黑客视角看安全 | 企业防御框架应该这样搭

百家 作者:绿盟科技 2017-10-11 08:44:56

证券业拥有庞大的数据处理量,2016年全国证券系统日均交易量达一万亿元,作为中国金融市场中最活跃的市场,因而其对于安全提出了更高要求。本文介绍了攻击链并列举了攻击者的攻击动机,提供防守方应对方法,通过搭建企业防御框架,并拟定针对性的入侵防御方案,对目标进行重点防御。本文运用攻击者视角,在安全建设基础上提出信息对抗、技术对抗、运营对抗三方面的进阶,读者可以按需参考。

攻击者视角

为了保护低价值目标而投入过多资源是不经济的。防守方学习攻击链(攻击过程),以攻击者思维换位思考攻击目的,识别攻击者眼中的高价值目标,进而定义防御目标,才是有效应对之策。

攻击链

简单来说,攻击链就是攻击者常见攻击过程,包含信息收集、探测、渗透攻击到实施恶意行为等步骤。通常,攻击链可以下图形式展示。不同攻击方式的攻击过程可能不同,半数攻击者每一次都会改变具体攻击方法。

攻击动机

了解你面对什么样的攻击者,可以让你理解他们的动机。

在2017年上半年,针对证券业的信息安全威胁主要由DDoS攻击、WannaCry勒索事件、客户资料数据窃取等,需要关注事件背后的攻击动机。如果有人用脚本小子(Script Kiddie)取得的工具来攻击你,这可能并非严重的威胁。如果有人用新的漏洞和精心设计的恶意软件来攻击你,如绿盟公司在2015年发现的证券幽灵攻击,潜伏最长十多年,默默窃取交易数据,那就要重点关注了。他们的能力可能也反映了他们的意图。但大多数攻击的目标是窃取信息,有时可能是可以马上换钱的金融信息,如支付凭证。有时可能是更加敏感的信息,如公司机密。《Mandiant M-Trends 2017 Report》中显示,较之欧洲、美洲区域,亚洲金融行业是全世界黑客主要攻击目标,针对金融企业的攻击复杂性逐步增加,攻击特点是不摧毁,更贪婪。

防御框架

理解和分析攻击链是关键,可以帮助企业在必要阶段部署适当的防御控制。运用攻击者视角,搭建企业防御框架。笔者建议防御策略包含明确防御目标、开展信息对抗、技术对抗、运营对抗三方面进阶建设。

明确防御目标,莫过于确认攻击者的动机,然后根据此动机判断入侵最可能发生的节点以及攻击方式,并拟定针对性的入侵防御方案,对目标进行重点防御。

信息对抗

信息对抗,目的是知己知彼,提供针对性设防的有效信息,并在事件发生时持续监控,获取攻击者攻击行为的信息。威胁情报就是有效信息,还原已发生的攻击事件、预测未发生的攻击威胁和提供应对建议,通常包含IP信誉库、漏洞库、武器库等,可为企业安全团队提供如何响应威胁或危害的决策信息。信息对抗关注信息的时效性和行业属性,如网络游戏行业、政府、金融企业的攻击者和攻击动机差异很大。

证券业对外服务的重要系统以交易WEB平台和交易APP为主,通过收集威胁情报,掌握国内外已发生的特定信息安全事件所利用的已知漏洞,是否与企业交易WEB平台存在的漏洞,或交易APP某项业务流程缺陷有关联,从而提出漏洞缺陷修补优先级。威胁风险分析过程需要将信息资产、存在漏洞信息、威胁信息综合分析,得出风险高低结果。

目前,已有国内安全厂商可提供威胁情报平台,支撑企业威胁风险分析和决策。

IP信誉库

IP信誉库提供攻击源信息,通过配合设备指纹、时间属性来锁定攻击者的身份和物理位置。对于企业来说,一旦攻击者实施了恶意行为,如盗取第三方企业数据,就可以根据溯源结果进入法律程序。通常,为了方便使用,提高溯源和运营效率,IP信誉库信息以攻击类型进行分类。

漏洞库

Struts2依靠连续5个漏洞成为2017上半年的一个焦点。在S2-045爆发的一周内,绿盟科技威胁情报中心监测到19,396次针对该漏洞的攻击尝试。针对Struts2利用的攻击次数超过所有框架及应用漏洞攻击总次数的80%。当有关键业务运行于Struts2框架之上时,24x7的漏洞监视机制、小时级的通报响应机制变得尤其重要。

武器库

武器库提供攻击者攻击方式的有效信息。以XSS攻击为例,XSS是WEB应用攻击威胁,又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。跨站脚本攻击的危害通常是窃取cookie、放蠕虫、网站钓鱼等。利用过程即攻击者找出站点内动态表单页面,如含有富文本编辑器(自定义样式)的注册页面,通过插入特征文本、构造XSS代码、猜测过滤规则、用等价代码替换实施攻击。之后,只要用户注册该平台会员账号,这个包括恶意脚本的页面就被其本地浏览器执行,攻击者就可能获得该用户终端浏览器当下进程的注册信息(cookie)。整个过程未控制主机,仅是植入恶意脚本,即实现数据窃取的恶意行为。如下图是XSS攻击核心步骤展示。

威胁处置效率

为了有效地应对挑战,需要快速适应信息安全管理理念的变革,那就是将传统安全投入只注重防护”Prevent”,不断向检测、响应、预测和持续监控转移,实现动态适应。只有化被动安全为主动安全,才能及时检测正在发生的威胁,甚至预测即将发生的威胁,快速地响应将成为安全团队新的聚焦点。

威胁处置效率,从被攻陷到处置的耗时,是衡量最高级别威胁处置效率的指标。平均检测时间(MTTD)和平均响应时间(MTTR)作为两个衡量企业安全能力的关键指标,已经被更多企业采纳。根据2016年FireEye(火眼)公司发布的报告,企业从被攻陷到发现的平均时间(MTTD)是146天。而平均MTTR是30天。

不难看出,降低MTTD和MTTR必须建立有效的威胁检测和响应生命周期。 而在这个检测与响应的每个阶段,能够以威胁情报驱动,并不断优化每个阶段的安全操作流程有效性的公司可以实现MTTD和MTTR的显著改进。


完整精彩内容请点击阅读原文




请点击屏幕右上方“…”

关注绿盟科技公众号
NSFOCUS-weixin

↑↑↑长按二维码,下载绿盟云APP

点击下方“阅读原文”查看更多
↓↓↓ 

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接