遥测加持,拯救网络攻防演习防守队的双眼
随着安全发展,各种攻防演练和实战越来越多,想必红蓝双方都有已经有些筋疲力尽。毕竟网络安全领域的对抗本质上是人与人之间的对抗,而网络终端、网络设备、介质以及各种工具和平台仅仅是作为辅助手段而存在。
在整个网络攻防演练中,会分为红、蓝两队。红队作为攻击方,一般会针对目标系统、人员、软件、硬件和设备同时执行的多角度、混合、对抗性的模拟攻击。而蓝队面临的更大挑战,是在不对用户造成太多限制的情况下,发现可被利用的漏洞,保护自己的领域。
其中,红队的攻击主要分为三个阶段:
阶段一:情报收集
当红队专家接到目标任务后,并不会像渗透测试那样在简单收集数据后直接去尝试各种常见漏洞,而是先去做情报侦察和信息收集工作。收集的内容包括组织架构、IT资产、敏感信息泄露、供应商信息等各个方面。
阶段二:建立据点
在找到薄弱环节后,红队专家会尝试利用漏洞等方法去获取外网系统控制权限,一般称之为“打点”或撕口子。在这个过程中,红队专家会尝试绕过WAF、IPS、杀毒软件等防护设备或软件,用最少的流量、最小的动作去实现漏洞利用。
当红队专家找到合适的口子后,便可以把这个点作为从外网进入内网的根据地。通过frp、ewsocks、reGeorg等工具在这个点上建立隧道,形成从外网到内网的跳板,将它作为实施内网渗透的坚实据点。
阶段三:横向移动
进入内网后,红队专家一般会在本机以及内部网络开展进一步信息收集和情报刺探工作。同时对内网的其他计算机或服务器的IP、主机名、开放端口、开放服务、开放应用等情况进行情报刺探。再利用内网计算机、服务器不及时修复漏洞、不做安全防护、同口令等弱点来进行横向渗透扩大战果。
蓝队关心的重点
对蓝队而言,高素质且经验丰富的人是第一要素,当然我们也不能忽略工具的重要性,因为蓝队主要工作在于数据的收集和利用数据的能力。事实上,在整个攻防演练过程中,蓝队的处境相当被动,毕竟身在暗处。所以在数据采集和数据分析两面,蓝队都面临巨大的挑战。
实现全流量采集
全流量采集从来都不是一件简单的事情,尤其在攻防演练中,红队会想尽办法找到突破口。举个例子,在一个大型国企(下属有N多子公司)进行攻防演练中,如果蓝队仅仅关注总部的对外出口流量,那将会损失惨重,红队非常有可能在子公司找到突破口,利用子公司与总公司之间的专线实现最终的入侵。
针对以上的问题,近两年也有了应对的方法,这种方法被称为“遥测”,简单的理解,就是通过在子公司远端部署流量采集、流量分析设备,在总部进行集中管理,集中监控,实现每一个有可能的入口流量,全部掌握在蓝队手中。不过,这种“遥测”在实际使用中,存在的问题也非常严重,典型的理想很丰满,现实很骨感。
传统遥测的功能主要总结如下:
探针分布式部署
流量分布式采集
流量分布式存储
流量分布式分析
探针集中式管理
传统遥测的网络拓扑
这种部署方式,在实际中存在的巨大问题如下所示:
问题1:分布式存储固然好,但是会极大增加用户投入的成本,不是所有用户都能承担起如此大的投入;
问题2:虽然是全流量存储,但是各个探针所进行的数据分析,大部分内容是相对独立的,无法与其它安全设备对接;
问题3:流量采集不够智能化,无差别的全流量存储,对于用户和蓝队来说都是一种负担。
真实的网络环境中,还是要结合用户的实际情况来进行“遥测”,如下图所示:
Panabit L7遥测网络拓扑
看上去和传统的“遥测”部署方式上没什么变化,实际上有比较明显的变化,如下:
1) 分支点(子公司)的探针,可实现智能化按需数据采集,用户可根据实际需求,随时改变数据采集的方式,全量采集、按应用采集、按域名采集、按用户采集等等选择非常丰富;
2) 分支点(子公司)的探针,可实现智能化流量回传,在远端回传总部数据时,可利用专线、ADSL、5G等方式进行回传(注重安全选择专线、注重成本选择ADSL或是5G),并且蓝队可根据实际需要,按照应用分类选择需要流量进行回传,打造轻量级可视化网络;
3) 回传到总部的流量,蓝队可以根据需要,按需分给不同的安全设备进行数据统一分析,实现与所有安全厂商的分析设备对接;
4) 探针支持云端数据采集并回传,毕竟云端单独部署全量安全分析设备的成本极高。
在攻防演练中,L7遥测方案对于蓝队最有利的地方,就是当蓝队在总公司,想对某个子公司的流量也进行统一监控时,无需在分公司部署全系列数据分析设备,如果想要分析子公司数据,只需要在总公司部署一台Panabit,分公司部署一台L7遥测探针,将需要的流量按需、加密回传到总部即可。
在解决了成本投入的问题后,L7遥测探针将远端的流量,按需、加密回传,保障了数据的安全性和时效性,对于总部的各种安全分析平台来说,无形中提高了整体流量分析的完整性。这种方式远比在分公司单独部署一台IDS和态势感知系统要有效。
实现全流量监控
除了流量的采集问题之外,在攻防演练中,蓝队对于流量监控同样面临挑战。一般情况下,蓝队队员会盯住屏幕不放,通过实时观察数据的变化及时发现异常。但这种方法弊端也很严重。一是分析数据的设备可能会不准确,二是这种24小时无间断防守,对队员们生理和心理都是巨大考验。
通过文章开始对红队攻击的主要思路分析,我们可以知道,蓝队重点关注的问题有以下两个点:
1) 是否有非法的IP地址在尝试和内网产生连接,因为红队会想尽一切办法从外网侵入内网找到一个跳板,并定会与内网设备建立连接;
2) 是否有非法的协议出现在内网环境中出现,因为红队会通过跳板入侵内网设备,必将产生异常的应用。
以此,我们有针对性的推出新的解决方案,该方案最大的作用,莫过于解放蓝队队员的双眼,让队员们有充分的时间去做做眼保健操。
从内到外
FlowMonitor动态流量监控大屏展现优势。不仅仅是炫酷的动画,FlowMonitor的使命是为了让运维人员更加直观的看到问题。
从该屏幕中,主要看到的是流量的信息,其中重点包括SYN_ACK、NTP、SSDP、MSDS、ICMP等常见的DDoS攻击信息以及容易被黑客利用的DNS、域名或是常见的端口等信息。
从外到内
ServerMonitor是内网设备管理的系统,主要用户数据中心的流量监控,可以帮助蓝队针对内网的设备进行资产管理以及流量态势感知。
在该大屏中,我们主要监测的是以下四部分内容:
在Panalog上可以针对IP地址以及具体的协议进行白名单创建。
真正帮助蓝队队员的正是这可以在大屏幕上自动弹出的告警,一种针对非法用户以及异常应用的出现的及时告警。如果网络中出现了白名单以外的IP地址或是协议,大屏幕会自动弹出告警信息。
看似简单的需求,实际上在传统的安全防护产品来说,并没有有效的解决方法。传统的安全产品,坚持的安全理念是“抓坏人”。就像在一栋大楼门口,安排多名保安,凡是进出门口的人员必须经过保安检查,凡是黑名单上的人不允许通过。然而红队不会傻到,在自己脑门上写上“坏人”两个字,轻易的让蓝队发现。对于伪装后的异常流量,这种靠病毒库“抓坏人”的方法显得捉襟见肘。
而派网的安全理念完全不同,我们使用的是“七层白名单”技术,我们会把每一个人每秒钟所做的每一件事全部记录并呈现给我们的客户。无论病毒还是正常流量,在我这里都可以轻松区分,从而来帮助客户实现对网络流量的监控和管理。又由于我们是根据七层特征去识别流量,那些冒充正常端口号的病毒,也无法逃过我们的检查。
从不放弃网络中任何一个细节,实现记录每个IP每时每刻每个session,这就是派网在网络安全中的价值。
数据精准识别带来的好处不可言喻,伪装的再成功的威胁报文,通过Panabit也能一一发现。想伪装成DNS等正常协议进出网络,连门也没有。
我们为蓝队专门提供的动态大屏可以在整个攻防演练中起到最后一道安全屏障的作用并且可以帮助蓝队及时发现异常问题。
我们在为某电力客户进行攻防演练中,在其他安全设备没有任何感知的情况成功发现并阻断掉两次红队攻击,整个事件过程如下,如今有了自动告警,势必在网络攻防演练中发挥巨大作用。
更多精彩: