网络安全防护是攻防两端能力的较量,那平台级零信任产品,将如何在攻防对抗场景中发挥价值?
近日,EISS2023企业信息安全峰会-北京站在京举行,本届峰会以“直面信息安全挑战,创造最佳实践”为主题,由安世加主办,得到众多行业协会、机构以及媒体等共同参与支持。零信任领域明星企业持安科技受邀参与本次大会,联合创始人孙维伯发表《攻防对抗场景下的零信任最佳实践之路》主题演讲。
#01
战技分析和防守挑战
孙维伯认为,这几年攻防演练逐渐上升到国家战略层面,对防守方的防守能力提出了更高的要求,但是目前攻防双方是严重不对等的。防守方即企业的安全部门,往往人数不多,很难在做基础安全建设之外再做好安全运营。
根据近几年的攻防演练分析,主要存在以下三大主要的攻击场景:
1)外网应用漏洞突破
外网应用漏洞突破,也可以理解为攻击者用0day直接攻击边界设施。近年来在大型攻防演练期间,防火墙、VPN设备、扫描器等边界安全设施成了攻击者主要攻击入侵的对象,而这些网络联通性的设备中如果存在漏洞,被攻击者利用后可以在防守方毫无知觉的情况下,直接进入企业内网。
0day漏洞是永远无法被全部发现的,每年的大型攻防演练期间,大家都会提前收集同类型产品的漏洞,遗憾的是每年都有收集漏洞,每年都修漏洞,修了还会有新的漏洞出现。
随着数字化的普及,企业日常运行需要使用大量的办公应用系统,甲方IT负责人或安全负责人在管理中,会发现信息系统历史的欠账和包袱很多,导致一些废弃不用的OA、CRM等办公系统直接暴露在公网上,这些系统中的漏洞也较为容易被攻击者发现利用。
2)办公内网失陷
办公网失陷的一个重要路径是口令失陷,许多高管都是一个弱口令,就可以随意进入所有的系统。这类办公系统是攻击者最喜欢去攻击和直接突破的点。
第二种是钓鱼攻击,近年来钓鱼攻击技术在逐步升级,攻击队用的钓鱼代码,可以通过语言函数方式来隐藏身份,而这些代码也在不断的去升级,杀毒软件无法第一时间识别,等到杀软能够识别的时候,可能主机和内网都已经失陷了。
我们之前遇到过一个钓鱼场景:
攻击队掌握了两批企业的账号,第一批是企业普通员工的账号,攻击者用普通员工的身份发钓鱼邮件故意吸引火力,让很多人都知道这是钓鱼邮件。
第二天他开始用IT管理人员的账号,面向高权限系统的人员定量发送邮件,通知说昨天的钓鱼邮件要下载安装专杀工具,因为安全部门来讲过,有漏洞要及时修复,那么员工直接就上钩了。
这类事情非常难以管理,因为安全部门会和员工说演练期间,漏洞需要及时修复,员工很难分析辨别其真假。
SDP技术也无法防住内网的钓鱼攻击,假如客户端已经通过SDP或VPN连接到办公内网,客户端被钓鱼之后,会直接构建一个网络隧道打到内网,此时SDP无法感知与拦截。
3)弱口令攻击
弱口令不是123456之类的简单密码,而是一些比较容易泄露的口令。
攻击队在进行攻击时,不会乱爆破,而是根据已经收集到的人员信息定向发起攻击,此时即使攻击者已经攻击成功了,受攻击的网络、防火墙、IPS\NTA等设备也无法感知,不会记录相关日志,这是现在非常常见的一种攻击方式。
公司里面管理层级越高,口令可能就越弱,很难有效防护。
在以上攻击背景下,防守难点有哪些?
近年来,长居每年防守难点榜首的一定是弱口令,而0day、钓鱼攻击、互联网风险暴露面,也是每年防守方的痛点。
很多企业说我已经把互联网应用收缩到内网了,为什么还会有暴露?
因为移动办公,企业微信、钉钉、H5门户等等的对接,仍然可能存在漏洞,可能安全防护人员也没办法弄清楚自己企业到底有多少网络边界。
所以我们在进行安全的防护工作时,就要考虑一个问题:既然我们无法保证100%的防守成功,那么如何增加攻击者的攻击难度,如何做到最快的响应、溯源、反制。
#02
零信任防护场景和价值
1)暴露面收敛-零信任应用网关
攻防演练中,暴露面收敛可以有效达到攻击防护的目的。
持安零信任应用网关,可以实现在用户无感知的情况下集成零信任能力。基于零信任的“先认证,再访问”原理,甲方可将在公网暴露的应用发布到网关之后,业务入口受到应用网关的防护,攻击者无法接触到。且零信任遵循动态持续认证原则,而不是一次认证,访问者每发起一次访问动作,就会验证一次,所以攻击者始终无法接触到网关后的应用。
2)防止办公网钓鱼攻击
SDP等网络层方案,并不能解决办公钓鱼等问题,而在持安基于Google Beyondcorp架构的应用层网关模式下,可将零信任能力深入至企业应用、数据层。即使攻击者已经成功进入了企业内网,他如果想要访问业务应用,依然需要通过应用层网关的可信验证,只要设备、身份、行为任意环节未通过可信验证,攻击者就无法直接发起攻击,这极大的增加了攻击者的攻击难度。
我们可以通过对比演示视频看一下:
,时长00:35
防守方视角下,把应用发布到我们的网关后,攻击方发送一个钓鱼邮件,受害者点击了钓鱼邮件连网之后,未连接网关时,攻击方可以直接扫出大量漏洞。但是接入零信任应用网关防护之后,首先攻击者看不到漏洞,而他的扫描过程被阻断之后,他的行为方式、时间相关的一些日志,可以直接被零信任系统快速定位到。
3)弱口令快速防护
大型攻防演练期间,杜绝弱口令非常难,尤其是难以口令改造的老旧、年久失修的系统。
但是接入持安零信任应用网关之后,业务系统隐藏在网关之后,甲方可使用应用网关自带的动态多因子验证能力,网关还可以与企业现有的身份系统打通,通过零信任分级认证,对老旧系统或敏感页面之上,再加一次身份认证,保障老旧系统不被攻击到。
此外网关可以实现一键发布,操作非常简单。
我们针对ATTCK攻击链,在不同的攻击环节,提出不同的防守和处置策略,力争在每一环当中增加攻击者的攻击难度,同时在攻击的关键步骤上去进行突破。最后,基于业务身份建立的零信任网络,可以给攻击者的所有的违法访问行为贴上身份标签,对其攻击链进行完整溯源。
#03
零信任实践落地之路
持安零信任办公安全解决方案已在互联网、金融、能源、科技、地产、高端制造、新零售等众多领域落地,已拥有50+大型客户,客户续约率超90%,累计接入业务系统超6000+,单体客户用户规模10万+,累计为超60万用户提供办公安全保障。
在自身8年甲方零信任建设之路中,持安摸索出了一套零信任服务实施的整体流程。从系统部署、平台验证到值守保障,持安实现了零信任产品10分钟快速部署,以私有化、业务就近分布式部署的方式,实现毫秒级响应无延迟。
为保证甲方业务连续性,甲方可灰度上线持安零信任产品,即通过观察表来观察用户访问的过程中触发过哪些策略,以此来验证策略的有效性,这一期间对用户错误行为不实施阻断,直到确保平台可稳定运行后,再开启正式的策略定制上线。
自动化推广运营的方式可推动零信任落地,解放大部分的安全人员和业务人员的双手,实现真正零信任与业务的融合和落地。例如业务应用发布时,甲方可以对特定的应用开启相关的策略,比如要求财务人员、研发人员必须得去使用终端,如果没有安装终端,他们在登录某些系统时,电脑会自动提示去引导他们一步一步自动的去安装。
持安团队吸纳了专家型攻击队员,可以提供红蓝攻防验证服务,验证的目的并不是挖洞,而是验证企业防守体系有效性,找到当前安全运营的缺失和遗漏的部分。
我们发起攻击时,企业哪些安全防守策略报警了,哪些失效了,哪些是没有考虑到的,根据对攻防验证的全程记录和还原,与甲方一起讨论、复盘分析,帮助甲方优化整体的安全运营策略。
大型的攻防演练开始之前,我们会与甲方一起配合,做企业安全策略调优。
零信任平台可以和企业现有的与SOC、威胁情报等产品融合。
通过策略调优联动打通后可提高安全产品的联防联控能力。比如演习期间威胁情报推送了一个恶意IP,或域名,过去溯源和定位到具体的终端往往需要数日大量的网络配置的排查定位,等到定位到具体失陷终端后,终端上的行为已经无从还原。通过零信任平台打通情报联动后,可以直接定位到恶意IP、域名关联的终端,还原终端的失陷行为,如定位具体用户是什么时间什么进程发起恶意请求,并且可以迅速对其处置和阻断的同时将终端恶意的行为推送到零信任管理平台进行全员检测,这样可以大幅度提高安全应急响应工作的效率,将过去以天为单位计算的工作缩短到几秒钟。