《EISS对外-攻防对抗场景下零信任最佳实践之路-持安.pdf》由会员分享,可在线阅读,更多相关《EISS对外-攻防对抗场景下零信任最佳实践之路-持安.pdf(25页珍藏版)》请在三个皮匠报告上搜索。
1、CHIANSEC攻防对抗场景下零信任最佳实践之路联系持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技攻防对抗演进史01联系持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技关键信息基础设施运营者应“制定网络安全事件应急预案,并定期进行演练”。大型实战攻防演练活动,旨在通过演练活动检验企事业单位关键信息基础设施安全防护能力,提升运营者网络安全事件应急处置能力,完善应急处置流程和工作机制,提升网络安全运营综合能力水平。网络空间战已成为大国竞争主战场国际竞争形式愈演愈烈,中美贸易摩擦、俄乌军事冲突事件中,国家关键信息基础设施遭受高强度黑客
2、组织攻击;黑产链条成熟致使经济犯罪猖獗黑客技术及各类工具广泛传播,商业领域雇佣黑客对竞争对手进行恶意攻击,或黑客敲诈勒索已经成为常态;APT工具平民化泛攻击事件频发APT攻击以往为针对高价值目标的高成本低频次攻击,如今门槛大幅降低呈现泛滥趋势,中小规模安全事件频发;大型实战化攻防演练的背景联系持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技“网络安全的本质是对抗,对抗的本质是攻防两端能力的较量”。防守之困攻防双方不对等隔离易失效业务服务器特征无法穷尽业务服务器处置成本高厂商更新服务器难以溯源威胁IP:xx.xx.xx.xx联系持安科技持安科技持安科技持安科技持安
3、科技持安科技持安科技持安科技持安科技持安科技战技分析和防守挑战02联系持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技外网突破主要路径:n VPN设备漏洞:VPN等边界设备存在漏洞导致外网被突破。n 存在漏洞的办公业务系统暴露:办公OA、移动OA、CRM、老旧办公应用暴露。n 0day未知风险入侵:利用未公布的风险攻击业务,获取系统权限n 业务管理后台弱口令:利用社工等方式通过弱口令攻击系统,获取权限得分n 未知资产暴露且被攻击:未知资产暴露在公网,且被攻击者攻击利用。可信人员攻击者来自内/外网的请求,都可直接访问务系统互联网扫描,资产探测利用未知/已知漏洞入侵
4、业务内网主机渗透外网应用漏洞突破联系持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技办公网突破主要路径:n 口令盗用:社工或入侵方式盗取内网用户口令,口令可复用多个系统,获取权限得分n 钓鱼攻击:针对业务人员、运维、IT、人事、财务等人员发动的钓鱼攻击屡试不爽。n 内网重要集权系统入侵:利用钓鱼/内部渗透等行为获取内部AD、堡垒机、跳板机等核心集权系统,获得权限得分办公内网失陷联系持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技弱口令攻击主要路径:n 暴力破解系统:为了方便运营维护,企业内部系统经常会在一些高级别管理账号,这类账号
5、大多是研发或者运营人员为了方便留存n 老旧系统未知风险入侵:攻击者利用老旧系统存在的0day或已知风险入侵,并在里面建立隐蔽账号用于长期入侵内网n 盗取可信人员账号:在攻防演习期间,入侵者会利用各类方式盗取可信人员的账号伪装入侵系统弱口令攻击攻击者口令字典利用字典爆破系统的管理员口令0day武器可信人员口令盗取,登录系统后台,植入木马可信人员业务访问联系持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技常见防守难点原因弱口令/密码泄露员工安全意识培训是最困难的一个方面,因为业务人员没有计算机的概念,无法理解其中的利害关系,即使有相关制度的要求,业务因为效率和懒惰问
6、题导致账号密码设置简单,或者随意存放无法穷尽的0day漏洞研发开发业务系统时主要关注业务逻辑和功能的实现方式,很少会去过多考虑代码安全问题,虽然有代码规范要求限制,但是也只能覆盖一少部分,0day漏洞是无法避免的老旧资产、测试系统清理不及时企业信息化的建设内部难免会存在很多早期建设的业务系统,研发团队早已经不在或者无法维护,而这些系统又承载着企业的关键业务,及时有漏洞也无法修复,因此往往成为攻击者的入侵途径办公网钓鱼攻击很多企业认为做好了隔离而忽略了内网的防御,就很容易出现一旦有机器在公网暴露就会被轻松攻破。敏感信息泄漏严重企业数字化资产分散,数字资产未明确分类分级,缺乏相应的数据安全保密制度
7、导致员工安全意识淡薄。供应链安全管控不足业务的发展使得企业的合作伙伴越来越多,大量的业务交互难免存在安全防护漏洞,企业无法要求所有供应商都具有较强的网络安全防护体系漏洞修复不及时漏洞的修复与业务风险存在一定的关联性,一个风险的修复需要经过多次的业务测试才能上线,因此实效性和及时性往往很难兼顾互联网风险暴漏面互联网暴露面过多极易被黑客攻击利用,黑客往往会通过系统漏洞、端口扫描、服务探测、密码爆破等手段发起攻击,一旦渗透到内网极易造成数据泄漏、资源被控制等。远程/移动安全办公风险运程办公场景下员工的设备多样,且设备上的安全状态各不相同,环境及其复杂,安装繁琐的终端控制软件又不现实,极易导致风险通过
8、VPN进入内网集权系统缺乏重点加固集权系统是企业的核心系统,由于其复杂性和影响面,所以很多企业对其的防护往往相对保守,避免强管控带来业务影响防守难点TOP10联系持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技如果攻击者已经穿透边界进到企业中怎么办?不是所有的防守都能100%成功联系持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技零信任防护场景和价值03联系持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技外网突破防守:将暴露在外面存在风险的应用收缩到零信任应用网关后面,从先访问再认证转变成先认证再访
9、问n 在网络边界处部署零信任安全访问代理,收敛原来暴漏在互联网的所有业务端口,所有来自互联网的请求都需要经过零信任平台的身份检查和环境感知n 内部部署零信任决策中心,并将企业的身份系统与零信任平台实现全网零信任覆盖,基于身份进行安全判定n 利用边界侧零信任应用安全网关的细粒度权限控制能力,对核心高等级系统部分管理/敏感页面进行二次加固定义高等级授权,减少越权访问和0day风险决策中心可信人员攻击者授信人员业务访问非授信访问全部拦截内部非授信访问全部拦截零信任代理集群暴露面收敛-零信任应用网关联系持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技内网突破防守:将内网
10、应用接入持安零信任平台,持续验证用户身份与行为,从根源拦截攻击者的非法请求n 利用零信任网络架构特性,实现内/外网访问同权,内部系统请求也通过零信任代理网关进行转发n 利用零信任安全客户端实施动态感知终端环境状态,一旦黑客突破内网利用跳板机发起攻击,零信任决策中心会第一时间感知风险终端,并及时联动网关集群对可以终端的行为实现拦截/降权处理n 基于身份的零信任平台会记录整个链路的访问日志,并于身份信息进行关联,发生风险时可以快速定位防止办公网钓鱼攻击联系持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技弱口令攻击防守:n 在网络边界处部署零信任安全访问代理,收敛原来
11、暴漏在互联网的所有业务端口,拦截所有非授权请求,拦截黑客利用系统漏洞入侵后台的路径n 构建MFA多因素认证,实现员工去静态密码,最大程度降低账号泄漏风险n 利用零信任平台的分级认证能力,对老旧系统或敏感页面路径强化认证能力,当可信人员试图访问高级别页面时要求其进行二次认证,进一步确认其身份可信零信任代理集群弱口令快速防护攻击者口令字典非受信请求全部拦截0day武器可信人员MFA多因素认证,去静态密码二次认证联系持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技n统一代理网关n风险暴漏面收敛n可信用户鉴权nURL级安全管控n0day等威胁防护持安科技零信任安全框架是
12、Google BeyondCorp项目的最佳实践,产品以身份为基础,站在业务的视角,以应对实战化攻防对抗为目标,利用非入侵式思想,将零信任理念融入企业组织IT基础设施建设,变原有基于“黑名单”的“先访问,再认证”为基于“白名单”的“先认证,再访问”,从根本提升传统安全框架的防御能力,实现从端到应用的全链路安全防护与溯源 访问控制动态检测分析研判应急处置追踪溯源n先访问,在认证n持续动态评估n预防办公室钓鱼n终端威胁感知n动态身份鉴权n一体化分析平台,端、网关、业务统一管理n多维度数据监控n全量端环境感知n点对点动态管控n快速基线修复n自定义威胁发现规则n基于身份全链路日志审计n敏感数据发现n威
13、胁情报协同分析零信任防护的价值联系持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技实践落地之路04联系持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技依托零信任思想,建立安全防御体系 安全风险评估 防御现状分析 部署方案设计 安全意识培训平台部署流程准备系统部署平台验证值守保障上线发布灰度测试规则部署对抗验证HVV值守 资产梳理 暴露面梳理 数据梳理 身份梳理平台上线 漏洞加固 弱口令加固 暴露面收敛 1day漏洞加固业务发布 安全基线 入侵防御 信息采集制定策略 信息搜集 漏洞挖掘 远程控制 横向移动对抗演练 监测值守 分析研判
14、 应急溯源 总结复盘HVV保障零信任实施服务总体流程人系统持续、动态的安全访问信任链开放、安全、动态、高效联系持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技以保护业务系统安全和数据安全为核心目标,从安全技术、安全管理两个层面出发,同时贯彻“持续监测、动态分析、快速响应、研判预测”的自适应安全理念,完成产品的布控。零信任实施部署架构联系持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技资产梳理n资产清单整理n网络结构调研n资产信息收集调研n资产管理方式调研资产梳理主要通过现场访谈和被动资产扫描方式进行,服务团队对用户业务及资产基本情
15、况进行调研,摸清楚资产的位置和对外提供的服务,以了解服务单位的基本情况,全面排查外网以及办公网的资产暴露面。n 利用自动化扫描工具对防御区域内实施全网扫描,并将扫描结果与访谈清单进行对比,找出未在访谈清单中的资产,避免遗漏 零信任服务流程:资产梳理联系持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技业务资源发布权限与策略配置灰度测试发布多维度交叉验证持续运营(监测优化)验证不通过放弃发布验证通过资源上线零零信信任任应应用用网网关关(用用户户无无感感)依据组织架构配置权限设置策略本地验证测试小规模流量迁移扩大范围上线前压测研发配合技术配合快速整改技术保障确保业务上
16、线顺利运营团队持续监控给出优化建议零信任服务流程:业务发布与灰度测试联系持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技办公网红队模拟防守方服务n信息收集n系统渗透测试n靶标系统攻击模拟n现场潜伏社工攻击n物理渗透测试n应急预案n对抗演习n安全检查n团队组建n方案制定持安科技除了提供协助主防单位提供安全防守服务外,还可以为企业客户提供专业化的红/防守方服务服务团队由多名具有实战经验的渗透工程师组成,其中包括前攻击对队长、行业知名安全研究员、资深攻防专家等。采用尽可能贴近实战的方式模拟攻防对抗场景,从而发现有可能被黑客利用的漏洞和防守体系中缺陷,并为企业客户提供可
17、落地的建设性解决方案。零信任服务流程:攻防对抗有效性验证联系持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技n通过零信任网关确认业务系统暴漏情况,检查是否有遗漏n根据业务系统类型,针对发现的高危漏洞制定精细化防控策略n评估终端环境状态,完善应用基线和合规基线规则,要求特定人员执行基线自动修复n评估各类型员工账号风险等级,对敏感账号加强认证n对内网风险资产如AD域、IAM、门户系统加强安全防护策略有效性检验与策略调优精细化策略调优风险暴漏面检查弱口令检查高频攻击AD、IAM等零信任服务流程:策略优化调整联系持安科技持安科技持安科技持安科技持安科技持安科技持安科技持
18、安科技持安科技持安科技告警监控&策略优化故障处理应急处置&事件上报定期巡检协同溯源7*24 小时 n告警检测&策略优化:具有丰富攻防经验的红队成员参与值守原红队成员监控零信任平台事件,对攻击行为进行提前预判,持续优化策略n应急处置&事件上报:一旦出现高危安全事件,值守团队第一时间对事件进行分析,同时利用零信任平台制作修复策略,并及时上报n故障处理:对零信任平台在演习过程中出现的事故进行定位处理,解决企业员工日常使用问题,对复杂将调用公司专家组协同处理,确保演习顺利n定期巡检:对零信任框架涉及的产品进行定期巡检,并填写巡检日志,同时还将配合企业安全团队,对其他相关设备进行巡检n协同溯源:在多方配
19、合溯源时,零信任平台可提供基于身份的完整请求日志,协助其他参演团队进行联合分析、溯源零信任服务流程:现场值守联系持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技病毒、钓鱼邮件、终端木马、入口攻击payload分等暴力破解异地登陆攻击负载(payload)结合告警分析获取攻击队的情报信息,关联攻击行为和过程配合威胁情报及其他安全设备的告警日志,溯源攻击者入侵方式应急处置,清理入侵脚本应用系统告警分析入侵日志告警分析攻击者画像分析溯源攻击者信息确认攻击者身份提交溯源报告在实战攻防演练期间,持安科技技术专家协助主防单位对相应攻击进行溯源分析,同时借助零信任安全平台对业务流量身份化的功能,快速定位事件信息。零信任服务流程:溯源分析联系持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技谢 谢 您 的 观 看可落地运营的,下一代企业零信任安全架构CHIANSEC联系持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技