-
-
[原创]攻击面管理闭环的关键:智能化渗透与安全有效性验证
-
2024-4-3 11:37
-
网络安全的本质在对抗,对抗的本质在攻防两端能力较量。当下企业的网络安全建设多是基于防守者视角的,部署防火墙、WAF、IPS、EDR等安全产品进行安全防御体系建设,而基于攻击者视角的安全检查和渗透测试服务多依赖于人员服务方式进行,人员能力水平是关键因素,在增加大量成本的同时依然难以全面发现企业潜在攻击面风险,无法全面评价安全防御体系的有效性。
智能化渗透与安全有效性验证技术属于新兴技术思想,是对抗防御和主动防御思想的重要表现形式与落地方法,也将是未来网络安全建设的重要方向。华云安的智能化渗透与安全有效性验证解决方案,总结提炼实战环境下攻击者的战术、技术和方法,形成针对不同场景的技战术,自动模拟杀伤链的不同阶段和不同场景,同时收集现有安全系统的检测及响应情况,持续测试和验证现有网络整体的安全机制,量化评估对抗外部威胁的能力,先于攻击者发现薄弱点,及时补强安全防御的短板,降低攻击者成功的概率,指导安全建设的工作方向,让安全投入有的放矢。
现状问题
现阶段,企业主要依赖漏洞扫描、渗透测试等人工方式进行有效性评估,存在成本高、效率低、覆盖不全,不够精准等问题,进而影响安全响应时效。
渗透测试成本高,效果难保障:渗透测试服务成本高、周期长,无法每次对最新版本做风险测试,易留下诸多安全隐患。此外渗透测试服务对实施测试服务人员的要求较高,渗透测试的结果严重依赖渗透工程师的个人经验,对实战的效果提升难以保障。
攻击过程不清晰难预防:面对复杂的信息化系统,安全人员不仅需要知道有哪些弱点,还需要知道攻击者是如何对自己发动攻击的,以及攻击路径是怎样的。然而不论是渗透还是扫描,都无法将攻击有效完整的记录下来,也不能将多个节点的模拟攻击串联在一起形成完整的攻击链路,从而出现可能的疏漏演变成安全事件。
防御体系有效性难验证:企业的网络安全防御体系建设,需要站在攻击者视角对安全防御有效性进行审视和检测,确保防御建设与业务的关联性和有效性。现阶段的渗透测试工作未结合攻击数据和防守数据进行分析,无法评估安全体系的有效性,针对新爆发的漏洞或攻击手段,不能进行动态的有效性评测。
安全设备策略有效性难验证:现阶段被动的安全防御建设思路有个缺陷,就是只有在攻击发生时才能检验出规则是否最新,策略是否精准,设备是否管用,防御是否有效。如果攻击尚未发生,但是规则、策略、设备本身等出现问题,安全设备本身成为最大的安全隐患。
解决方案
基于以上问题,华云安的智能化渗透与安全有效性验证解决方案,以自动化全覆盖、验证闭环为原则,利用安全防御能力评估平台、攻击模拟引擎、多区域部署靶机方式,持续对安全监测防护有效性进行验证,并基于验证结果进行安全能力增强,提升安全防护能力。
01.明确评估业务场景范围,对接相关安全系统,部署攻击模拟器、靶机(可选)。明确评估场景及范围,如外网WEB应用业务场景,评估范围为互联网边界纵深防御体系。梳理互联网边界纵深防御体系相关安全系统(如边界防火墙、入侵防御系统、抗拒绝服务攻击系统、WEB应用防护系统、未知威胁监测系统、攻击溯源系统、主机安全防护系统)的资产信息,通过API或syslog等方式将安全系统日志对接至安全防御能力评估平台。
02.构建场景化攻击技战法,开展自动化攻击模拟工作。对攻击目标进行信息收集,运用知识图谱绘制实体关联关系,对目标的信息进行全面准确描述。在此基础上,使用智能调度决策引擎串联战法和行为,形成技战法,执行自动化攻击模拟工作。基于边界安全、安全监测、主机安全、终端安全、数据及应用安全等验证场景,采集收集相关的技战法,通过知识图谱技术进行提取,结合目标情况,使用联合利用分析技术,形成场景化的技战法,构建攻击路径以自动化方式进行攻击模拟验证。
03.关联攻防双向数据,自动化评估防御能力。在攻击模拟的过程中,实时通过API或者SYSLOG等方式,收集各类安全设备告警信息,并对多源异构告警数据开展数据治理,通过特征识别规则提取告警日志关键信息,将攻击过程数据与安全设备告警数据进行关联分析,获取动态评估分析结果,精准定位防御薄弱点。
04.量化评估安全防护有效性,实现安全查缺补漏闭环。根据评估结果数据,动态调整防护策略,开展防护加固,定期开展模拟评估,检验加固有效性,实现问题发现处置闭环无缝衔接,让安全布防调整更精准、更高效。
价值优势:
传统的风险评估技术(如漏洞扫描、渗透测试等)存在覆盖面窄、不够精准、效率低、成本高等问题。使用智能化渗透与安全有效性验证技术,可对防御体系进行准确评价,该技术存在诸多优势。
覆盖面广:可从点线面评价公司整体安全防御体系有效性,包括四类十余种场景。
评价精准:创新性地收集攻击与防守双方的日志收集,进行关联分析,精准定位异常的安全防御问题。
高效:对特定设备和场景具备场景化的技战法,可一键自动化下发检测任务,且可对技战法进行自定义扩展,使用简单高效。
降本:将安全检测评价按月的频率提升至按天常态化进行,大幅降低安全投入人力成本。
案例实践:
该方案在某大型央企集团部署应用,在安全防护能力提升发挥了重要作用,有效解决人工验证覆盖面不全,安全问题定位不准确,评估效率低等问题。据统计,自部署该设备后,累计验证边界、流量、主机、终端、应用等各类安全设备百余台,验证攻击脚本上千个,发现防护薄弱点150+项,并减少人工投入,同时通过调整优化策略及针对性的补强技术措施,实现了安全防护能力的精准提升。
[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》,视频+靶场+题目!助力进入CTF世界
