筆者按

最近圈內關于紅藍對抗,Red Team服務的討論很熱烈,原因相信大家都是很清楚的。目前來看,很多企事業單位對“安全之痛”還缺乏體會,國內安全防護水平的發展很大程度上仍然需要監管部門來推動。

筆者所在的公司(安全狗)在今年年初,也把原來做滲透測試的團隊升級成為了可提供Red Team服務的隊伍,一方面是因為滲透測試服務市場受到了眾測服務一定程度的沖擊,另外一方面是隨著攻擊手段隱蔽性和復雜性的逐年提升,國內Red Team服務需求會大幅上升?，F在回過頭來看,我們的預判很準確。

最近很多文章都在強調Red Team服務攻擊能力的重要性,由于我本人長年從事安全防護產品研究和設計工作,所以本文將從Red Team服務促進安全體系改進提升的角度進行探討。

Red Team服務(國內團隊也稱為藍軍)旨在通過全場景、多維度的“真實”攻擊來檢驗企業實際的安全防護水平和發現安全防護體系的缺陷。

Red Team服務與傳統滲透測試相比最大的區別在于:

1、傳統滲透測試目的在于盡可能找全某個系統的漏洞,對于漏洞的利用基本是點到為止(確認其可利用性和危害);Red Team服務的目的則不是為了找全漏洞,而是為了找到可利用的風險點,并繞過防護體系滲透到企業內部,全面檢驗企業各個維度的安全防護能力和安全感知能力;

2、傳統滲透測試的攻擊手段相對比較單一,比如針對web業務系統的滲透測試基本就是利用web攻擊的相關方法;而Red Team服務會利用多維度的攻擊方法(如web滲透、郵件釣魚、魚叉攻擊、無線攻擊甚至物理攻擊);

3、傳統滲透測試一般會選用模擬測試環境進行;而Red Team更傾向于在真實環境和場景中進行真實的對抗,會有攻擊方和防守方甚至有裁判組,整個過程相對更加復雜。

我們的Red Team方案把整個攻擊鏈條總結為“從外到內、從內到內和從內到外”三個環節,從這三個環節基本能完整檢驗一個企業的真實防守能力,如下圖所示:

“從外到內” 主要檢驗企業的邊界防護能力、員工的安全意識以及供應鏈上的安全風險等;這部分的攻擊方法會涉及到web攻擊、郵件釣魚、社工測試、第三方供應鏈攻擊等。

“從內到內” 主要檢驗企業內部安全的防護能力和內部安全威脅感知能力等;這部分的攻擊方法會涉及到內部的橫向滲透、系統提權攻擊、后門隱藏甚至會用到一些0Day漏洞,有點APT的味道。

“從內到外” 主要檢驗企業對于安全威脅感知能力和信息數據外傳泄露的檢測能力等;這部分的攻擊方法會涉及隱藏的反彈Shell(繞過防火墻)、隱蔽隧道數據傳輸等。

從這個三個方面的攻擊鏈條來看,安全防護體系的縱深性、聯動性和全面感知是非常重要的。由于Red Team能檢驗的防守點很多,接下來我們結合對應的產品,分別從三個階段給出提升防護體系的建議。

一、從外到內

這個階段重點推薦RASP(應用運行時自保護),這是針對web安全的縱深防護手段。目前大部分企業在邊界上都部署了云WAF、硬件WAF,但如果出現一個未知web中間件漏洞或應用系統漏洞,直接繞過邊界上的WAF是相當容易的(如各種JAVA中間件的反序列化漏洞);而如果此時web后端有個RASP模塊進行保護,就可以輕松地發現這些高級攻擊,如:web進程執行命令、web進程敏感文件讀寫行為、web進程對系統賬號的修改行為、web進程對外網絡連接行為等;對這些行為再加以分析基本就可以判斷系統是否已經被攻陷并快速采取處置動作。

具體的原理如下圖:

當然這類產品優點雖然很明顯,但缺點也很突出,就是侵入性太強。對于業務連續性要求很高的行業,一般不敢輕易嘗試。從我們實際部署的經驗看,可以考慮從一些邊緣的系統開始測試,穩定后逐步覆蓋到關鍵系統。在部署安裝的時候可利用多節點負載備份和選擇非工作時段,同時要求RASP安全策略和自身模塊支持熱更新模式,無需重啟服務。

二、從內到內

從去年的某大型攻防演練中可以看到,很多大型企業內部防護基本是空白的(大部分單位認為內部網絡隔離就是安全的),因此今年企業對這方面也特別重視。這個階段重點推薦兩種類型產品:

第一類是 (云)服務器主機EDR產品。 EDR(終端檢測和響應)是Gartner針對終端安全提出的下一代產品,連續四年進入Gartner的年度安全技術榜單。筆者在實際的產品研究過程中發現EDR的能力要求更適合(云)服務器主機環境:

EDR要求Agent輕量化:很多甲方客戶不敢在服務器上裝安全Agent,就是擔心安全Agent占用資源影響到業務,由此導致內部主機大面積裸奔的情況,而EDR的Agent輕量化正好符合服務器場景的要求;

EDR要求檢測能力:PC終端安全的大部分問題在于容易感染病毒,而服務器主機更多問題在于如何發現入侵和違規行為,因此服務器場景對于檢測能力的要求高于殺毒能力,所以EDR的檢測能力非常適合在服務器場景上應用;

EDR要求快速響應能力:主機Agent可以滿足阻斷、隔離、還原等快速響應的要求。

綜上,服務器主機EDR產品在內部安全威脅檢測中可以起到很好的效果,既可以彌補內部檢測能力的不足,同時也很適用于云的場景,不受網絡區域限制。

第二類是欺騙防御產品。 欺騙防御系統也是這幾年比較新興的一種產品品類,由原來的蜜罐產品升級而來,但又不同于傳統意義上的蜜罐。我們認為欺騙防御產品是對安全檢測體系一個很好的補充,很適合在一些特殊的內網進行部署。

欺騙技術分為不同層次,需具備真實網絡的所有特征,包括真正的數據和設備。這種欺騙技術可以模仿并分析不同類型的流量,提供對賬戶和文件的虛假訪問,更為神似地模仿內部網絡,同時還要求可以自動部署,讓攻擊者被耍得團團轉,陷入無窮無盡追逐更多信息的循環中。欺騙防御產品按既定意圖運作時,黑客會真的相信自己已經滲透到了受限網絡中。

三、從內到外

這個階段對于數據外傳的檢測是相當重要的,這里重點推薦流量威脅檢測類型的產品。不少人認為流量威脅檢測產品是IDS的下一代升級版,這樣認為有一定道理(都是旁路流量檢測)但又不完全準確,筆者認為好的流量威脅檢測產品須具備以下特性:

不依賴威脅情報情況下對于反彈外聯的檢測能力(依賴檢測算法);

依賴威脅情報對于C&C的快速檢測能力;

依賴AI模型對于隱蔽傳輸通道的識別能力;

元數據的采集、存儲和分析能力,同時能對接給態勢感知平臺;

威脅事件的溯源取證能力(存儲原始的package)

當然,介紹了這么多的防護產品,最終還是需要聯動起來才能發揮作用,這就要依靠安全大數據分析和響應平臺(也就是大家常說的態勢感知平臺或安全大腦)。在缺乏有效的全局安全威脅情報共享聯動作支撐的情況下,不同廠商、不同類型的傳統安全產品難以協同,容易發生安全威脅和整體態勢研判誤報、漏報的現象。

而依托安全大數據分析和響應平臺,部署的各類防護軟件和系統既可以針對目標進行實時防護,同時又可將攻擊數據匯總至態勢感知平臺,全面展示安全態勢,實現對全局的安全風險可視和可預測,為安全決策提供可靠的依據和手段,這也是我們發展此類平臺的重要意義。

“九層之臺起于壘土”,安全防護體系的建設也需要一個過程,這個過程中,既考驗甲方的安全規劃和安全運營能力,也挑戰乙方的產品能力和服務能力。相信隨著國內網絡安全產業不斷地向前發展,我們整體的安全防護水平也會不斷提升到新的高度。