【攻防演练庙算记五】网站防护
时间:2023年05月22日 来源:安天
由于DMZ区面向公网开放,且无论是在日常时期还是在攻防演练期间,其承载的网站类应用一般都是可以被包括攻击方在内的公众访问的,也就形成了《孙子兵法·地形篇》中提到的“我可以往,彼可以来”的“通”,即我们可以去,敌人也可以来的区域。因此,攻击方势必会利用这种“优势”,通过信息收集、弱口令暴力破解、泄露凭证登录、webshell投递、漏洞利用和创建shell等手段,通过DMZ区网站群向内网进行渗透。
《孙子兵法》针对“通”的对抗形势,也提出了“通形者,先居高阳,利粮道,以战则利”的应对办法。放在实战攻防演练对抗场景中,就是指防守方必须要事先加强WEB应用访问控制、漏洞利用检测和服务器终端威胁检测等方面的安全能力,通过全面的提升网站安全防护水平,配备足够的对抗资源(安全产品和安全专家)并形成有利的对抗态势,养精蓄锐,才能有效防御攻击方利用网站发动攻击,获得优势。
本期为【2023安天攻防演练庙算记】第五章:网站安全防护。
安天网站安全防护专项服务,采用托管模式,可针对防守客户单位网站的安全性与可用性进行全面监测,针对影响网站及系统运行的安全隐患进行实时监控,监控内容包括网页篡改、挂马、暗链、域名劫持、后门、关键字等。服务基于安天安全产品防御能力结合安全专家现场响应共同支撑,可以帮助客户在短时间内发现网站存在的安全问题,并通过监测报告定制安全策略,调整相应安全措施,从而极速提高网站的安全防护水平,极大降低在攻防演练活动期间因网站安全缺陷或漏洞造成的失分风险。
图 安天网站安全防护专项服务示意图
安天网站安全防护专项服务,可为防守单位客户提供覆盖攻防演练“启动、备战、迎战、总结”全生命周期的解决方案。
1.启动阶段:资产梳理,制定预案
安天将通过开展网站群资产细粒度梳理,制定网站安全应急事件处理和应对措施。
首先,安天安全专家将通过资产安全运维平台或其他扫描工具识别演练期间上线系统的关联资产;其次,通过现场调研的方式,利用资产调研表对扫描后的资产信息进行对比、合并、除错,补齐资产的详细信息;然后,对安全管理人员、网络管理人员、主机系统管理人员、应用开发和维护人员进行访谈,明确资产责任人;最后,针对演练中可能发生的扫描类、暴力破解类、高危漏洞利用类和木马类等安全事件,制定网站安全应急预案。
2.备战阶段:部署产品,加固防御
通过智甲云主机安全系统,开展安全配置核查,发现网站存在的安全漏洞和后门程序,协助落实加固措施;梳理公网开源账户及泄露口令,使用口令枚举、泄露凭证登录等方式评估口令安全状态,从事前分析并管理其中的潜在安全风险,提前防范风险并提高攻击门槛。同时自动学习梳理各业务之间的访问关系,使用微隔离将各业务系统做不同细粒度的隔离策略,收敛业务暴露面减小攻击影响。
同时,安全专家结合漏洞扫描与渗透测试,发现网站存在的安全漏洞;通过部署安天下一代WEB应用防护系统(WAF)、安天应用威胁自免疫工具(Antiy RASP)与安天智甲云主机安全系统,实现流量侧与终端侧威胁捕获能力、威胁诱捕能力,通过智甲安全管理中心收集WAF、智甲防护客户端和流量监测设备日志,实现综合研判,发现入侵威胁。
3.迎战阶段:实时响应,争取加分
通过人工监测威胁感知设备,发现针对DMZ网站的网络探测和网络入侵。对于发现的Webshell、木马,安天安全专家将深度分析样本并形成分析报告(分析报告包含发送时间、IP、详细内容和处置结果等)。同时,协助客户上报分析结果至演习指挥部,获得加分;对于已发现成功入侵的系统,协助应急处置,获得处置得分;结合样本IP,联合安天威胁情报中心,溯源攻击者,获得溯源加分。
总结阶段:协助总结,提交报告
针对发现的网站攻击事件、发现的威胁文件提供总结报告,协助客户完成总结工作。
安天网站安全防护专项服务客户价值
1. 预警网络攻击,使用威胁情报(TI),先攻击方一步而消除攻击威胁;
2. 检测并阻断网站威胁,积极应对各类攻击手段;
3. 超过10年实战经验安全专家支撑,助力调查溯源帮助获得加分。
在2022年大型实战攻防演练活动中,安天网站安全防护专项服务为某客户单位阻断Web攻击事件近3万起,监测入侵蜜罐事件11起,溯源加分400分。
附录:关键产品价值简介
2023年安天产品攻防演练防守实战价值列表 |
||
防护类别 |
安全产品 |
产品价值 |
网站安全防护 |
基于主动防御理念,从业务安全出发,是集WEB安全防御、机器人攻击防护、用户业务访问控制、业务逻辑异常检测、业务威胁评估以及业务数据分析为一体的综合业务安全分析WEB应用防护产品。在攻防演练实战场景中,可针对WEB业务应用进行有效防护,发现和阻断机器人攻击、信息泄露、用户越权行为等WEB攻击。 |
|
应用威胁自免疫Antiy RASP |
Antiy RASP与应用紧密结合,在关键函数执行前进行安全检测,为应用自身赋能安全防护能力;低误报、高检出地智能拦截各类已知及未知漏洞,并提供漏洞成因管理、报警通知、安全检查等多种能力。具有高性能、高兼容性,部署便捷的特性。在攻防演练实战场景中,可以在WAF基础上补充自我免疫“威胁”的能力,形成双重防护模式,切实有效地阻止“远程命令执行”、“上传webShell”等重症的发作。 |
|
云主机防护 |
针对各种异构、海量的主机、虚拟主机、容器等工作负载,可提供包含资产清点、风险评估、合规基线、微隔离、入侵检测、防病毒、威胁猎杀、威胁溯源等多种安全能力的统一安全防护。通过细粒度的资产清点和持续的风险监测与分析,主动发现业务系统的资产脆弱点,并基于微隔离的精细化访问控制,收敛业务暴露面减小攻击影响;同时运用多维度的入侵检测,快速定位发现入侵行为并追踪还原攻击入侵路径,实现自动化入侵检测响应闭环。在攻防演练实战场景中,可精准监测外部威胁、内部风险,为客户提供全方位的业务安全保障。 |
下期预告
下期为【2023安天攻防演练庙算记】第六章:网络边界监测。
将分享基于安天探海威胁检测系统进行网络全流量的安全检测,及时发现攻击方通过网络边界发起的渗透行为,同时配合安全专家人工进行威胁猎杀,在阻断攻击降低失分风险的同时开展取证分析获得加分。