基于漏洞的安全攻防再思考:天下武功唯快不破
責編:admin |2014-10-24 16:01:072014年新的漏洞不斷的披露,心臟滴血漏洞、破殼漏洞、SSLv3協議的漏洞,在這些新的漏洞面前,我們投資重金打造的傳統防御體系無法應對,每個漏洞的暴露都對應著安全及運維人員的辛苦不眠之夜。這些漏洞在“地下”隱藏了多長時間,被利用了多少次,才被暴露出來,暴露的時間點是否做了精確選擇,這些都是一系列的問號。有個朋友提過說“挖漏洞”就像“摘蘑菇”一樣,永遠也挖不完。
利用新漏洞攻擊,可以說是信息安全行業的“陽謀”,你明知道對手會這么做,但是你沒有更好的辦法來破解。所謂天下武功,無堅不破,唯快不破。用一句更通俗的話說“我們能預測到風險的發生,但是我們無法預測發生的時間點。”
從防守方的角度,該如何來認識安全攻擊的特點對抗唯快不破的漏洞攻擊呢?
(一)、像攻擊者一樣來思考
個人做應急響應有很多年,以前碰到安全事故,基本的目標是找到攻擊者利用的漏洞修復漏洞,防止再出事即達到目標。在當前形勢下,在安全事件處理時,僅僅知道攻擊不是最重要的,面對層出不窮的安全攻擊,重要的是知道被誰攻擊?攻擊的動機?攻擊者的位置?被攻擊的對象?攻擊者都做了哪些破壞?需要更深入的分析攻擊者的動機、攻擊者的位置等信息才能更好的處置攻擊。
經過多次事件的總結,攻擊者的動機其實很多,有泄憤型的(對企業不滿的離職員工、對企業領導個人有意見的攻擊者)、獲利型的(有競爭對手或競爭對手雇傭的攻擊者)、有政治目的的攻擊等。了解攻擊的動機對處理事件很重要。
2、認清當前攻擊“隱而不發”的特點
當前的安全攻擊主要以控制為目的達到未來戰略優勢,而非快速摧毀制造事故或災難。近年來很多安全事件都是以“控制”目標為基礎,不著急去篡改、偷竊數據。網站被篡改的事情雖然多,但這些攻擊者其實不是真正的對手。現在看到網頁防篡改的軟件,我個人覺得用處真不大,只是防范了一些惡作劇的小“黑客”而已。真正的攻擊者進入到系統后,會盡一切可能把自己隱藏起來,企圖躲過各種監測系統的監控,其目的只是在關鍵時刻進行破壞行為。思科的設備有沒有后門?這個目前已經是顯而易見的了,但如果不是斯諾登的爆料,我們僅僅在網絡上監控其實是很難發現的,因為這些后門平時根本沒有任何動作,不做任何的信息傳遞等,幾乎是發現不了的。我們做過多次的應急響應,比如有些網站在某一天被黑,但是在應急過程中網站上的webshell已經被放了一年多,黑客早已控制就等著在某個時間點的引爆。
用句話總結:你的系統沒有問題沒有漏洞,不代表真沒有被人攻擊或控制,只是對手更高明你沒有發現而已。
3、“安全失效假設、緩沖的理念”的原則
安全是對抗,不可能防范,基于預警、響應的緩沖時間差更關鍵。0day漏洞、更高對抗技術的出現,都會使得常規安全控制手段逐漸失效,真是“道高一尺魔高一丈”,在實際的安全工作中,一定要考慮到防護措施失效的情況下該如何處理。預警、響應等等緩沖的措施就非常關鍵了。
如果我們從搶金庫人的角度看。作為入侵者不懼怕墻和門,墻和門是死的,可以鉆可以炸。入侵者懼怕的是檢測和響應。金庫的墻、門、鎖實際上提供了一個防護時間。在防護時間內,可以及時地發現入侵行為并且做出足夠的響應,那么被保護的金庫就是安全的。
某些攻擊越過傳統的封鎖與安全防護機制時,在這種情況下,最重要的就是要盡可能在最短時間內迅速察覺入侵,將黑客可能造成的損害或泄露的敏感信息降至最低。
安全情報其實就是預警、響應很重要的一個有效措施。Gartner公布2014年十大信息安全技術專門談到了安全情報。用了張ppt如下:
(簡單點說就是可以通過在掃描、監控、檢測、防護等軟硬件的自動化應用,提供更高的準確性、更廣泛的覆蓋面、新的能力,同時也為改進信息集成和協同、風險和業務決策提供助力。)借用了nuke同學微信公眾號的圖。
4、“安全是人和人的對抗”
安全的效果是對手(敵人)評價你的,不是自己評價的?
系統漏洞一定是會不斷發現的,目前的防護措施主要是從對業務系統和信息(安全客體)的層層安全加碼,后期一定轉而實現對人(安全主體)的控制。同時對客體、主體的控制才能達到效果。Gartner 2014年信息安全趨勢與總結有一個趨勢“從以控制為中心的安全演進至以人為核心的安全”
安全是人和人的對抗,我們不可能靠一堆安全設備來對抗人。再先進的武器也不能決定戰爭的勝負。人的意識、策略、技能、動態對抗能力是信息安全的決定性因素。
5、“以不變應萬變”強身健體,做好基礎工作,提高信息安全免疫力,可以在風險事故中將損失降到最低。
信息系統只有兩種狀態:已經被攻破的,即將被攻破的。那么安全工作該如何投入?工作的效果如何體現呢?其實做安全工作就像我們鍛煉身體一樣,一定有病毒會侵害我們的身體,但是身體免疫力強的、身體好的人病毒可能就感染不了或者感染后很快能康復。SARS、埃博拉等這種在當時都沒有針對藥物的情況下,我們能做的就是強身健體,提高免疫力,2003年的SARS期間多少人依然認真的鍛煉身體。信息安全一樣,把一些基本工作做好,在事故來臨的時候造成的損失一定小很多。做與沒做還是有很明顯的效果。
信息安全領域有一些基本的安全措施,或者稱作事半功倍的措施,這些基礎工作做踏實了會切實提供安全免疫力。
以下列舉了一些常見的“提高免疫力”的基礎安全工作。
5.1訪問控制
訪問控制是信息安全永恒的主題,Gartner公布2014年十大信息安全技術,第七大技術為“以遏制和隔離為基礎的信息安全策略”虛擬化、隔離、提取及遠程顯示技術,都能用來建立這樣的遏制環境,來處理不信任的內容和應用程序。虛擬化與遏制策略將成為企業系統深度防御策略普遍的一個環節,盡管目前使用情況較少,但預計2016年普及率會達到20%。對攻擊者隔離、遏制、消滅。網上有一篇文章針對零散的攻擊者《捻亂止于河防——淺談企業入侵防御體系建設》,實質也是訪問控制,步步設防,逐步推進,再集中優勢兵力殲滅對手之。
5.2、弱口令
弱口令是典型的知易行難的安全措施,都知道口令安全很重要,但是一個管理員面對很多口令的時候,靠人力確實無法讓口令都做到安全。同時隨著地下產業的發展,哪些口令算安全哪些算不安全都是動態變化的。重要的系統盡量采用其他的認證方式,比如雙因素認證、生物特征等。
設備的口令很多
社工庫攻擊也在發展
5.3 執行SDL,做好應用安全的基礎工作,降低漏洞出現的概率
借用了Gartner 2014年信息安全趨勢與總結的關于應用安全的ppt。
其他的基礎工作包括漏洞管理、權限管理、變更控制和響應管理等。
天下武功 無堅不摧 唯快不破!信息安全對抗是一場持久戰!寫完,收工。