CISO 聚焦丨如何抵御超过98%的网络安全攻击行为?
数字化时代的「白衣渡江」
目前网络安全态势严峻,各种勒索攻击、数据泄露、网络破坏安全事件层出不穷,攻击者在其中部分案例中展现出了各种高级、精巧甚至可以说是卓越的攻击手法。
例如2年前的 Solorigate(NOBELIUM)安全事件,攻击者充分利用 SolarWinds 的网络监控和管理产品进行供应链攻击行为并成功入侵了全球大量的企业。攻击者篡改了 SolarWinds 产品源代码,加入了自己的恶意后门代码,整个攻击过程中非常谨慎小心的潜伏和操作,例如会耐心等到 SolarWinds 产品部署12~14天之后,才会在随机时间进行攻击行为,并且在执行攻击操作之前还先进行大量环境分析,确定满足多个条件(例如不是 SolarWinds 企业网络、不是测试环境、没有运行特定监控软件、没有运行特定安全软件、没有安装特定安全软件驱动、api.solarwinds.com域名解析到特定IP地址等等)之后才会执行。攻击者最终成功入侵了全球大量的企业并潜伏了超过半年的时间才被发现。
Solorigate(NOBELIUM)安全事件是个划时代的 APT 攻击事件,里面展现出了非凡的攻击技术和战术策略,让全球一众网络安全巨头颜面尽失,可以与古代三国时期导致关羽兵败身死的“吕子明白衣渡江”相媲美。作为全球最大的网络安全公司,微软、FireEye/Mandiant 和全球网络安全行业公司同仁们一起努力,通过成功的全球行业合作,在极短时间内控制不利局势并阻止了相关攻击行为,充分展现出了全球网络安全行业领导者的能力与决心,同时也履行了自身的社会责任。为此微软特地拍摄了一部纪录片 Decoding NOBELIUM: The Docuseries。
但是攻击级别能够达到这种“前无古人、后难有来者”高度的 APT 攻击毕竟是凤毛麟角。通常情况下,基于攻击动机、技术手法的不同,绝大部分常规企业所面临的网络攻击行为,最主要的两种是:
01
以金钱为动机的、基于安全漏洞的自动化攻击行为。这种攻击行为以勒索病毒、挖矿病毒、钓鱼邮件为典型,通常攻击者利用自身控制的攻击基础设施(例如直接访问Internet的端点、租用的云计算VM、之前控制的“肉鸡”/物联网设备等等)对Internet发起广泛的扫描和基于安全漏洞(包括最新的或之前的)的自动化攻击行为,目前也发展为结合人为控制的攻击行为(特别是在通过自动化攻击打开突破口之后)。这种攻击行为基本没有特定的攻击目标,一开始就是广撒网、碰运气、看能钓上多少鱼而已,由于攻击者发起这类攻击的攻击成本极低,因此回报率仍然极高。攻击者的最终目标是通过数字化货币变现(勒索或挖矿),企业组织遇上这类攻击之后安全事件爆发快、持续周期短、损失不定。前几年时,勒索攻击和挖矿攻击各自占据的比例还基本能够持平,但随着数字化货币价格的一路走低,目前直接的勒索攻击已经占据了主流(比例超过了50%)。
02
以商业竞争、IP/机密/隐私数据窃取/泄露、金钱勒索为动机的定点APT攻击行为。这种攻击行为具有非常高的目的性,通常是由小规模的、有组织的攻击团队发起的APT攻击行为,在其中除了充分利用最新的安全漏洞甚至0day漏洞之外,也会大量采用凭据窃取、提权、横向移动、数据泄露、环境破坏等高级攻击操作手法,甚至长期性的隐藏潜伏并实现企业网络环境的持续命令与监控。这种APT攻击行为可能不容易被发现,并且基于攻击者的目的不同,持续的周期也可能有长有短,遇上之后企业的损失通常较为惨重。
那大家也可能会想,是不是我们运气好一点,就不会遇到上述的攻击行为呢?基于企业规模、性质的不同,小一点规模的常规企业,第二种定点APT攻击行为或许是有可能不会遇到的,但是遭遇第一种自动化攻击行为必定是难免的(参考 Check Point 今年初发布的网络安全分析报告,在2021年度,亚太地区的企业平均每周遭遇超过1,300次攻击行为,相比2020年度有超过25%的增长)。而且,上面只是介绍了两种主要的攻击行为,除此之外,我们还会面临其他的攻击行为例如很容易被忽略的内部人员攻击行为、基于商业竞争/勒索的DDOS攻击行为等等。《孙子兵法》里面也说的很清楚,“用兵之法,无恃其不来,恃吾有以待之;无恃其不攻,恃吾有所不可攻也。”,因此我们不要有任何的侥幸心理,而是需要做好充分的网络安全应对准备,才能“恃吾有以待之”、“恃吾有所不可攻也”。
作为数字化转型的基础,网络安全是企业组织发展所不可缺少的。我们必须考虑业务、IT和网络安全在数字化转型中的关联一致性,只有通过引入合理充分的网络安全措施,使企业组织尽可能地抵御现代化的攻击,才能支撑企业组织实现业务创新、提高生产力并最终实现数字化转型。在上一篇 CISO 聚焦系列文章《CISO 聚焦 | 如何构建企业组织的网络安全韧性和数字连续性》中,我们谈到了企业应当如何去构建整体全面的网络安全韧性,包含以下方面:
管理和权衡企业组织在数字化转型中的风险与回报,实现合理有效的网络安全投入产出。
网络安全基础最佳实践,确保企业组织的核心网络安全基础控制满足安全最佳实践的基本核心要求,例如采用多因素身份验证、部署XDR进行威胁防护、及时进行安全更新、做好数据安全防护等等。
威胁保护:针对已知攻击提供保护、预防新的攻击行为以及自动响应与修复的能力。
被攻击面管理:主动检测安全配置、威胁、漏洞,分析被攻击面并实时响应的能力。
通过故障隔离和微分区减少攻击事件和灾难的影响。
发生业务中断时的高可用性、冗余和自动恢复。
供应链韧性:了解并明确对供应链资源(包含内部、外部资源,例如云计算服务)的共同责任、依赖关系和其韧性。
“万丈高楼平地起”,无论是网络安全的攻击技术,还是防护技术,都是由基础技术和高阶技术组合而成的,相互之间是组合、叠加关系而非替代关系。在攻击者发起攻击行为时,也很难一上来就直接使用最新的0day漏洞来攻击,而都是结合基础性和高阶性的攻击技术操作例如钓鱼邮件、凭据窃取、Web漏洞注入等进行的。而防守时也是一样的,如果连最基本的系统安全更新都不能及时安装,又何谈实现完善的企业零信任架构呢?企业在遭遇网络攻击时,是否能够成功防御,其实在攻击发生之前就已经先确定了,孙子兵法中所言的:“是故胜兵先胜而后求战,败兵先战而后求胜”、“胜已败者也”,就是说的这个道理。反而言之,当我们通过在网络安全方面的充分准备和应对,也是可以实现“胜可知,亦可为”的。
大家可能在国外的文献中,经常会看到“Cyber hygiene”或者“Basic security posture”,它们即说明网络安全的基础最佳实践,指的是在常规通用的核心网络安全基础配置方面,是否遵循并实现了网络安全最佳实践中的基础安全控制要求。
网络安全基础最佳实践 不仅仅是帮助企业实现基础性的网络安全防护,也是支撑企业实现更高级别安全防护能力的必备基础和决定性因素。通过网络安全基础最佳实践,可以让企业在攻击者的发起攻击的初始或者早期阶段即可预防、发现相关攻击行为、及时进行安全响应并阻断攻击、以及降低安全攻击对于企业的整体影响。通过微软对大量网络安全攻击事件中的分析,发现通过应用以下五个类别的网络安全基础最佳实践,可以抵御超过98%的网络安全攻击行为。它们叠加的网络安全防御效果宛如一个钟形的曲线,因此又被称为“网络安全韧性钟形曲线”,如下图所示:
用户凭据攻击(包含暴力破解、密码扫射、凭据窃取、凭据中继、泄露凭据复用等等)是最流行的攻击技术类别。Azure AD 去年阻止了超过347亿的凭据攻击行为,包括平均每秒921次的用户密码破解行为。基于微软的相关分析,通过针对用户访问启用多因素身份验证,可以阻止超过99.9%的用户凭据窃取攻击行为。为了更好的保护我们的Azure AD用户,Azure AD提供的默认安全基线(Security Defaults)中,包含了以下安全控制措施,可以直接在Azure AD中一个选项就配置启用,从而大幅提高Azure AD用户环境的用户身份安全性:
强制要求管理员角色使用多因素身份验证;
通过Azure AD Identity Protection所提供的基于安全情报、大数据和机器学习分析的动态用户风险评估,对普通用户的访问行为进行安全风险评估,当出现异常访问行为(例如匿名访问IP来源、恶意攻击IP来源、异常登录行为、使用泄露的用户凭据等等)时则要求多因素身份验证;
禁止使用不支持多因素身份验证的老旧身份验证协议,例如基本身份验证;
当任何用户访问Azure管理界面(包括Azure管理平台、Azure管理命令行)时,强制要求使用多因素身份验证。
使用多因素身份验证有时的确会带来用户体验上的不便,因此为了提高用户访问体验,有时也可以通过结合以下两种安全控制方式来实现安全性和用户体验之间的平衡,实际情况取决于企业组织的实际安全需求:
01
当通过可信来源访问时,不要求多因素身份验证:通过 Azure AD 基于条件的访问控制策略,配置当用户从企业网络来源IP进行访问时,不要求多因素身份验证;
02
基于动态用户风险评估的访问控制:通过Azure AD Identity Protection所提供的基于安全情报、大数据和机器学习分析的动态用户风险评估,当用户出现异常访问行为时(例如异常访问来源、使用窃取的用户凭据等)则要求多因素身份验证。
Azure AD 是身份验证与访问控制解决方案的全球行业领导者,在Gartner的Access Management魔力象限和The Forrester Wave IDaaS榜单中均位于领导者地位。
在企业内部的访问控制中,我们需要实现基于以下零信任原则的访问控制:
显式验证:确保用户和端点设备是可信、正常的,才能允许相关访问请求;
最小权限访问:按照最小权限原则,仅允许用户访问所需访问的资源,而不额外授权或允许用户访问其他不必要的资源;
假定被攻击:分层次、分阶段假定企业组织的某种、部分甚至全部安全控制措施被破坏或失效,入侵者成功的实施了特定、部分或重大威胁攻击行为并造成了不同程度的影响。从而持续性的监控和验证整个环境的安全状态,包含监控可疑的攻击行为以及验证安全控制的有效性和高效性,以及主动性的进行威胁猎捕。
微软是零信任架构的先驱,也是零信任解决方案的世界级领导者,在2020年度,全球使用微软零信任解决方案的用户已超过2亿。
面对现代化的网络安全威胁攻击,我们也需要通过现代化的网络安全来应对。XDR/EDR就是现代化的安全检测与响应集成解决方案,在实现企业安全可视化的同时,自动检测并阻止安全威胁,确保安全运营和响应的有效和高效性。
微软的EDR是端点杀毒软件的进化,而微软的XDR是包含EDR在内的、涉及到身份、端点、网络、应用、数据、邮件、文档在内的集成安全检测与响应解决方案。所有微软安全产品系列作为一个跨云和跨平台的智能集成综合安全解决方案协同工作,帮助客户实现统一集成的、自动化的安全防护和管理,利用全球领先地安全产品和技术,在避免冗余和重叠的同时,最大限度地发挥安全技术的防护能力和价值,同时简化包含部署成本、管理成本在内的总体拥有成本,并降低整体复杂性。
“千里之堤,溃于蚁穴”,对于企业网络安全这个“堤坝”而言,安全漏洞往往就是这个“蚁穴”。网络安全的攻防永远是不对等的,防守需要考虑到方方面面,但是攻击往往只需要抓住一个点就够了。安全漏洞层出不穷,也是攻击者打开突破口和进行攻击的主要方式之一。因此企业需要确保相关系统和应用均及时安装最新的安全更新,包括固件、操作系统和应用程序等等。
但是打补丁是一个麻烦的事情,特别是在复杂的企业环境中,打补丁可谓是一个痛苦的事情,操作复杂、效率低、成本高而且影响大。幸好微软急客户之所急,想客户之所想,设身处地的积极为客户解决打补丁的难题。在Azure公有云上,微软已经是自动帮客户打补丁。而在企业On-premises环境,在之前SCCM/WSUS协助推送产品更新的基础上,微软也推出了Windows Autopatch这个智能自动化的统一更新管理功能(包含在Windows E3套件中并且不额外收费),来帮客户自动批量打Windows、Office、Edge和Teams补丁,极大的降低了人工参与和部署成本。
数据安全是目前的一个热门话题。数据安全的复杂性远比其他组件的安全更高,这是因为:
01
数据自身的来源广泛,类型众多,场景众多,复杂性高;
02
数据与企业业务的结合程度极为紧密,数据是企业业务的实质依托
03
数据安全是法律监管合规的核心目标。
从技术层面而言,在大部分安全事件中,数据往往都是最终受害者,例如被破坏或者被窃取,因此我们在数字连续性或者网络安全韧性战略规划中,必须把数据安全作为重要的方面来考虑。数据分级分类是实现数据安全的首要前提,我们至少需要知道企业内部有多少重要或者机密数据,需要清楚的了解它存储在何处、以及是否实现了有效的安全防护,在此基础上再谈实现全生命周期的数据安全治理,否则数据安全治理就是“无根之木”。
微软在数据安全方面具有非常丰富的经验。为了更好的支持企业客户的数据治理和安全,在2022年8月的时候,我们把数据安全、治理、合规类别的解决方案均统一到 Microsoft Purview 这个品牌之下,支持对非结构化数据(文档、表格、文件、云存储等等)和结构化数据(SQL、数据库等等)实现全生命周期的数据安全和治理。
除了帮助企业实现基础性的网络安全防护之外,以上五个类别的网络安全基础最佳实践也是支撑企业实现更高级别安全防护能力的必备基础和决定性因素,但并非完善的企业安全防护架构体系。企业组织应当遵循国际国内的相关安全法规标准和最佳实践例如ISO 27002、NIST 800-53、国内等级保护制度、NIST CSF、CIS Control等等实现全面的安全防护架构和体系建设。
网络安全面对的是全世界智商最高的犯罪分子。我们不能低估我们的对手,也不能高估自己的能力。没有绝对的网络安全,也没有永远的网络安全。网络安全无论攻防两端,都是一个动态发展、持续提高的过程,“防得了一时,防不了一世”。如何确保网络安全措施是合理充分的?在满足法律合规要求的必备基础上,取决于企业自身的整体风险管理(例如风险评估、风险偏好、风险控制计划和投入产出期望等等)。网络安全韧性和数字连续性应当构建到企业组织的核心体系架构中,与企业财务与业务运营的韧性一样重要。我们必须充分考虑业务、IT和网络安全在数字化转型中的关联一致性,只有通过引入合理充分的网络安全措施,使企业组织尽可能地抵御现代化的攻击,才能支撑企业组织实现业务创新、提高生产力并最终实现数字化转型。更为详细的信息,请参考上一篇 CISO 聚焦系列文章《CISO 聚焦 | 如何构建企业组织的网络安全韧性和数字连续性》。
空谈无用,再好的战略,也要看具体执行,网络安全亦是如此。即便我们有非常完善的安全架构、规范和最佳实践,也知道网络安全很复杂、很麻烦、影响很大,但是毕竟需要落到实处才行。“罗马不是一天建成的”,网络安全也是。企业的相关管理人员需要“着眼大局、明确优先级、从小范围开始、快速行动”。而今天所介绍的网络安全基础最佳实践,则是所有企业都应该遵循的网络安全基础安全控制要求。即便我们面对的攻击者变得越来越老练,攻击技术越来越先进,但是“万变不离其宗”,通过实施这些网络安全基础最佳实践,可以让企业在攻击者的发起攻击的初始或者早期阶段即可预防、发现相关攻击行为、及时进行安全响应并阻断攻击、以及降低安全攻击对于企业的整体影响,可以抵御超过98%的网络安全攻击行为。
除此之外,我们还需要考虑“人”的因素。“人”是网络安全中最重要的因素,也是网络安全中最复杂的因素。“人”是技术的实际作用者,我们需要让“人们”充分了解他们所面临的安全风险,通过教育、交流、传播等方式提高“人”的安全意识、安全防御和威胁应对能力,使他们成为抵御现代化安全威胁的关键防线。
“万物皆可零信任”。大家潜意识的是把“零信任”看成一种技术解决方案,但是“零信任”实际上并不仅仅是一个安全防护技术解决方案,或者一个安全架构。本质上来看,“零信任”是一种通用原则、一种思维意识、以及管理风险的一种方法,我们可以在很多的场景中参考并应用“零信任”原则。在实施得当的情况下,“零信任”可以帮助企业在释放现代化技术潜力的同时,避免、限制和抵御潜在的安全威胁。
最后,大家还可能会有一个问题,前面说的是“可以抵御超过98%的网络安全攻击行为”,那还有2%的网络安全攻击行为,应该如何才能抵御呢?这剩下2%,第一可能是常规企业很难遇到的,第二可能是单纯靠企业自身是难以防范的,需要更多的结合专业网络安全厂商例如微软的力量,第三这部分所需要的投入可能是比较大的。因此这剩下2%,我们需要结合企业组织的实际情况来具体评估和执行。◼︎
张美波
微软(中国)有限公司网络安全
总监兼任网络安全首席架构师
张美波先生现任微软(中国)有限公司网络安全总监,并兼任网络安全首席架构师。他以“展现微软安全价值,守护企业客户安全”为己任,带领微软网络安全团队主要负责微软企业客户的网络安全技术与服务支持,推动微软网络安全产品和技术在中国的高速增长与应用。他曾是微软全球企业服务体系级别最高的技术专家之一,在多个具有全球排名前列的 Top 超大规模环境企业客户担任微软方的基础架构/网络安全架构师和“红军/蓝军”顾问,负责相关的安全架构体系规划设计与部署实施、 APT 攻击相关防范、安全运营及安全响应等。
# CISO 聚焦系列文章
点击即可阅读
1、CISO 聚焦 | 如何构建企业组织的网络安全韧性和数字连续性
# 推荐文献
关于微软如何帮助企业抵御网络安全攻击
长按复制链接至浏览器访问
⇲ Decoding NOBELIUM:The Docuseries
https://aka.ms/nobeliumdoc
⇲ Azure AD
https://azure.microsoft.com/en-us/products/active-directory
⇲ 微软零信任解决方案
https://aka.ms/zerotrust
⇲ 微软 XDR 解决方案
https://www.microsoft.com/en-us/security/business/threat-protection
⇲ Autopatch 解决方案
https://www.microsoft.com/en-us/microsoft-365/windows/autopatch
⇲ Microsoft Purview 解决方案
https://www.microsoft.com/en-us/security/business/microsoft-purview