多少道防線才能擋住頂尖黑客?

語言: CN / TW / HK

先看一下這張圖,這是歐洲中世紀非常典型的稜堡。

稜堡

在十字軍東征期間,代表基督教世界的醫院騎士團佔領了意大利羅德島,在島上修建了這樣的稜堡,用7000多人抵禦奧斯曼帝國,而對方,派出400艘戰艦和10萬人的軍隊發起攻擊。

城堡分外城和內城,城牆設計成凹陷形狀,外面還挖了壕溝,這樣,不管是敵軍從哪個方向進攻,守方都可以在兩個面上對來犯者進行打擊。

奧斯曼帝國使用火炮、挖地道、正面攻堅等方式下,兩個月後,終於攻破了外牆。騎士團依靠內牆,又抵禦了3個月,最後,雙方由於精疲力盡,缺乏補給,誰也再耗不起,最終通過和談方式才結束了戰爭。騎士團攜帶財產完美退出。

顯然, 縱深防禦思維作為人類戰爭中最樸素的思維,在網絡安全領域一樣適用。 但專門研究網絡安全縱深防禦的文章非常少見,人們通常覺得説説就可以了。

對於一個企業或單位,要構築多少道防線,以及怎樣的防線,才能抵擋中國頂尖級別的黑客團隊?

我認為至少要五道。

第一道:邊界防禦

邊界防禦是最基礎、最常用,也是最管用的。

一個單位,即便人力和資源再有限,也會在邊界上投入的。

這其中, 防火牆是最基礎的 。注意一點,對於比較大的單位,建議僅使用防火牆的網絡封禁能力,不要使用其他那些花裏胡哨的功能,這主要是從性能角度考慮,讓防火牆做單一的事,其他功能讓其他設備做。

防火牆封禁應儘可能做到自動化、簡單化、減少誤操作,使得操作員簡單填入IP就可以封禁,而不需要登錄防火牆操作。具體參見 《如何封禁大量惡意IP》

第二類產品是 IDS/IPS ,這個比較古老,而且多年來一直以海量報警而聞名,所以形象比較差,一般而言不是監控防禦的主力選手。

WAF 是一道防線的重要組成部分,可以抵禦常見的WEB攻擊,這類產品已經比較成熟,通過返回HTTP錯誤的形式攔截攻擊。由於其自動化攔截能力,WAF是一道防線必不可少的。

K01 這類產品,結合情報信息,可以實時阻斷進犯IP,而且不用串接,也是很有力的工具。它通過發送TCP reset包分別到訪問端和服務端,有很好的攔截效果。

還有一類工具叫 “動態安全” ,這類產品,可以自動識別訪問者是自然人還是黑客工具。如果發現是後者,則自動阻斷(返回HTTP錯誤),這讓慣用工具的黑客非常頭疼。

它的基本原理是:設備以中間人形式串接在服務端和訪問端之間,當服務端返回響應頁面時,設備在返回頁面中插入js,要求訪問端(瀏覽器或黑客工具)執行js並計算出token放入cookie返回,設備收到token後進行判斷,判斷對方是否為黑客工具並採取相應動作。

這類產品還可以對頁面中的指定內容(比如頁面中的url或是表單內容)做加密。雖然從理論上講,這種加密難不倒一個意志堅定的密碼學愛好者(因為客户端和服務端之間並沒有實現一個完美的密鑰建立機制),但對付那些熟練的滲透工具使用者已經足夠。

部署時,對於HTTPS應用,這類產品應放在SSL網關之後,如果並沒有SSL網關,要把服務端的證書和私鑰導入產品,總之,產品要能看得見明文。

一道防線主要部署在企業邊界和DMZ區。一般來説,會有這樣的複雜性:入站的流量經過一層層的安全設備,在邏輯上呈現出糖葫蘆狀,在部署和維護時,需要清晰梳理關係和路由,比較麻煩。

使用 流量編排設備 ,可以通過SDN技術將流量進行靈活、簡單地配置,原先串接的安全設備放入安全資源池中,流量經過誰,不經過誰,先過誰,後過誰,經過一台,還是多台,都可以通過Web界面做比較容易的編排,這就輕鬆多了。

流量編排使得安全結構和網絡拓撲解耦,在部署和維護上會帶來很多便利。 這篇文章 《網絡智能流量編排探索》 很好,感興趣可以看看。

第二道:監測響應

第二道防線的名字不太好取,我反覆思考以後,將其命名為監測響應。

二道防線中的重點不是攔截,而是能準確發現正在發生的攻擊,不管是從外部還是內部發起的。

NTA、NDR ,都屬於這類工具,為確保安全,一個單位應至少部署兩到三家這樣的產品,互相彌補對方的不足:即便一家發現不了,另一家也可能發現。當然,最好的情況下,這類產品可以和防火牆聯動。

很多產品僅分析訪問單向來包,並不做雙向的分析。 WEBIDS 做得比較好,它能夠對http請求和響應進行綜合分析,服務端是否已經被控,很有價值。

蜜罐/蜜網 主要用來引誘攻擊者,內網的蜜罐如果被觸發,不是誤觸就是攻擊者已經進來。通常應在各個網絡區域都開啟蜜罐,只要是不用的IP都放入蜜罐。可以購買專門的產品,也可以利用負載均衡的功能來設置。

抗APT工具 這裏不多説了,它的側重點和優勢在於發現木馬。

在檢測木馬(包括隱蔽信道)方面,還有一種比較新的產品是 加密流量檢測 。現在,幾乎所有木馬都採用了加密方式,沒有私鑰是無法解開分析的,這類產品可以通過特徵匹配、行為識別和機器學習的方法,在不解密的情況下,分析一個加密流量是不是木馬流量。

總之,這道防線的產品很多,而且往往會用到很多先進技術,但能力和易用性參差不齊,能否買到好的產品,既考驗判斷力,也考驗運氣,如果條件允許,多部署一些總是對的。

從基礎設施上講,單位最好能建設一個 流量匯聚平台 ,該平台可以採集各個網絡區域的流量,然後匯聚和處理,最終輸出到需要流量的設備,這樣,各類安全設備不用到處接流量,集中部署並享用流量輸出就可以了。這篇文章 《數據中心流量如何整合應用》 就是講這個的,有興趣可以一看。

第三道:訪問控制

基本上,內網裏面的一切訪問控制措施都可以認為是第三道防線。

這道防線體現一個單位的安全基本功,也體現一個單位的信息科技實力。

訪問控制其實就是給攻擊者處處設卡,讓攻擊者寸步難行。

從網絡訪問的角度看 ,網絡分區,系統間的隔離,終端間的隔離,以及網絡准入、DNS安全等,都是非常有效的防護手段。

從資源訪問的角度看 ,使用虛擬桌面、堡壘機、特權管理這些工具,使得服務器、網絡設備、數據庫不能被隨便訪問,結合口令管理、認證管理(包括雙因素)、審計管理(錄屏取證)等,不僅防外部攻擊,也防內部人員攻擊。

從應用訪問的角度看 ,通過開發安全、認證授權、加密通信、加密存儲、漏洞管理等這些工作,來保障應用系統的安全性。這方面內容很多,這裏不細説了。

值得一提的是, 看似不起眼的口令管理,應該格外重視 ,很多所謂著名黑客的著名攻擊,並沒有什麼技術含量,僅僅是口令的竊取和嘗試成功而已。一個單位的口令管理應儘可能自動和嚴格,強制口令複雜度、強制定期修改,對於重要系統強制雙因素認證(短信或動態口令)。 這些看上去不難,但能做好的很少,只有很懂安全的單位才能做好這件事。

從安全的本質講,第三道防線是最重要的。 一道和二道防線在很大程度上都是在幫助三道,如果一個應用系統自身不安全,前兩道防線能擋一擋,但終究是擋不住的。

如果應用系統很安全,即便沒有前兩道防線,攻擊者也無計可施。

看過我寫的 《區塊鏈安全和傳統安全的區別》 都知道,安全説到底,是程序的問題。

開發安全能力,是真正的實力。

第四道:端點安全

端點通常是攻擊者最想拿到的據點,拿下一個機器就代表着一種勝利。

這道防線建立在服務器或用户終端上,從技術上講,這已經是最後的防線了。

這道防線最基本的一個功能是 防病毒 ,這裏不多説了,主要説説 EDR (端點檢測和響應)。

EDR 的重要功能是異常發現,主要是通過對主機的網絡、進程、文件等資源的監控。比如通過 網絡監測 ,可以發現正在開展的網絡攻擊、網絡掃描以及可疑的外聯;通過 進程監測 ,可以發現一些異常的進程創建和執行;通過 文件監測 ,可以發現一些惡意文件的讀寫。

EDR可以對這些網絡異常、進程異常、文件異常進行阻攔和處置,這在一定程度上可以防範0day攻擊。

此外,通過監測日誌,EDR可以發現正在開展的暴力破解;通過離線破譯,可以發現常見應用的弱口令;其他如資產管理、漏洞管理等能力也很實用。

總體而言,這類產品是非常有力和有效的。

第五道:人的防線

上述這些工具,都需要人的使用和維護。 人就是第五道防線。

所以你看在搞安全演習時,滿滿一屋子都是人 (至少30、40人起)

組織層面不多説了,大多數單位在組織層面做得都還不錯,因為組織技術是通用的,一般而言,就是領導重視、層層壓實、某處牽頭、全局動員、資產梳理、表格完善、制定方案、安排任務、彙報進度、協調資源、各司其職、檢查確認、問題發現、舉一反三,落實整改,層層請示、高層決策。這和做其他工作沒有什麼不同,屬於管理層面的技術。

但有一點,傳統管理往往不太能注意到,並因此中招,這就是老生常談的安全意識問題。

縱觀網絡安全攻擊史,社工一直是攻擊者最重要的手段。 (沒有之一)

一個攻擊者想入侵一個單位,100%會採用社工方法,所以一定要在所有員工的意識層面建立起強大的防禦能力。

一封帶有木馬的釣魚郵件,如果躲過了第一層的封禁,逃過了第二層的檢測,一般就會逃過第三層和第四層,那麼這封郵件就展現在員工面前了,這時就靠員工的安全意識防線了。

增強員工意識的方法就是反覆講,反覆説,反覆培訓,反覆測試,看看員工是不是真的掌握了,要通過最真實的案例強化員工意識。

這個工作看上去沒有什麼技術含量,但如果水平不足,往往無法做好這個工作。

反社工需要和社工一樣的能力:洞悉人性。

第一道防線守住大門,及時阻攔可能的攻擊。

第二道防線嚴加監測,一旦發現有異常,立刻處置。

第三道防線堅壁清野,讓攻擊者即便進來也寸步難行,無門可入,或者是處處踩雷。

第四道防線堅守據點,在終端層面第一時間發現異常,然後採取行動。

第五道防線全民皆兵,各司其職,協作有力;人人不中招,不上當。

縱深防禦的應用

這些年比較火的零信任架構,其實也是縱深防禦思維的應用。

下圖是某個零信任方案的架構圖:

某廠商零信任安全架構

圖中,單包認證(SPA)就是一道防線,

SDP控制器和SDP可信網關是二道防線,對用户的行為和終端的安全情況進行分析,並據此動態調整用户可訪問的資源和權限。

再往右,就進入企業的內部,這裏是三道防線,發揮作用的是企業的身份認證和權限管理(IAM),以及企業內部各種訪問控制。

客户端上的防病毒軟件,終端安全軟件,是第四道防線,主機上的EDR也屬於這道防線。

最後,第五道防線在人腦之中。

文|衞劍釩

全文完

———

特大號安全相關文章精選

1、 一張神圖,專治甲方安全“精神內耗”

2、 綠盟,你終究還是沒憋住!

3、 用了20年的VPN,竟然不香了!

4、 隱私計算,到底是個什麼鬼?

5、 攻擊北京健康寶的DDoS,到底是個什麼鬼?

6、 防勒索病毒,千萬別用“要你命3000”!

7、 2022安全圈的最新鄙視鏈,出爐!

8、 藏不住了!字節跳動實戰“零信任”

9、 零信任,絕情得令人窒息!

10、 老王褲腰帶上那串鑰匙,竟然是開防火牆的

11、 態勢感知哪家強?

12、 離職半年,我用前司賬號做了些不可描述的事

13、 你以為你以為的安全就安全嗎?

14、 防毒牆,一代王者下山坡,歸來依舊是大哥!

15、 我們要雲原生,不要「雲夾生」

16、 產品從賣不出去到賣爆,我經歷了什麼?

17、 打工人,你的名字叫登錄…

18、 防火牆,你那麼普通卻那麼自信!