10

【实战案例分享】DMZ区防御体系技战法

 3 years ago
source link: https://www.secpulse.com/archives/161655.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

【实战案例分享】DMZ区防御体系技战法



一、实践背景

近几年,参加国家级、省级攻防演练蓝队主防大大小小10几次,在各类政府、央企集团、大型国企等多样且复杂的网络环境中,在前期需要花费大量精力梳理客户资产,帮客户建立一套纵深防御系统。

在整个攻防演练对抗过程中,作为防守方不仅要防止外部突破,也要防止内部横向渗透。最重要的是如何防守住外部突破的口子,通常对外的口子主要有:互联网对外系统、VPN连接进内网、办公网络、分支机构专线。本文主要分享互联网DMZ区防护系统的关键点。

1、确保业务生产连续性和防守平台可用性

在备战期加固整改过程中,署防守战略和战术的前提要确保业务生产安全稳定运行、防止系统性风险产生;并且确保防守平台整体在实战对抗期间7x24小时可用。

2、确保事件闭环机制

确保对态势感知、流量检测、主机防护、威胁情报、入侵防御和溯源反制等系统的攻击事件进行关联分析与协同联动,形成检测-分析-阻断-溯源-反制的事件闭环流程。

三、防御体系建立思路

在靶标之外,互联网DMZ区是防守的主要目标,围绕防守目标系统,由外到内,由内到内构建纵深防御体系,并通过安全狗态势感知系统上报,实时发现各类攻击行为或疑似攻击行为。

纵向即由外到内:

(1).互联网入口采用流量探针,对进出流量采集和检测,部署具备不同检测算法和分析能力的检测系统进行异构分析,实现对攻击检测和查证进行相互验证、相互补短;

(2).下一代防火墙,通过深入洞察网络流量中的用户、应用和内容,并借助全新的高性能单路径异构并行处理;

(3).Web应用防护系统,对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断;

(4).安全狗网页防篡改,采用第二代水印技术+第三代系统驱动级文件保护技术双结合,对网站安全进行双重防护,当检测到水印不匹配,秒级恢复杜绝篡改和上传木马风险。

横向即由内到内:

(1).DMZ区核心交换部署流量探针,对上下行流量检测;

(2).网络设备上做好区域划分;

(3).安全狗主机安全联动蜜罐,主机安全平台在区域内每一个服务器主机、虚拟机都有部署Agent客户端,在Agent客户端上引入“微蜜罐”诱饵功能,相当于每一台主机都成为蜜罐诱饵点,从而极大提高攻击者踩到蜜罐诱饵的概率;

(4).微隔离产品,做好应用系统之间、主机之间访问最小化策略。



四、对抗过程中的实践应用

1. 监测发现

监测预警组针对各种安全设备做7*24监控,前期重点以互联网入口为重心,主要加强互联网流量探针、WAF、IPS、态势上的告警做监控分析;一周后需要同步加强内部横向的监控,主要有主机安全防护、内网流量探针、内网蜜罐、态势上的告警分析。

态势感知在攻防对抗中使用:

啸天态势感知平台主要包含了对资产分析画像、漏洞风险预警、攻击事件监测和分析、追踪溯源等功能。防守人员在实际的攻防对抗环节中,重点对攻击事件模块进行关注。

操作如下:

打开重保模块——攻击事件核查处置,对所有告警事件进行监测。按照事件的类型,对暴力破解、网页后门、远程漏洞攻击、本地提权事件进行重点关注。

流量分析设备在攻防对抗中的使用:

在实际的攻防对抗环节,网络流量是整个攻击发起的载体,所以威胁感知模块的告警事件需要重点去关注。操作如下:

打开威胁感知—护网工作台,对所有告警事件进行查看,也可以根据需求筛选要查看特定攻击事件。按照攻击类别,对CVE攻击、Webshell、密码暴力破解、WEB远程执行代码、系统提权进行重点分析。如图:

点开攻击事件可查看详细的攻击信息,在根据情况决定是否提交给事件分析组做进一步溯源和处置。

2. 分析研判

(1)、扫描探测类攻击事件

主要来自流量分析设备和WAF告警信息,针对探测类攻击,以防火墙屏蔽IP为主。

(2)、社工类攻击事件

主要为钓鱼邮件或现场社工,根据情况明确事件影响及处置措施。

(3)、明确的安全事件类型

比较明确的入侵安全事件类型主要有:网站木马告警、权限提升、内网蜜罐告警、内网横向漏洞利用或扫描攻击、异常登录监控等,按照涉事件单位网络安全分级分类管理办法和应急处置预案确定事件性质及应有的处置方案。

3. 应急处置

应急处置主要分为三个阶段:

(1)、抑制攻击:阻断有效攻击源(如IP、物理接口、服务等);处置社会工程学攻击的方式与效果。

(2)、根除攻击:漏洞定位与修复能力;清除或处理攻击工具、异常账号等攻击载体。

(3)、业务恢复:根据定位到的漏洞信息,评估业务整改恢复时间。

4. 追踪溯源

溯源主要任务为:

(1)、安全事件溯源:安全事件的溯源主要为定位分析、复现攻击路径,以便发现防御体系的漏洞和风险,精准修复漏洞和增加防御体系。在分析过程中通过纵深防御系统,各安全设备上的日志,能快速精准的定位还原过程。

(2)、攻击者溯源:综合利用流量分析设备、蜜罐、威胁情报数据,对攻击者进行溯源画像分析。采集如下信息:

攻击IP:真实IP、代理或跳板IP等

攻击路径:由外到内,由内到内,由内到外等所有攻击路径

攻击行为:信息收集、获取权限、横向移动等

攻击手法:Web渗透、0Day攻击、漏洞利用、钓鱼等

攻击者身份画像:虚拟身份、真实身份、联系方式、组织情况

5. 溯源反制

人力投入由不同目标名次决定。不同的目标,做法不一样。如果想完整体会一次,建议配置三个人,一人负责整体组织,报告编制,以及部分反打工作;一人负责web方向,能进行常规反打、获取社工库信息;一人负责二进制和主机分析,熟悉应急响应套路;三人之间还要互相补位,比如寻找上传点、分析登录行为、搭建CS服务端等等。在把握好度的基础上,如果发现了高价值线索,可以临时调拨更高级资源予以协助。例如需要高级木马分析、0Day投放等等。

在攻防演练实践过程中,很重要一步的工作是需要对后续的风险进行下一步的安全规划,加强建设纵深防御体系,而要在日常运营过程中需要一套安全运营机制,才能达到提升安全事件监测预警能力,以及快速响应的闭环能力。


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK