一年一度安全大事情总算告一段落,随便记录点,留点念想(水一篇文章)。
2022已经是第二年参加了。如果说去年对重保没什么概念懵懵懂懂,今年也算是懂点章法。但相较于去年,还是说点这一年来不一样的东西吧。
防御能力
防御能力相较于去年是有很大提升的,主要体现在:
- 资产清晰
- 安全防护加固覆盖率高
只有在资产清晰情况下,才能做好代码审计、基线检测、漏洞修复、安全加固这类“事前”的防御性工作,同时也能保证主机实时检测类工具做到全覆盖。
这些安全基础能力提升,最直接的效果就是在边界已经看不到Nday漏洞,即使因为0day而被打到内部,也可以借助内部覆盖的检测工具能够快速检测到,个人觉得这是今年整个安全体系建设中最大的成就了。
从实际结果上看,攻击队也的确只能通过0day突破边界。话说,攻击队需要拿出0day来突破,也是对我们防守方安全建设的最大肯定。
第八层攻击
如前面所说,因为安全基础能力提升,攻击队的Nday已经进不来了,只能使用另外一个攻击路径——钓鱼。这已经不是一个技术问题了,是上升到对人性的弱点的攻击。
TCP的OSI模型将计算机网络通讯逻辑分成7层,分别是物理、链路、网络、传输、会话、表示、应用;对“人性的攻击”在业界也有人称为第八层攻击,钓鱼攻击应该就算第八层攻击的典型例子了,直面人性弱点。
去年的钓鱼还是重保的小菜,今年已经是硬菜了,体现在钓鱼范围和钓鱼诱惑度都比去年更强。
- 钓鱼方式广:通过社交软件获取更具针对性的钓鱼对象,并使用外部IM工具发送钓鱼诱饵,这个过程脱离组织内各种监控,要做监控规则难度大。
- 钓鱼诱惑强:加薪、招聘、投诉、吃瓜,各种主题都是针对人性的贪婪、猎奇、恐惧等人性弱点,真假难分,对组织内安全意识宣导提出极大挑战;尤其是一些招聘类主题,受害者会为了自身利益有意隐瞒真实情况,给调查响应带来更大挑战;
- 钓鱼强度强:钓鱼一直伴随着整个重保阶段,每隔两天就发现一次攻击,换着套路、换着目标不断尝试;用“无孔不入、没完没了”形容再贴切不过了。
针对这些钓鱼攻击,防御手段只能不断通过终端管控系统限制用户终端可执行的内容,但因为终端管控又具有不确定性和复杂性,依然会有漏网之鱼上钩,实属无奈,对钓鱼攻击的防御任重而道远。
响应能力
如同在今年一月份《攻防一年碎碎念》说的那样,去年缺少一款像样的应急响应得心应手工具。今年主导上线了基于Velociraptor的一套在线的应急响应工具,弥补了终端主机在失陷后的处置环节不足。 对我自己而言,在组织中的工作重点也由“检测”转向“响应”。(“检测”更关注如何去发现入侵行为,及时告警;而“响应”是当发现入侵行为之后,如何去分析调查失陷终端主机,找到后门并做处置。)
再回头看看,组织内能够空出我这个人来单独做“响应”这块的工作也从另外一个角度说明在“检测”方面我们已经摆脱了“救火”阶段,从“检测”到“响应”的转变,也间接说明整体安全防御的体系的提升。只有结实的基础安全能力,具备纵深防御的检测与发现能力,“响应”才有意义。
Velociraptor这个工具满足了《攻防一年碎碎念》中的对响应工具的所有需求,在POC阶段甚至对某些功能超出期待,也正因为如此花了很大精力去研究落地。在这次重保中,也是首次用于实战,基本达到预期的效果。但从实战上看,使用娴熟度以及与其他工具的配合程度,距离一整套完整响应流程还是有点差距,还需要很多SOP场景的内容建设。
但基于新的响应工具加持下,应急响应过程相比去年,是更加有序可靠的:
- 被动响应变成主动响应;
- 失陷终端主机可见性得到显著提高;
- 响应过程的SOP有了工具的支撑,响应过程和结果标准化的;
- 直接线上响应,降低响应沟通成本、提高沟通响应效率;
尤其是在面对大范围的钓鱼攻击中,线上化的终端响应能力可以快速评估攻击的风险损失,并作为下一步处置的依据。
小结
O了,就这些吧,发现很多想说的东西,其实在《攻防一年碎碎念》已经说过了,就不重复了。后续工作内容应该还是继续深挖Velociraptor潜力,去探索安全应急响应如何做到更好。
就这,水完。