2014年新的漏洞不斷的披露,心臟滴血漏洞、破殼漏洞、SSLv3協(xié)議的漏洞,在這些新的漏洞面前,我們投資重金打造的傳統(tǒng)防御體系無法應(yīng)對,每個漏洞的暴露都對應(yīng)著安全及運(yùn)維人員的辛苦不眠之夜。這些漏洞在“地下”隱藏了多長時間,被利用了多少次,才被暴露出來,暴露的時間點(diǎn)是否做了精確選擇,這些都是一系列的問號。有個朋友提過說“挖漏洞”就像“摘蘑菇”一樣,永遠(yuǎn)也挖不完。
利用新漏洞攻擊,可以說是信息安全行業(yè)的“陽謀”,你明知道對手會這么做,但是你沒有更好的辦法來破解。所謂天下武功,無堅不破,唯快不破。用一句更通俗的話說“我們能預(yù)測到風(fēng)險的發(fā)生,但是我們無法預(yù)測發(fā)生的時間點(diǎn)。”
從防守方的角度,該如何來認(rèn)識安全攻擊的特點(diǎn)對抗唯快不破的漏洞攻擊呢?
(一)、像攻擊者一樣來思考
個人做應(yīng)急響應(yīng)有很多年,以前碰到安全事故,基本的目標(biāo)是找到攻擊者利用的漏洞修復(fù)漏洞,防止再出事即達(dá)到目標(biāo)。在當(dāng)前形勢下,在安全事件處理時,僅僅知道攻擊不是最重要的,面對層出不窮的安全攻擊,重要的是知道被誰攻擊?攻擊的動機(jī)?攻擊者的位置?被攻擊的對象?攻擊者都做了哪些破壞?需要更深入的分析攻擊者的動機(jī)、攻擊者的位置等信息才能更好的處置攻擊。
經(jīng)過多次事件的總結(jié),攻擊者的動機(jī)其實很多,有泄憤型的(對企業(yè)不滿的離職員工、對企業(yè)領(lǐng)導(dǎo)個人有意見的攻擊者)、獲利型的(有競爭對手或競爭對手雇傭的攻擊者)、有政治目的的攻擊等。了解攻擊的動機(jī)對處理事件很重要。
2、認(rèn)清當(dāng)前攻擊“隱而不發(fā)”的特點(diǎn)
當(dāng)前的安全攻擊主要以控制為目的達(dá)到未來戰(zhàn)略優(yōu)勢,而非快速摧毀制造事故或災(zāi)難。近年來很多安全事件都是以“控制”目標(biāo)為基礎(chǔ),不著急去篡改、偷竊數(shù)據(jù)。網(wǎng)站被篡改的事情雖然多,但這些攻擊者其實不是真正的對手?,F(xiàn)在看到網(wǎng)頁防篡改的軟件,我個人覺得用處真不大,只是防范了一些惡作劇的小“黑客”而已。真正的攻擊者進(jìn)入到系統(tǒng)后,會盡一切可能把自己隱藏起來,企圖躲過各種監(jiān)測系統(tǒng)的監(jiān)控,其目的只是在關(guān)鍵時刻進(jìn)行破壞行為。思科的設(shè)備有沒有后門?這個目前已經(jīng)是顯而易見的了,但如果不是斯諾登的爆料,我們僅僅在網(wǎng)絡(luò)上監(jiān)控其實是很難發(fā)現(xiàn)的,因為這些后門平時根本沒有任何動作,不做任何的信息傳遞等,幾乎是發(fā)現(xiàn)不了的。我們做過多次的應(yīng)急響應(yīng),比如有些網(wǎng)站在某一天被黑,但是在應(yīng)急過程中網(wǎng)站上的webshell已經(jīng)被放了一年多,黑客早已控制就等著在某個時間點(diǎn)的引爆。
用句話總結(jié):你的系統(tǒng)沒有問題沒有漏洞,不代表真沒有被人攻擊或控制,只是對手更高明你沒有發(fā)現(xiàn)而已。
3、“安全失效假設(shè)、緩沖的理念”的原則
安全是對抗,不可能防范,基于預(yù)警、響應(yīng)的緩沖時間差更關(guān)鍵。0day漏洞、更高對抗技術(shù)的出現(xiàn),都會使得常規(guī)安全控制手段逐漸失效,真是“道高一尺魔高一丈”,在實際的安全工作中,一定要考慮到防護(hù)措施失效的情況下該如何處理。預(yù)警、響應(yīng)等等緩沖的措施就非常關(guān)鍵了。
如果我們從搶金庫人的角度看。作為入侵者不懼怕墻和門,墻和門是死的,可以鉆可以炸。入侵者懼怕的是檢測和響應(yīng)。金庫的墻、門、鎖實際上提供了一個防護(hù)時間。在防護(hù)時間內(nèi),可以及時地發(fā)現(xiàn)入侵行為并且做出足夠的響應(yīng),那么被保護(hù)的金庫就是安全的。
某些攻擊越過傳統(tǒng)的封鎖與安全防護(hù)機(jī)制時,在這種情況下,最重要的就是要盡可能在最短時間內(nèi)迅速察覺入侵,將黑客可能造成的損害或泄露的敏感信息降至最低。
安全情報其實就是預(yù)警、響應(yīng)很重要的一個有效措施。Gartner公布2014年十大信息安全技術(shù)專門談到了安全情報。用了張ppt如下:
(簡單點(diǎn)說就是可以通過在掃描、監(jiān)控、檢測、防護(hù)等軟硬件的自動化應(yīng)用,提供更高的準(zhǔn)確性、更廣泛的覆蓋面、新的能力,同時也為改進(jìn)信息集成和協(xié)同、風(fēng)險和業(yè)務(wù)決策提供助力。)借用了nuke同學(xué)微信公眾號的圖。
4、“安全是人和人的對抗”
安全的效果是對手(敵人)評價你的,不是自己評價的?
系統(tǒng)漏洞一定是會不斷發(fā)現(xiàn)的,目前的防護(hù)措施主要是從對業(yè)務(wù)系統(tǒng)和信息(安全客體)的層層安全加碼,后期一定轉(zhuǎn)而實現(xiàn)對人(安全主體)的控制。同時對客體、主體的控制才能達(dá)到效果。Gartner 2014年信息安全趨勢與總結(jié)有一個趨勢“從以控制為中心的安全演進(jìn)至以人為核心的安全”
安全是人和人的對抗,我們不可能靠一堆安全設(shè)備來對抗人。再先進(jìn)的武器也不能決定戰(zhàn)爭的勝負(fù)。人的意識、策略、技能、動態(tài)對抗能力是信息安全的決定性因素。
5、“以不變應(yīng)萬變”強(qiáng)身健體,做好基礎(chǔ)工作,提高信息安全免疫力,可以在風(fēng)險事故中將損失降到最低。
信息系統(tǒng)只有兩種狀態(tài):已經(jīng)被攻破的,即將被攻破的。那么安全工作該如何投入?工作的效果如何體現(xiàn)呢?其實做安全工作就像我們鍛煉身體一樣,一定有病毒會侵害我們的身體,但是身體免疫力強(qiáng)的、身體好的人病毒可能就感染不了或者感染后很快能康復(fù)。SARS、埃博拉等這種在當(dāng)時都沒有針對藥物的情況下,我們能做的就是強(qiáng)身健體,提高免疫力,2003年的SARS期間多少人依然認(rèn)真的鍛煉身體。信息安全一樣,把一些基本工作做好,在事故來臨的時候造成的損失一定小很多。做與沒做還是有很明顯的效果。
信息安全領(lǐng)域有一些基本的安全措施,或者稱作事半功倍的措施,這些基礎(chǔ)工作做踏實了會切實提供安全免疫力。
以下列舉了一些常見的“提高免疫力”的基礎(chǔ)安全工作。
5.1訪問控制
訪問控制是信息安全永恒的主題,Gartner公布2014年十大信息安全技術(shù),第七大技術(shù)為“以遏制和隔離為基礎(chǔ)的信息安全策略”虛擬化、隔離、提取及遠(yuǎn)程顯示技術(shù),都能用來建立這樣的遏制環(huán)境,來處理不信任的內(nèi)容和應(yīng)用程序。虛擬化與遏制策略將成為企業(yè)系統(tǒng)深度防御策略普遍的一個環(huán)節(jié),盡管目前使用情況較少,但預(yù)計2016年普及率會達(dá)到20%。對攻擊者隔離、遏制、消滅。網(wǎng)上有一篇文章針對零散的攻擊者《捻亂止于河防——淺談企業(yè)入侵防御體系建設(shè)》,實質(zhì)也是訪問控制,步步設(shè)防,逐步推進(jìn),再集中優(yōu)勢兵力殲滅對手之。
5.2、弱口令
弱口令是典型的知易行難的安全措施,都知道口令安全很重要,但是一個管理員面對很多口令的時候,靠人力確實無法讓口令都做到安全。同時隨著地下產(chǎn)業(yè)的發(fā)展,哪些口令算安全哪些算不安全都是動態(tài)變化的。重要的系統(tǒng)盡量采用其他的認(rèn)證方式,比如雙因素認(rèn)證、生物特征等。
設(shè)備的口令很多
社工庫攻擊也在發(fā)展
5.3 執(zhí)行SDL,做好應(yīng)用安全的基礎(chǔ)工作,降低漏洞出現(xiàn)的概率
借用了Gartner 2014年信息安全趨勢與總結(jié)的關(guān)于應(yīng)用安全的ppt。
其他的基礎(chǔ)工作包括漏洞管理、權(quán)限管理、變更控制和響應(yīng)管理等。
天下武功 無堅不摧 唯快不破!信息安全對抗是一場持久戰(zhàn)!寫完,收工。