向安全攻击说NO,请翻开体系化防御的三页“教科书”
2020年,大大小小的实战攻防演练活动接踵而至,让许多企业有了从攻击者视角重新审视自身网络安全防御体系的机会。如何提高自身的体系化防御能力依然是未能全面解决的当务之急。日前绿盟科技发布了《2020年度安全事件响应观察报告》,其中的数据梳理与核心观点或可为众多面对这一难题的企业提供攻守方略。
观点一:攻击方更有针对性,精准溯源是关键
2020年,绿盟科技处理攻防演练相关的应急响应事件,相比2019年同比增长300%。其中,处理入侵事件成功率高达36%。如今,攻防演练中攻击队伍的手段越来越多样化,如利用各种技术隐匿身份、躲避安全设备侦查等。事实上,专业的攻击队已经成为特定行业的渗透专家,他们对特定行业的网络架构、资产关系、运维管理、网络通路已经非常熟悉。不管被攻击方的资产有多庞大、网络结构多复杂,他们一旦进入企业内网,便能轻松定位到重要资产和关键设备,利用储备的反序列化、远程命令执行等0day/NDay漏洞,可在短短几个小时内将目标拿下。
例如,绿盟科技演练防护中台团队在一次防守溯源中还原攻击路径后发现,某攻击队通过迂回路线,从地方专网经过四次网络跨越,在短短的十几个小时内打入目标单位并获取大量系统权限,期间,攻击队多次利用0day/NDay漏洞进行网络突破。因此,当下的网络攻击已不再是单一的漏洞利用,而是采取了有计划性、针对性的打法。
面对这一情况,防守方亟需摆脱被动挨打的局面,可使用威胁情报、安全防护产品、蜜罐部署等方式对攻击者进行精准溯源,甚至进行反制。
观点二:钓鱼攻击伪装方式新奇,企业员工成为突破口
2020年,绿盟科技处理的安全事件中钓鱼相关攻击占全部安全事件的33%。在钓鱼攻击中,攻击者通过钓鱼邮件附件进行投放木马的事件占全部钓鱼事件的75%。
另外,攻防对抗中的钓鱼攻击已呈现出剧本精准、筹备充分等特点,攻击者结合Cobalt Strike、冰蝎等成熟工具,可使用域前置技术实现更好地攻击隐匿。
除传统的邮件钓鱼之外,一些令人耳目一新的攻击方式也渐渐出现。攻击队员伪装成面试者,利用通讯软件向HR发送伪装成简历的病毒程序,实现钓鱼与社工相结合。面对这类新奇的攻击方式,经验不足的员工往往会“缴械投降”,企业内部人员的安全意识也面临着新的考验。
回顾历年来的攻防演练,其体现的攻防对抗性逐渐加强,攻防演练不再是单纯的漏洞利用,随着时间发展,攻击队自动化武器、自研工具逐渐普及并且专业化,0day漏洞、APT级别的社会工程学也多被使用,链式打击源源不断。面对各种攻击手段的狂轰滥炸,很难有企业能够保证自身体系没有任何的瑕疵。安全事件发生后,及时采取有效措施,将损失降到最小十分必要,如开展系统恢复备份、病毒与后门清除、病毒样本分析、调查追踪、取证溯源等操作。
观点三:关键基础设施是攻击重点,要提升常态化防御能力
2020年所记录的安全事件当中,政府、交通、卫生、教育、能源、运营商、金融这些涉及国家重要信息与民生的设施依然是黑客热衷的攻击对象,所占比例高达80%。随着国家对网络空间安全愈发重视,网络安全常态化防御的理念逐渐深入人心,政府和相关企业等在网络安全保障方面的投入不断增加,安全事件中的发现能力有所提升。通过对2020年安全事件的入侵成功时间和事件发现时间进行统计发现(此统计中排除勒索软件类事件),入侵事件平均潜伏时间为116天,相较去年359天缩短了2/3。
据《2020年度安全事件响应观察报告》显示,通过日常运维、渗透演练和员工上报,去年66.76%的安全事件被主动发现。在攻守时间线上,攻击者处于先手位置,攻击者发起了攻击,防守方才有可能发现异常,且防守反击存在一定的滞后性。因此,企业等需要建立常态化的防御管控体系。例如,通过日常运维发现入侵痕迹,开展专项培训提高员工的网络安全意识,进行内外部安全演练查漏补缺,从而全方位构建企业的事件发现机制,提高主动防御能力和事件响应速度。
为全面提高体系化的安全能力建设,网络运营者应依据《网络安全等级保护基本要求》、《网络安全等级保护安全设计技术要求》等国家标准,梳理分析是否全面覆盖了网络安全等级保护的基线要求,并结合等级测评过程中发现的安全隐患,按照“一个中心,三重防护”这一核心要义,即围绕安全管理中心,从安全通信网络、安全区域边界、安全计算环境,构建面向风险的纵深防御体系。
在常态化的安全运营方面,特别是重点行业的关键单位,应积极配合行业主管单位以及公安机关的安全监测、通报预警等工作,落实7x24小时值班值守的常态化措施,同时从安全意识、资产和脆弱性管理、威胁情报、实战对抗、全流量分析、未知威胁发现、自动化处置等方面着手,完善安全运营的能力框架。
近年来,绿盟科技作为等级保护安全建设服务机构,始终践行网络安全等级保护制度,将多年积累的安全能力和等级保护标准体系相结合,并充分考虑行业特性,推出了囊括通用安全、云计算安全、工控安全等场景的“绿盟科技等级保护2.0系列解决方案”。此外,针对中小企业通用场景下的等级保护建设,绿盟科技还发布了 “等保一体机”,作为等保2.0系列解决方案重要补充,以防御、监测、响应、评估为核心能力,助力客户高效地完成等保合规建设。