内网渗透如何防御?

华盟原创文章投稿奖励计划
内网渗透,指采用循序渐进的方法,从被忽视的小漏洞入手,综合运用如嗅探、远程溢出、ARP欺骗等多种攻击方式,长期有计划地逐步提升权限,最终控制整个内网的过程。

安全防御的手段已经越来越多,如严格规划网络结构、对内部与外部网络进行隔离、设置网络防火墙、安装杀毒软件等。这些措施大大提高了网络的安全性,黑客已经很难直接攻破一个防御到位的内网系统。

但是,内网渗透作为一种四两拨千斤的攻击手段出现了。

与一步到位的入侵相比,内网渗透更难防,很多截图能够不吹不黑地展示内网渗透的“威力”。

61

图:某内网渗透案例截图

攻击者已经拿下了企业域控,内网机器全部沦陷,信息唾手可得。公司内部代码与重要信息全部泄露,而且在已窃信息的帮助下,攻击者完全有能力进行更大层面的破环,如长期监控,远程操作等。失去内网控制权,意味着企业安全投入全部失效。

内网渗透常见FAQ

Q:内网渗透,防的是自己人?

A:内网出的问题,其实大多是外网出的问题,而DLP基本上都是防内部人为主。

Q:怎么感知被人漏扫、渗透?

A:从日志中找,一般都会有痕迹,有些墙和IPS等也会有记录。

Q:有什么特征?

A:一般漏扫很容易发现。因为漏洞扫描基本带着payload来进行,从日志中找payload样本就可以了,现在的WAF都会去识别这些东西。

但渗透一般都是已经到了内网,尤其是钓鱼、社工这类,所以一定程度上没有那么好防御,最好是能第一时间发现。

Q:那要怎样发现呢?有没有什么流程?比如:WAF日志筛查,导入特征,发现源IP。

A:一般外网扫描很多,但真正成功的不多,成功攻击的在日志中是可以分析出来的。

攻击一般来说也都是有利可图的。只要是攻击都会有痕迹,只不过发现的难点在于,一是痕迹很多时候会被淹没在大量的数据中,所以找个好工具很重要,二是相似的特征可能很多,如何减少误报也很重要。

要发现外部渗透,无外乎就是流量收集,日志、审计和自查,参考“某云用户网站入侵应急响应”。

Q:多维度策略联动减少误报。多维度分享很重要,但联动做什么?

A:发现入侵是个系统化的过程,流量、网络、服务器、应用、外部信息,都有可能发现。这个还涉及反渗透,一般是首先溯源,然后追踪。溯源就是网络取证,互联网公司不被扫描都不正常,扫描也可能是想找到攻击者。

知己知彼,了解内网渗透是如何实现的

安全体系的小小缺陷,就好像一个微不足道的“蚁穴”,却能引发“防御之堤”的全面崩塌。为有效应对,安全从业人员有必要对这种攻击手段进行了解。

与普通网络攻击相比,内网渗透攻击具有几个特性:攻击目的的明确性,攻击步骤的渐进性,攻击手段的综合性。

 具体步骤:

“信息收集->漏洞侦测->权限提升”的不断循环,直到拿到域控,清理痕迹。

1. 信息收集

信息收集是内网渗透中最重要也最耗时的环节。如果信息收集做到位,攻击者就能敏锐地找到可能存在漏洞的攻击点,大大降低后两步的难度。

在获取基本权限以前,信息搜集的目标主要以网络基础信息与人员信息为主,目的是首先进入内网;在提权过程中,信息搜集的主要目标是对内网进行分析,了解基础架构与防御工具,识别最有价值的攻击目标,优化渗透策略。

2. 漏洞侦测与权限提升

综合运用多种手段,捕捉可能的安全漏洞,以达到提升权限的目的。运用一切已获取的信息,不断变换思路,逐步提升权限,最终拿下域控。方式主要是前期收集到的漏洞信息,全面的内网扫描以及引导内部员工进行操作(如回复邮件、点击链接)等。

对于已经占据的机器,攻击者往往会谋求对机器的长期控制,例如给占据机器的备用驱动上绑马,防止重装机器导致的失去控制权;并在此基础上以现有机器为跳板,记录机器使用者或是域管理员的密码,通过翻找文件与长期监控两种方式把信息搜集推向更深层次。

3. 痕迹清理

一般的,Web应用日志、系统日志是主要清理对象,其他的诸如杀毒软件日志等也需要清除。需要注意的是,痕迹清理的方式不光有删除一种,攻击者也可能通过修改原有日志来达到掩盖痕迹的目的。

尽管内网渗透无法彻底解决,但是企业并非无计可施。

因为对于攻击者来说,内网是一个陌生的环境,因此他们需要花费大量时间搜集资料并小心翼翼地提升权限,如果安全人员能够在内网被渗透之初就发现攻击者并及时响应,就能有效减少企业损失。

百战不殆,内网渗透怎么防?

内网防渗透,重点是早期感知,难点是相似的特征可能很多,需要在庞杂的数据中准确识别。

当前,企业安全体系建设总是面临着这样的痛点:

  • 误报漏报难两全,已经购买的安全产品很多放在角落积灰;
  • 面对攻击一问三不知,不知道是否被攻击,不知道被攻击了什么,不知道攻击者从哪里来。

因此,理想的状态是,通过建立攻击响应机制,不但能够回答上述三个问题,更能借助攻击的精准识别,降低其他安全产品的误报率与漏报率,让整个防御体系协同起来,产生1+1>2 的防护效果。

塑造内网“痛感”,蜜罐是当前较为现实的技术手段。

蜜罐的作用是,帮助企业在单点发现攻击。以前,很多人会把蜜罐部署在外网或是其他地方抓流量、样本、特征、行为,抓很多数据情报。其优点是可以记录到很详细的信息,让企业捕捉到攻击威胁。

但是蜜罐的不足之处也显而易见——易被攻击者识破。

当布置于内网时,低交互的蜜罐特征过于明显,甚至可能就是个假服务,在攻击者搜集整理了很多信息的情况下,识破变得很容易。

因此,要想让蜜罐起到理想的效果,我们需要通过改进使其更善于伪装。

Gartner曾在以往报告中描述过欺骗技术的重要性:

欺骗技术

欺骗(Deception)技术,顾名思义,这是一种用来摆脱攻击者的自动化工具,或为对抗攻击争取更多时间的一种欺骗手段。本质就是通过使用欺骗手段阻止或者摆脱攻击者的认知过程,延迟攻击者的行为或者扰乱破坏计划。例如,欺骗功能会制造假的漏洞、系统、分享和缓存, 诱骗攻击者对其实施攻击,从而触发攻击告警, 因为合法用户是不应该看到或者试图访问这些资源的。Gartner预测,到2018年有10%的企业将采用欺骗工具和策略,参与到与黑客的对抗战争中。

旧技术配合新想法,以伪装诱骗为方向进行改进,就出现了高交互蜜罐。

高交互蜜罐上进行的是真实的服务,如在办公环境下,直接就做一台办公网的机器,或是在数据库环境下,直接部署一款数据库的机器,跑MySQL等真实的服务,目的是让蜜罐看起来更有价值,从而被攻击者选为渗透对象。进一步地,多个蜜罐组成蜜网,诱骗黑客持续攻击,从而远离企业真实业务。

同时,蜜网还能提供相互关联的数据。数据关联的意义在于,原本的单点记录只能向企业告警攻击的发生,而关联的数据却能勾画整个攻击后果,结合其他防御产品的数据,企业就能比较成功地实施攻击阻止。

62

如上面动图显示的那样,部署前,黑客只需要一个简单扫描就能找到目标机器,而部署后,攻击者则需要做更多的选择题,通过诱导其在选择过程中踏入“陷阱”,进而被管理员发现,记录其攻击特征,帮助安全人员实现快速有效的应急响应。

综合来讲,高交互蜜罐能够实现两个目的:

  • 全面记录攻击信息,有效溯源;
  • 拖延攻击步伐,赢得响应时间。

再联动其他产品,就可以有效提升整个防御体系准确率,解决目前企业安全体系建设的痛点。

不过,这种改进方式也带来了新的挑战。在内网环境下,安全人员不仅仅需要知道攻击者的特征、行为,还要有更全面的监控,当有很多节点的时候,工作人员就要调控所有的节点,把这些数据做关联。而且,当节点变多的时候,企业还需要考虑运维成本、人力成本,寻求易部署、易管理的方法。为了实现更好的安全解决方案,长亭科技也进行了摸索。

攻击的对手都是人。是人,就具有变数!

所以还要换思路和工具来做这些事情。比如传统arcsight和splunk对比在性能上就吃亏。但这本身也不是什么坏事,安全在未来的价值越来越大,才能体现安全从业者的价值。

华盟知识星球入口

文章出处:长亭安全课堂

本文原创,作者:hoxton,其版权均为华盟网所有。如需转载,请注明出处:https://www.77169.net/html/149495.html

发表评论