四自動(dòng)化運(yùn)營���,包括定期漏洞排查、7x24h WebShell�、威脅情報(bào)持續(xù)監(jiān)控、非法外聯(lián)檢測��;第五應(yīng)急響應(yīng)����,就是對于一些緊急的安全事件�,能夠進(jìn)行及時(shí)的處置�,一鍵斷網(wǎng)。
攻擊過程的威脅情報(bào)體系我們大致可以分為三個(gè)方面��,第一是從攻擊前來說��,提前感知到這些攻擊可能來了����,第二是攻擊中怎樣進(jìn)行線上的阻擊,第三是攻擊后怎樣進(jìn)行自動(dòng)溯源���,如何減少損失�����。所以我們聚焦的是一個(gè)資產(chǎn)被攻陷以后��,變成了一個(gè)失陷資產(chǎn)��,怎樣避免它被攻擊方利用�,從而外聯(lián)發(fā)出大量報(bào)文��,造成數(shù)據(jù)資產(chǎn)的泄露。
下面我們來看一下基于空間測繪威脅情報(bào)的非法外聯(lián)檢測具體方案�,最底層是NG-RayOS操作系統(tǒng),然后是采集層�、分析層、應(yīng)用層和展示層�;采集層主要是四大引擎,包括流量引擎��、存活引擎����、指紋引擎和漏洞引擎;分析層包括數(shù)據(jù)的存儲(chǔ)��、清洗�����、抽取和校驗(yàn)���;應(yīng)用層包括備案管理�����,自動(dòng)化運(yùn)營�,應(yīng)急響應(yīng)�����,漏洞整改����;在此基礎(chǔ)上,檢測的非法外聯(lián)情況可以跟威脅情報(bào)中心進(jìn)行聯(lián)動(dòng)�����,當(dāng)檢測到有非法外聯(lián)的時(shí)候��,我們可以看外聯(lián)URL或者IP���,然后跳轉(zhuǎn)到威脅情報(bào)中心�;最上面是展示層����,包括界面、大屏��、API數(shù)據(jù)服務(wù)���。
這個(gè)場景主要是可以針對一些企業(yè)內(nèi)部資產(chǎn)進(jìn)行梳理���,視頻專網(wǎng)����、電力專網(wǎng)�、企業(yè)內(nèi)網(wǎng)、非法外聯(lián)的檢測����,它帶來的價(jià)值,第一精準(zhǔn)的實(shí)現(xiàn)資產(chǎn)的畫像�����,基于主動(dòng)被動(dòng)的流量學(xué)習(xí)�,豐富的指紋庫,然后精準(zhǔn)的實(shí)現(xiàn)資產(chǎn)畫像�,提升資產(chǎn)日常監(jiān)控和自動(dòng)化運(yùn)營能力;第二有效的非法外聯(lián)監(jiān)測��,可以針對在線����、非法外聯(lián)�、跨網(wǎng)訪問等情況進(jìn)行實(shí)時(shí)檢測�,未知威脅能夠及時(shí)發(fā)現(xiàn)��,避免內(nèi)網(wǎng)橫向威脅的傳播����,攻擊者溯源和畫像;第三及時(shí)的非法外聯(lián)預(yù)警阻斷�����,當(dāng)威脅情報(bào)潛在的危險(xiǎn)發(fā)現(xiàn)的時(shí)候����,可以和防護(hù)設(shè)備進(jìn)行聯(lián)動(dòng),不合規(guī)或者非法的資產(chǎn)��、可疑的攻擊�����,都可以立即進(jìn)行阻斷���,一鍵斷網(wǎng)���,可以減少資產(chǎn)失陷后損失���。
非法外聯(lián)檢測方案特點(diǎn)總結(jié):
第一資產(chǎn)測繪能力強(qiáng):硬件指紋數(shù)量15萬+個(gè),涵蓋對象包括安防����、網(wǎng)絡(luò)、工控����、物聯(lián)網(wǎng)以及操作系統(tǒng)、編碼語言等30+類�,22+行業(yè),6000+廠商�����,資產(chǎn)覆蓋范圍廣���。
第二資產(chǎn)標(biāo)簽管理靈活:通過內(nèi)外網(wǎng)狀態(tài)����,設(shè)備應(yīng)用指紋等信息和資產(chǎn)進(jìn)行關(guān)聯(lián),資產(chǎn)自動(dòng)添加業(yè)務(wù)系統(tǒng)等標(biāo)簽信息����,便于分級(jí)分類的將不同的資產(chǎn)和標(biāo)簽相關(guān)聯(lián),可快速定位哪類標(biāo)簽?zāi)男┵Y產(chǎn)存在風(fēng)險(xiǎn)���。
第三非法外聯(lián)檢測處置:漏洞庫18萬+條,資產(chǎn)信息和威脅情報(bào)庫聯(lián)動(dòng)�����,AI判定����,預(yù)測風(fēng)險(xiǎn),以最新漏洞POC���、風(fēng)險(xiǎn)特征等規(guī)則對非法外聯(lián)風(fēng)險(xiǎn)資產(chǎn)進(jìn)行專項(xiàng)驗(yàn)證�,評(píng)估漏洞風(fēng)險(xiǎn)影響面�����,縮短驗(yàn)證周期�,監(jiān)督整改,及時(shí)發(fā)現(xiàn)失陷資產(chǎn)非法外聯(lián)風(fēng)險(xiǎn),一鍵預(yù)警阻斷���。
這就是我們整個(gè)基于威脅情報(bào)的非法外聯(lián)檢測阻斷詳細(xì)方案�,如果大家對此方案感興趣�����,可以關(guān)注盛邦安全公眾號(hào)或者撥打熱線電話4006-911-199咨詢�����,我今天的分享就到這�����,謝謝大家�����。
