我曾在信息安全管理的9大思维一文中提出网络安全9大思维:CIA思维、深度防御思维、可控思维、自上而下思维、全局思维、成本收益思维、不信任思维、有效性思维、道德法规思维。
现在我们看看,一旦网络攻防开战,这9大思维能否用上?怎么用?
注:在我国,近几年来,“信息安全”和“网络安全”两个概念完全等同。
注:本文中的实战,其实是指高水平的网络攻防演练。
1、CIA思维
CIA思维比较高层,功夫要下在平时,该加密的加密(C),该校验的校验(I),该高可用的高可用(A)。
战时主要是检验效果。
这就好比防守方的城墙和堡垒,设计和建筑时就要搞好,平时做好维护,战时是检验质量的。
值得说明一下,漏洞,是破坏完整性(I)的。
各种常见已知漏洞和0day漏洞都是攻击者极欲发现和使用的,所以该打补丁的一定要打,单纯硬件设备的补丁还算好打,如果是数据库、中间件的补丁,就不那么容易,因为影响面比较大,开发、运维、厂商、测试,都会牵扯其中。
所以从一个单位的打补丁能力,就能看出其整体水平。
2、纵深防御
纵深防御思维是头条金科玉律。
要一层一层防御,一层一层监控,从边界到网络分区、从服务器到终端、从操作系统到应用程序,要层层设卡,层层警戒。
即便敌人通过0day进了城,城内仍然处处是堡垒,处处是陷阱(蜜罐),处处有监控。
深度防御可以分为物理层、技术层、管理层三个层次。
物理层位于最外侧,可以是大门、围墙、门禁、警卫、狼狗、摄像头、传感器、警报、锁等防护手段,主要是防所谓“近源渗透”的。
技术层则包括认证、授权、加密、监控、隔离、封禁、限制、恢复、备份等手段。
在物理和技术仍然触及不到的地方,通过管理手段来防护,比如规章制度、管理要求、现场检查、安全教育、应急演练、战前动员、全员皆兵等等。
顺便吐槽一下:安全圈是从来不惮于创造新名词的,每年都要整出好几个新词,比如什么ATP、SIEM、SOC、EDR、UEBA、SOAR、RASP等等,其实就那么点东西,各种包装。
这么做,一方面是显得高大上一些,便于营销;一方面也是为了简化描述和便于交流。比如现在你一说“社工”,大家立刻秒懂。
3、一切要在控制之中
可控思维的要点是:可视、可封、坚壁清野。
因为敌我双方都讲究“让对方在明处,让自己在暗处”。所以尽量让攻击队看到最少的东西,让我方看到最多的东西。
这节是重点,所以我多说一些。
先说下坚壁清野:把可以忍着不用的业务都停了,把意思不大的专线都shutdown了,把云上的东西都下了,把访客可触及的信息点(网口)都关了,把笔记本上的内部文档都删了。
搜一搜云盘和github上有没有单位的东西,有的话赶紧清了。这也是一个“可视”的问题,要能看见自己的东西。
上次实战时,都打了好几天了,有朋友电话我,说我单位有个系统开了若干端口。打开一看,确实没错,吓得我赶紧查IP,却发现IP并不是我们的,一开始以为是仿冒网站,后来一查,原来是开发商放在云上的测试系统!
坚壁清野很难做到彻底,但要尽可能地做。
下面说对攻击的“可视”。
在进入服务器之前,攻击都在流量之中。
如果条件允许,建议大量购买网络流量相关工具,一两个是不够的,要有多个。
首先应该建一个流量汇聚平台,把网络各处流量输入汇聚起来,然后按需处理、分发。网络设备给出流量,安全分析工具享用流量。这样,不至于像以前,每上一个安全分析工具,都要到处接镜像。
然后是各类流量分析和处置工具,如WebIDS、APT防护、沙箱、邮件安全、WAF、IPS等等,这类工具买上十个八个也不为多。
最后,流量回溯工具是必不可少的,它可以把流量都存下来,上面说的那些工具,通常是不会记录全流量的,要查看具体特定流量的时候,还是要靠它。
最好能够看到口令暴力猜解,这可以从流量上做,虽然稍微有点难度。如果企业的认证点是集中的,就比较好办。
比如某单位所有系统都用AD验证口令,那就监控AD上的流量,如果每秒有多个口令验证出错,就立刻报警。
蜜罐是独特而有效的可视性工具,可以买专门的蜜罐/蜜网系统,也可以使用负载均衡设备的蜜罐功能,还可以开主机蜜罐、邮箱蜜罐、数据库蜜罐等等。总之,多开一些总是好的,一个典型的中型金融机构,怎么也应该弄上几百上千个蜜罐。
一定要有主机安全工具,以便看到主机上的攻击行为。像口令尝试、漏洞提权、木马上传、远程登录、反弹shell等攻击行为,都能及时看到。此外,它还可以发现弱口令,可以监控web目录,可以保护可执行文件,可以设置主机蜜罐,总之,这是个好东西,谁用谁知道。
此外,日志汇聚分析平台、报警平台、CMDB、威胁情报等等这些,都应该有,这些都有助于发现和定位攻击。
下面说一下网络封禁:
• IP封禁应尽量方便化和自动化。可开发专门的IP封禁系统,实现方便的一键封禁。必要时,要能一键关闭线路(也就是关闭路由器端口)。
• 应具备封禁IP列表的导入功能。实战时,攻击情报都是上千个IP的列表,要能方便导入。
• 要防止误封。不要误封正常用户,不要误封自己的出口地址。可以将自己的地址放入封禁系统的白名单中。
• 一些安全工具可以和防火墙联动。通过调用防火墙的API接口或命令接口,可以实现对高危攻击的自动封禁,必要时可以用,但同样要防范误封。
4、自上而下
工程师文化是自下而上,但作战需要自上而下。
自上而下讲求的是领导重视、指挥有方;强调的是组织严密、协同有力。
领导,在组织、动员、谋划、决策、资源调动、后勤供应等方面,都是起最重要作用的,也是作战成败的关键因素。
在当今人类社会,“命令体系”仍然是最有效的战争组织体系,毕竟人类还没有发展出去中心化的作战能力,还没有发展出我在如何从高层把握区块链的本质中所设想的去领导式作战机制。
如今的攻防演练,大批人马集中在ECC,必然存在大量的组织和管理工作,比如团队协同、规章制度、应急流程等;再比如场地、工位、门禁、值班、人吃马喂等等,都需要自上而下的管理,都需要领导的指挥、布局、坐镇和协调。
不像攻击队2,3个人就能开整,防守方是多团队作战的,指挥部、研判组、监控组、网络组、主机组、终端组、邮件组、应用组,加上24小时排班,少则几十人,多则几百人。
要想和谐有序地在一起工作,除了指挥和命令,还要有协同工具。IM工具(比如微信或其他)是首要必需,在线文档编辑工具则可以如虎添翼,监控组及时上报攻击信息,其他组迅速跟进,分析、定位、确认、封禁,整个团队通过工具协同起来。
5、全局思维
全局思维是指安全要定位好自己,不要把自己放在业务之上。
因为这个世界的最重要任务是发展,安全只是保障。
平时,安全应以业务为重;到了战时,业务可以适当让步,一些业务可以关停。
但关键性的业务,仍应保持运营。不能因为害怕,都停摆了。
毕竟本文所说的作战,其实只是演练。
6、成本收益思维
穷有穷的打法,富有富的打法。
如果穷,没有太多的资源和人力,那就保护最重要的资产,防范最常见的攻击。
攻击者最爱用的、对技术要求最低、而又最容易奏效的攻击手段,无外乎:漏洞、弱口令、钓鱼邮件。而漏洞中,又以文件上传漏洞为甚。
所以重点防以上三点。
注:那些被打穿的,大多也都败在这三点。
漏洞全都补上,这是辛苦的活,但必须做。实在补不上的,关停、隔离或想其他办法。
仔细排查文件上传入口,如非必要,全都关上。即便一定要上传,也做严格的检查和过滤。
利用工具发现弱口令、禁用弱口令、强制定期修改口令,在管理上则是通知、检查、通报。
培训所有人警惕钓鱼邮件,要实测几次,看看员工是否已经掌握。
如果富,那就是买买买了,买尽可能多的一流工具,买尽可能多的一流人才。
兵强马壮,一般都没有问题。
每年都有更新更好的工具,所以要年年买;
每个工具都要自身的局限性,所以同一类工具可以买多家的;
每个团队都有其优势和劣势,所以可以同时请多家。
7、不信任思维
不信任思维很简单,就是对内网也不信任,对内部人也不信任,对合作伙伴也不信任,以至于,最终,对任何人、任何物都不信任。
毕竟,多一份不信任,少一份不安全。
在某次大型演练中,某处于中心地位的机构被攻破,立刻变成风险中心,所有联入该机构的单位吓得纷纷拔网线。
这也说明和外联机构要有清晰而严格的访问控制策略,只能开业务所需的IP和端口。
从非技术的角度考虑,不信任思维主要是防社工。
许多所谓的著名黑客,其实只是社工高手,很多不可思议的突破案例,其实只是精妙的社工。
要通过培训,告诉所有人如何识别钓鱼邮件,如何识别社工人员。
有时候,不仅仅是拒绝,还需要学会诱敌深入。
抓住社工可以加分的。
有次实战,某单位义正严辞地拒绝了一位自称是来修ATM机的,事后回想起来,觉得有些可惜,错失了加分机会,应该放他进来,看看他到底做点什么再下手不迟。
8、有效性的检验
有效性,顾名思义,就是说你所设计和执行的一切,是否生了效。
比如你封IP,是否封上了?你打的补丁,是否打上了?你上的监控,是否有用的?你不让点的邮件,员工是否点了?你制定的流程,是否执行了?
这些都要做检测、做验证。
不要指望一个命令下去,一切就能到位。
除非你经常性地检验。
在正式开战之前,可以先做几次演练,找最厉害的几只个攻击队,实打实地来几次攻击,看能不能攻破,看是不是还有漏洞。
这些都做了,心里才能有点底。
9、道德法规思维的实践
法规思维,就是要守法,要合规;
攻击队可能感受更强烈一些,毕竟违规攻击是要受到惩罚的。
双方交战,至少不能误伤群众。
溯源时候,经常会溯到普通群众,遇到这种情况,应该尽快做到无损退出,而不是进一步扩大“战果”。
关于道德思维,我曾经总结过,就是要正直、尽责、贡献。
这里就不多说了,懂的自然懂。
10、结语
总结起来,作战思维和日常管理思维还是有区别的,虽然实战时,9大思维都会涵盖到,但最重要的思维是“纵深防御”和“可控”,然后是“自上而下”、“成本收益”和“不信任”。
“纵深防御”和“可控”同时也是最花功夫的,需要长期不懈的建设,以及战前的密集准备。
如果“纵深防御”到位,又把“可控”思维中的“可视”、“可封”、“坚壁清野”做好,攻击队基本上无从下手。
而防守方基本上就是盯盯监控,封封IP,然后就是翘脚喝咖啡了。
如果你不图加分的话。 |
