内网渗透如何防御?
安全防御的手段已经越来越多,如严格规划网络结构、对内部与外部网络进行隔离、设置网络防火墙、安装杀毒软件等。这些措施大大提高了网络的安全性,黑客已经很难直接攻破一个防御到位的内网系统。
但是,内网渗透作为一种四两拨千斤的攻击手段出现了。
与一步到位的入侵相比,内网渗透更难防,很多截图能够不吹不黑地展示内网渗透的“威力”。
图:某内网渗透案例截图
攻击者已经拿下了企业域控,内网机器全部沦陷,信息唾手可得。公司内部代码与重要信息全部泄露,而且在已窃信息的帮助下,攻击者完全有能力进行更大层面的破环,如长期监控,远程操作等。失去内网控制权,意味着企业安全投入全部失效。
Q:内网渗透,防的是自己人?
A:内网出的问题,其实大多是外网出的问题,而DLP基本上都是防内部人为主。
Q:怎么感知被人漏扫、渗透?
A:从日志中找,一般都会有痕迹,有些墙和IPS等也会有记录。
Q:有什么特征?
A:一般漏扫很容易发现。因为漏洞扫描基本带着payload来进行,从日志中找payload样本就可以了,现在的WAF都会去识别这些东西。
Q:那要怎样发现呢?有没有什么流程?比如:WAF日志筛查,导入特征,发现源IP。
A:一般外网扫描很多,但真正成功的不多,成功攻击的在日志中是可以分析出来的。
攻击一般来说也都是有利可图的。只要是攻击都会有痕迹,只不过发现的难点在于,一是痕迹很多时候会被淹没在大量的数据中,所以找个好工具很重要,二是相似的特征可能很多,如何减少误报也很重要。
要发现外部渗透,无外乎就是流量收集,日志、审计和自查,参考“某云用户网站入侵应急响应”。
Q:多维度策略联动减少误报。多维度分享很重要,但联动做什么?
A:发现入侵是个系统化的过程,流量、网络、服务器、应用、外部信息,都有可能发现。这个还涉及反渗透,一般是首先溯源,然后追踪。溯源就是网络取证,互联网公司不被扫描都不正常,扫描也可能是想找到攻击者。
安全体系的小小缺陷,就好像一个微不足道的“蚁穴”,却能引发“防御之堤”的全面崩塌。为有效应对,安全从业人员有必要对这种攻击手段进行了解。
具体步骤:
“信息收集->漏洞侦测->权限提升”的不断循环,直到拿到域控,清理痕迹。
1. 信息收集
信息收集是内网渗透中最重要也最耗时的环节。如果信息收集做到位,攻击者就能敏锐地找到可能存在漏洞的攻击点,大大降低后两步的难度。
在获取基本权限以前,信息搜集的目标主要以网络基础信息与人员信息为主,目的是首先进入内网;在提权过程中,信息搜集的主要目标是对内网进行分析,了解基础架构与防御工具,识别最有价值的攻击目标,优化渗透策略。
2. 漏洞侦测与权限提升
综合运用多种手段,捕捉可能的安全漏洞,以达到提升权限的目的。运用一切已获取的信息,不断变换思路,逐步提升权限,最终拿下域控。方式主要是前期收集到的漏洞信息,全面的内网扫描以及引导内部员工进行操作(如回复邮件、点击链接)等。
对于已经占据的机器,攻击者往往会谋求对机器的长期控制,例如给占据机器的备用驱动上绑马,防止重装机器导致的失去控制权;并在此基础上以现有机器为跳板,记录机器使用者或是域管理员的密码,通过翻找文件与长期监控两种方式把信息搜集推向更深层次。
3. 痕迹清理
尽管内网渗透无法彻底解决,但是企业并非无计可施。
因为对于攻击者来说,内网是一个陌生的环境,因此他们需要花费大量时间搜集资料并小心翼翼地提升权限,如果安全人员能够在内网被渗透之初就发现攻击者并及时响应,就能有效减少企业损失。
内网防渗透,重点是早期感知,难点是相似的特征可能很多,需要在庞杂的数据中准确识别。
当前,企业安全体系建设总是面临着这样的痛点:
- 误报漏报难两全,已经购买的安全产品很多放在角落积灰;
- 面对攻击一问三不知,不知道是否被攻击,不知道被攻击了什么,不知道攻击者从哪里来。
因此,理想的状态是,通过建立攻击响应机制,不但能够回答上述三个问题,更能借助攻击的精准识别,降低其他安全产品的误报率与漏报率,让整个防御体系协同起来,产生1+1>2 的防护效果。
塑造内网“痛感”,蜜罐是当前较为现实的技术手段。
蜜罐的作用是,帮助企业在单点发现攻击。以前,很多人会把蜜罐部署在外网或是其他地方抓流量、样本、特征、行为,抓很多数据情报。其优点是可以记录到很详细的信息,让企业捕捉到攻击威胁。
但是蜜罐的不足之处也显而易见——易被攻击者识破。
当布置于内网时,低交互的蜜罐特征过于明显,甚至可能就是个假服务,在攻击者搜集整理了很多信息的情况下,识破变得很容易。
因此,要想让蜜罐起到理想的效果,我们需要通过改进使其更善于伪装。
Gartner曾在以往报告中描述过欺骗技术的重要性:
欺骗(Deception)技术,顾名思义,这是一种用来摆脱攻击者的自动化工具,或为对抗攻击争取更多时间的一种欺骗手段。本质就是通过使用欺骗手段阻止或者摆脱攻击者的认知过程,延迟攻击者的行为或者扰乱破坏计划。例如,欺骗功能会制造假的漏洞、系统、分享和缓存, 诱骗攻击者对其实施攻击,从而触发攻击告警, 因为合法用户是不应该看到或者试图访问这些资源的。Gartner预测,到2018年有10%的企业将采用欺骗工具和策略,参与到与黑客的对抗战争中。
旧技术配合新想法,以伪装诱骗为方向进行改进,就出现了高交互蜜罐。
高交互蜜罐上进行的是真实的服务,如在办公环境下,直接就做一台办公网的机器,或是在数据库环境下,直接部署一款数据库的机器,跑MySQL等真实的服务,目的是让蜜罐看起来更有价值,从而被攻击者选为渗透对象。进一步地,多个蜜罐组成蜜网,诱骗黑客持续攻击,从而远离企业真实业务。
同时,蜜网还能提供相互关联的数据。数据关联的意义在于,原本的单点记录只能向企业告警攻击的发生,而关联的数据却能勾画整个攻击后果,结合其他防御产品的数据,企业就能比较成功地实施攻击阻止。
如上面动图显示的那样,部署前,黑客只需要一个简单扫描就能找到目标机器,而部署后,攻击者则需要做更多的选择题,通过诱导其在选择过程中踏入“陷阱”,进而被管理员发现,记录其攻击特征,帮助安全人员实现快速有效的应急响应。
综合来讲,高交互蜜罐能够实现两个目的:
- 全面记录攻击信息,有效溯源;
- 拖延攻击步伐,赢得响应时间。
再联动其他产品,就可以有效提升整个防御体系准确率,解决目前企业安全体系建设的痛点。
不过,这种改进方式也带来了新的挑战。在内网环境下,安全人员不仅仅需要知道攻击者的特征、行为,还要有更全面的监控,当有很多节点的时候,工作人员就要调控所有的节点,把这些数据做关联。而且,当节点变多的时候,企业还需要考虑运维成本、人力成本,寻求易部署、易管理的方法。为了实现更好的安全解决方案,长亭科技也进行了摸索。
攻击的对手都是人。是人,就具有变数!
所以还要换思路和工具来做这些事情。比如传统arcsight和splunk对比在性能上就吃亏。但这本身也不是什么坏事,安全在未来的价值越来越大,才能体现安全从业者的价值。
文章出处:长亭安全课堂