2014年新的漏洞不断的披露,心脏滴血漏洞、破壳漏洞、SSLv3协议的漏洞,在这些新的漏洞面前,我们投资重金打造的传统防御体系无法应对,每个漏洞的暴露都对应着安全及运维人员的辛苦不眠之夜。这些漏洞在“地下”隐藏了多长时间,被利用了多少次,才被暴露出来,暴露的时间点是否做了精确选择,这些都是一系列的问号。有个朋友提过说“挖漏洞”就像“摘蘑菇”一样,永远也挖不完。
利用新漏洞攻击,可以说是信息安全行业的“阳谋”,你明知道对手会这么做,但是你没有更好的办法来破解。所谓天下武功,无坚不破,唯快不破。用一句更通俗的话说“我们能预测到风险的发生,但是我们无法预测发生的时间点。”
从防守方的角度,该如何来认识安全攻击的特点对抗唯快不破的漏洞攻击呢?
(一)、像攻击者一样来思考
个人做应急响应有很多年,以前碰到安全事故,基本的目标是找到攻击者利用的漏洞修复漏洞,防止再出事即达到目标。在当前形势下,在安全事件处理时,仅仅知道攻击不是最重要的,面对层出不穷的安全攻击,重要的是知道被谁攻击?攻击的动机?攻击者的位置?被攻击的对象?攻击者都做了哪些破坏?需要更深入的分析攻击者的动机、攻击者的位置等信息才能更好的处置攻击。
经过多次事件的总结,攻击者的动机其实很多,有泄愤型的(对企业不满的离职员工、对企业领导个人有意见的攻击者)、获利型的(有竞争对手或竞争对手雇佣的攻击者)、有政治目的的攻击等。了解攻击的动机对处理事件很重要。
2、认清当前攻击“隐而不发”的特点
当前的安全攻击主要以控制为目的达到未来战略优势,而非快速摧毁制造事故或灾难。近年来很多安全事件都是以“控制”目标为基础,不着急去篡改、偷窃数据。网站被篡改的事情虽然多,但这些攻击者其实不是真正的对手。现在看到网页防篡改的软件,我个人觉得用处真不大,只是防范了一些恶作剧的小“黑客”而已。真正的攻击者进入到系统后,会尽一切可能把自己隐藏起来,企图躲过各种监测系统的监控,其目的只是在关键时刻进行破坏行为。思科的设备有没有后门?这个目前已经是显而易见的了,但如果不是斯诺登的爆料,我们仅仅在网络上监控其实是很难发现的,因为这些后门平时根本没有任何动作,不做任何的信息传递等,几乎是发现不了的。我们做过多次的应急响应,比如有些网站在某一天被黑,但是在应急过程中网站上的webshell已经被放了一年多,黑客早已控制就等着在某个时间点的引爆。
用句话总结:你的系统没有问题没有漏洞,不代表真没有被人攻击或控制,只是对手更高明你没有发现而已。
3、“安全失效假设、缓冲的理念”的原则
安全是对抗,不可能防范,基于预警、响应的缓冲时间差更关键。0day漏洞、更高对抗技术的出现,都会使得常规安全控制手段逐渐失效,真是“道高一尺魔高一丈”,在实际的安全工作中,一定要考虑到防护措施失效的情况下该如何处理。预警、响应等等缓冲的措施就非常关键了。
如果我们从抢金库人的角度看。作为入侵者不惧怕墙和门,墙和门是死的,可以钻可以炸。入侵者惧怕的是检测和响应。金库的墙、门、锁实际上提供了一个防护时间。在防护时间内,可以及时地发现入侵行为并且做出足够的响应,那么被保护的金库就是安全的。
某些攻击越过传统的封锁与安全防护机制时,在这种情况下,最重要的就是要尽可能在最短时间内迅速察觉入侵,将黑客可能造成的损害或泄露的敏感信息降至最低。
安全情报其实就是预警、响应很重要的一个有效措施。Gartner公布2014年十大信息安全技术专门谈到了安全情报。用了张ppt如下:
(简单点说就是可以通过在扫描、监控、检测、防护等软硬件的自动化应用,提供更高的准确性、更广泛的覆盖面、新的能力,同时也为改进信息集成和协同、风险和业务决策提供助力。)借用了nuke同学微信公众号的图。
4、“安全是人和人的对抗”
安全的效果是对手(敌人)评价你的,不是自己评价的?
系统漏洞一定是会不断发现的,目前的防护措施主要是从对业务系统和信息(安全客体)的层层安全加码,后期一定转而实现对人(安全主体)的控制。同时对客体、主体的控制才能达到效果。Gartner 2014年信息安全趋势与总结有一个趋势“从以控制为中心的安全演进至以人为核心的安全”
安全是人和人的对抗,我们不可能靠一堆安全设备来对抗人。再先进的武器也不能决定战争的胜负。人的意识、策略、技能、动态对抗能力是信息安全的决定性因素。
5、“以不变应万变”强身健体,做好基础工作,提高信息安全免疫力,可以在风险事故中将损失降到最低。
信息系统只有两种状态:已经被攻破的,即将被攻破的。那么安全工作该如何投入?工作的效果如何体现呢?其实做安全工作就像我们锻炼身体一样,一定有病毒会侵害我们的身体,但是身体免疫力强的、身体好的人病毒可能就感染不了或者感染后很快能康复。SARS、埃博拉等这种在当时都没有针对药物的情况下,我们能做的就是强身健体,提高免疫力,2003年的SARS期间多少人依然认真的锻炼身体。信息安全一样,把一些基本工作做好,在事故来临的时候造成的损失一定小很多。做与没做还是有很明显的效果。
信息安全领域有一些基本的安全措施,或者称作事半功倍的措施,这些基础工作做踏实了会切实提供安全免疫力。
以下列举了一些常见的“提高免疫力”的基础安全工作。
5.1访问控制
访问控制是信息安全永恒的主题,Gartner公布2014年十大信息安全技术,第七大技术为“以遏制和隔离为基础的信息安全策略”虚拟化、隔离、提取及远程显示技术,都能用来建立这样的遏制环境,来处理不信任的内容和应用程序。虚拟化与遏制策略将成为企业系统深度防御策略普遍的一个环节,尽管目前使用情况较少,但预计2016年普及率会达到20%。对攻击者隔离、遏制、消灭。网上有一篇文章针对零散的攻击者《捻乱止于河防——浅谈企业入侵防御体系建设》,实质也是访问控制,步步设防,逐步推进,再集中优势兵力歼灭对手之。
5.2、弱口令
弱口令是典型的知易行难的安全措施,都知道口令安全很重要,但是一个管理员面对很多口令的时候,靠人力确实无法让口令都做到安全。同时随着地下产业的发展,哪些口令算安全哪些算不安全都是动态变化的。重要的系统尽量采用其他的认证方式,比如双因素认证、生物特征等。
设备的口令很多
社工库攻击也在发展
5.3 执行SDL,做好应用安全的基础工作,降低漏洞出现的概率
借用了Gartner 2014年信息安全趋势与总结的关于应用安全的ppt。
其他的基础工作包括漏洞管理、权限管理、变更控制和响应管理等。
天下武功 无坚不摧 唯快不破!信息安全对抗是一场持久战!写完,收工。