HVV场景下如何收敛互联网暴露面

你的企业有哪些私有应用在互联网上?如何防御?

越来越复杂的网络环境,越来越激烈的对抗,如何去快速收敛资产在互联网上暴露面就变得越来越重要。而那些内部应用、私有应用因为各种原因在互联网上,既要能够提供应用服务,更希望只给企业组织架构之内人使用,这是新时代下给我们的新的命题和挑战。

HVV场景(下称重保活动)有点类似一次小型的高级持续攻击(APT)演练,作为防守方的大型甲方政企将会遭受国内顶尖安全“红队”的模拟真实攻击。网络安全是一个有对手的战场,面对这种有组织的攻击,我们应该来如何面对?

一、HVV场景下常见的攻击手段

1.1发现互联网的暴露面

兵马未动,斥候先行。一般“红队”在真正攻击之前会摸清该政企在整个互联网中的资产暴露面,很多时候发现的哪些shadowIT连甲方自己都不清楚,更何谈去防护,造成快速失分。所以发现互联网中的资产暴露面变得尤为重要。首先基本获得基本的信息:域名&IP&邮件地址等,其次获得该政企在互联网的暴露面,典型如下

VPN远程访问通道

互联网上的公共服务

互联网上的私有服务(对企业内部人员&外包等开放)

邮件服务(分两类针对人的钓鱼攻击,针对服务的攻击)

1.2威胁情报收集

获得了该政企的域名&IP&邮件地址等信息后,“红队”同时会在暗网、Github、Gitlab、百度云盘等收集相关政企泄露的威胁情报,例如人名、账号名、各种邮箱地址、某后台的账号密码、某VPN的账号密码、某平台的AccessKey,以及泄露出来的开发技术文档等,这些威胁情报结合上面互联网的暴露面对具体的实施攻击起到非常重要的指导作用。

1.3常见具体攻击手段

根据攻击实战和ATT&CK框架总结起来在初始阶段和凭证访问阶段大致有以下几种最常用的攻击手段类型:

初始访问:使用外部泄露的有效账号直接进入

结合威胁情报和资产的摸排,攻击者顺藤摸瓜利用泄露的有效账号进入(核心)系统直接失分。

我们的思考:是否能够让泄露的账号密码变成不是唯一的登录凭证?

初始访问:钓鱼凭证

钓鱼攻击是重保活动中或者说是真正的APT攻击中也是经常用到的一种手段,攻击者假冒公司、组织甚至政府机构等权威机构的名义,发送虚假内容、恶意文件或恶意链接,诱使受害者点击或者登陆账号密码等。一旦受害者点击链接或输入账号密码,有效账号被窃取,直接造成失分。

我们的思考:是否能够让泄露的账号密码变成不是唯一的登录凭证?

初始访问:利用外部远程服务漏洞攻击

利用黑客可接触到的外部远程服务的漏洞发起攻击,例如境外APT组织Darkhotel(APT-C-06),利用某VPN服务商设备漏洞,实现入侵劫持并下发恶意文件的APT攻击活动,我国多处驻外机构及相关政府单位遭遇不同程度的攻击。网络犯罪分子通过扫描发现未打补丁的大量VPN设备,获得远程访问的权限后,查看管理日志,获得管理员密码,进而访问整个网络,禁用多因素认证手段,从而使得整个IT系统瘫痪。严重失分。

我们的思考:是否能够避免匿名攻击,并且还能够给企业员工提供应用服务?

初始访问:暴力破解&漏洞探测

黑客在互联网上会收集企业资产,对资产会进行账号密码的暴力破解,以及探测其弱点和漏洞(sql注入,XSS,CSRF,缓冲区溢出,上传漏洞等),一旦获得攻击成功,造成失分。

我们的思考:是否避免暴力破解和漏洞探测,并且还能给企业员工够提供应用服务?

初始访问:未授权访问

顾名思义,没有得到授权,却能得到访问权限。这种漏洞经常出现在后端服务上,很多程序员开发的时候只认为界面没有显示就没有权限,往往很多时候后端的接口都没有做权限验证。随着开发的应用越来越多,开发人员水平也是参差不齐,很难避免。一旦获得攻击成功,造成失分。

我们的思考:是否能够让那些未权限的服务只给想服务的人服务?

凭证访问:盗取凭证攻击
一旦登录后,系统会产生一个登录凭证用于后期用户和系统交互识别身份。凭证盗用有多种方式

结合和XSS攻击相配合,攻击者在你的浏览器上执行特定的JavaScript脚本,取得你的访问凭证。

有些大BOSS能够在大网里面捞登录凭证。

被中了木马,有可能登录凭证被盗。

一旦拿到登录凭证,攻击者就可以像用户一样,以用户的权限跟系统交互。进一步进行扩大战果,容易失大分。

我们的思考:能够让系统感知到那些盗用的凭证是被盗用的,以及能够及时让其失效?

二、私有应用与远程访问

从上面我们可以看到,政企里面往往有如下服务

VPN远程访问通道(私有服务)

互联网上的公共服务(公共服务)

互联网上的私有服务(私有服务)

邮件服务(接收来自互联网邮件,公共服务;企业用户查收邮件,私有服务)

那些公共服务(如淘宝,京东等需要匿名浏览,用户觉得不错才开始注册账号)暂时不在我们的讨论范围内。

我们关心的重点是那些在互联网上的私有服务(预先定义好组织架构,例如员工,外包等),如何让他们安全的提供服务。既能享受到互联网的便利,又能像“内网”一样宁静和安心。

攻击手段与反思点

私有应用还可以分为远程访问类(VPN)和WEB类,在这里先讨论下远程访问(VPN)场景下面对攻击的常见手段,如何做到互联网暴露面收敛以及账号安全的加强。

三、下一代零信任远程访问

ZRA是ZerotrustRemoteAccess的缩写,作为VPN的升级版本,希望下一代零信任远程访问ZRA不仅提供远程访问通道,更重要的是提供全面的安全保障。

为了应对远程访问场景下的互联网暴露面和账号安全的问题,我们希望能够ZRA基于零信任网络理念,基于可信设备和风险感知能力体系,让自身服务在互联网上隐身,让不可信设备寸步难行,同时对设备身份和用户身份进行鉴别,以用户身份为访问凭证进行接入授权访问。用户在访问企业内网应用时,系统会对访问者、访问设备和访问环境进行动态评估判定,最小访问权限,确保企业的远程访问安全。

ZRA(ZerotrustRemoteAccess)

3.1具备自身服务隐身功能

ZRA是外网访问内网的关键通道,要让ZRA服务在互联网上能够隐身,不能够被探测和扫描到。避免出现远程访问服务直接裸露在互联网上,被人打穿打透,成为攻击者的后门通道。技术上可以通过SDP的单包敲门(SPA)协议或者反向连接的P2P模式。

并且ZRA要具备灵活的访问控制模型,让受保护的内网资源也做一定的所谓隐身。

3.2建立基于可信设备的防御体系

攻击者不仅需要账号密码,同时也需要设备来攻击。所以可信设备以及设备环境的感知就变得非常重要。

设备变成可信设备需要信任的传递,不单需要账号密码,还需要有多因子认证MFA或者扫码。等到我们员工基本都变成可信设备了,那么在重保期间就可以开启重保模式(白名单模式),任何不可信设备将再也敲不开大门。

可信设备防御体系和自身服务隐身帮助企业有效抵御利用外部远程服务漏洞攻击和暴力破解&漏洞探测以及未授权访问等。

3.3对接企业统一身份能力

ZRA主张尽量不要自建账号体系,应该提供更多的支持企业统一身份的对接,例如LDAP,企业微信,钉钉,SMAL等,这样用户在转岗离职的时候用户的权限就会自动调整或者回收。避免出现员工离职了还拥有远程访问权限导致重要内部系统数据泄露的风险。

3.4建立强大的威胁感知能力

应该要假设系统一定会被攻击,并且很有可能成功。所以一定要对攻击事件本身有感知能力,并且通过用户身份信息、终端环境信息、访问应用的日志信息、请求信息等多维度信息汇聚,并结合各风险结果进行综合风险评估分析决策,进行及时的预警和拦截。包括但不限于:

在新设备上登录,必须二次认证才能登录

IP地址突变(前30分钟在国内登录,现在在国内登录),必须进行额外二次认证

暴力破解攻击:当攻击者进行账号密码暴露破解的时候,系统进行告警,可设置弹验证码。

泄露账密攻击:当攻击者使用泄露的账号密码登录系统时候,系统发现用户环境为新环境,要求进行OTP或者短信OTP认证的时候,攻击者未能通过额外的认证的时候,系统需要记录该事件。

凭证盗用攻击:根据设备环境信息检测登录凭证盗用攻击,系统记录该事件,可配置动作让该凭证失效。

威胁感知和对抗能力能够有效帮助企业有效抵御试用外部泄露有效凭证攻击、钓鱼攻击、以及盗取凭证攻击等。

四、让传统的远程访问具备攻防对抗能力

以上所思考的方向就是希望传统的远程访问具备攻防的对抗能力。我们虎符网络也推出了虎盾ZRA,就是希望在无边界化的大趋势下,帮助企业武装和保护好企业外部到内部的第一条最重要的防线。重保活动在即,假如您是甲方并且有兴趣,可以一起来探讨并且试用我们的产品。

发表评论

相关文章

//pagead2.googlesyndication.com/pagead/js/adsbygoogle.jshttps://www.googletagmanager.com/gtag/js?id=UA-108371172-1