自首屆網(wǎng)絡(luò)安全攻防實戰(zhàn)演練開展以來,這一活動已成為網(wǎng)絡(luò)安全領(lǐng)域備受關(guān)注的大事件。今年,攻防實戰(zhàn)演練更上升到了一個全新高度,包括行動任務(wù)數(shù)量、演練周期時長、攻擊強度以及演練類別等,較以往都有極大提升,堪稱“史上最難攻防季”。
今年的攻防演練著眼于全球網(wǎng)絡(luò)空間戰(zhàn)略博弈的升級和攻防對抗的持續(xù)加劇。一方面,網(wǎng)絡(luò)攻擊強度烈度不斷升級。網(wǎng)絡(luò)攻擊手段不斷升級、強度持續(xù)提升、規(guī)模不斷擴大,網(wǎng)絡(luò)攻擊主體更加多元,涉及個人、企業(yè)、社會組織甚至國家。另一方面,網(wǎng)絡(luò)安全形勢發(fā)生深刻變化。隨著人工智能、物聯(lián)網(wǎng)、大數(shù)據(jù)等技術(shù)不斷創(chuàng)新和相互滲透,網(wǎng)絡(luò)空間與物理空間高度融合,二者關(guān)聯(lián)愈發(fā)密切、邊界趨于模糊,網(wǎng)絡(luò)安全風(fēng)險從單點向全局蔓延。
網(wǎng)絡(luò)攻擊手段進化升級
在網(wǎng)絡(luò)安全升級為數(shù)字安全的時代背景下,實戰(zhàn)攻防對抗是檢驗安全能力的最終標(biāo)準(zhǔn)。由于目前網(wǎng)絡(luò)空間態(tài)勢復(fù)雜,如何在攻防對抗環(huán)境中具備實戰(zhàn)能力,已成為所有行業(yè)和政企機構(gòu)網(wǎng)絡(luò)安全建設(shè)的重要目標(biāo)。
瑞數(shù)信息安全響應(yīng)中心研究員陸攀介紹,從2016年至2023年的攻防演練實踐看,無論從演練規(guī)模還是攻擊技術(shù)上看,都在不斷演進升級。“攻防演習(xí)”逐步由試點走向全局,執(zhí)行力度逐年增強,呈現(xiàn)出攻擊力度強、攻擊點范圍廣、防護難度大的特點。
比如2016年攻擊方法以傳統(tǒng)應(yīng)用系統(tǒng)攻擊為主,攻擊手段相對單一;2019年開始出現(xiàn)真正意義上的0day攻擊;2021年0day攻擊常態(tài)化,供應(yīng)鏈攻擊和社工開始展露頭腳,第一次出現(xiàn)沙盤推演;2023年攻防規(guī)模達(dá)到歷史之最,防守隊和攻擊隊都接近300家,并且0day數(shù)量達(dá)到300個左右。
隨著網(wǎng)絡(luò)安全攻擊技術(shù)持續(xù)進化,攻擊手法主要呈現(xiàn)出四個趨勢變化:
首先,0day漏洞轉(zhuǎn)向供應(yīng)鏈。 2023年攻防演練期間暴露出的0day漏洞數(shù)量超過200個,有詳情的漏洞超過100個,Web漏洞占比達(dá)到90%以上。攻擊方向從之前的業(yè)務(wù)系統(tǒng)、安全設(shè)備,慢慢趨向于軟硬件供應(yīng)商和辦公系統(tǒng)。
其次,攻擊更加多元化。 智能終端、辦公大廳自助機小程序、微信等成為新的突破口,供應(yīng)鏈和釣魚攻擊成為攻擊新趨勢。隨著正面突破的難度越來越大,供應(yīng)鏈、開源組件、二級單位攻擊、社工釣魚等方法和花樣層出不窮。比如利用供應(yīng)鏈的補丁或者升級包進行投毒,欺騙用戶進行升級等,從而控制網(wǎng)絡(luò)系統(tǒng)。
第三,工具化更加隱蔽智能。 攻擊工具和攻擊方式越來越自動化和智能化,自動化攻擊手段從早期的簡單腳本和工具,到具備JS解析能力的工具,再到腳本驅(qū)動的瀏覽器和APP,以及如今的錄屏操作和真人操作,識別和防護難度呈現(xiàn)指數(shù)級上升。大量的通用和定制工具用于漏洞掃描、0day探測、撞庫、敏感文件探測等,攻擊范圍進一步擴大。為了提升攻擊效率,攻擊方還精心設(shè)計了專門接口,以加快攻擊過程,實現(xiàn)了工具集成化、平臺化,并形成了完整的自動化攻擊鏈。
第四,API接口成為主要攻擊目標(biāo)。 通過惡意請求或其他手段獲取未授權(quán)的數(shù)據(jù)或?qū)ο到y(tǒng)進行惡意操作,脆弱的API成為了攻擊者進入系統(tǒng)的門戶。攻擊者可以利用API漏洞繞過防火墻、入侵檢測系統(tǒng)等安全防護設(shè)備,從而對系統(tǒng)進行深入攻擊。
面對持續(xù)加大的網(wǎng)絡(luò)攻擊強度,網(wǎng)絡(luò)安全工作者疲于奔命、無所適從的感受越來越強烈。網(wǎng)絡(luò)對抗一直處于攻易難守的狀態(tài),攻擊只需要突破一個點就可能拿下目標(biāo),而防守者卻要面面俱到。在很多情況下,網(wǎng)絡(luò)安全往往面臨事后響應(yīng)、被動挨打的局面,經(jīng)常都是在被攻擊之后,系統(tǒng)被拖庫或被植入后門才發(fā)現(xiàn)攻擊痕跡。尤其是隨著業(yè)務(wù)系統(tǒng)的不斷擴張,攻擊面也在與日俱增,安全運營成本不斷增高。
從攻擊者視角看安全
在數(shù)字化時代,網(wǎng)絡(luò)安全團隊不僅要站在防御視角來看待安全,更要從攻擊者視角來監(jiān)測完整的數(shù)字攻擊進程,瑞數(shù)信息觀察到了各類網(wǎng)絡(luò)攻擊的流程和防護要點。
實網(wǎng)攻擊方面,在起始階段,攻擊者會先在網(wǎng)絡(luò)外圍進行探測尋找突破口。突破口大多聚焦在關(guān)注度低和防護薄弱系統(tǒng)、存在高危漏洞的系統(tǒng)、第三方產(chǎn)品供應(yīng)商、運維服務(wù)供應(yīng)商、存在敏感信息泄露的系統(tǒng)等區(qū)域,之后通過目標(biāo)收集、漏洞掃描、路徑探測、賬號破解等方式,逐步深入滲透進網(wǎng)絡(luò)之中。在進入網(wǎng)絡(luò)中后,攻擊者會采取人工滲透、0day/Nday攻擊、安全措施突破、獲取shell等方式,層層深入到最核心的內(nèi)網(wǎng)之中,并在內(nèi)網(wǎng)開啟漫游,通過收集資產(chǎn)、定向控制、權(quán)限提升等手段,逐步獲取核心權(quán)限,從而掌控整個網(wǎng)絡(luò)的主動權(quán)。
供應(yīng)鏈攻擊方面,攻擊者首先會識別使用敏感數(shù)據(jù)的軟件開發(fā)供應(yīng)商,這里的目標(biāo)是打開一扇通向更多機會的門。選中目標(biāo)后,攻擊者會利用公司軟件中未知或未解決的漏洞侵入系統(tǒng),他們可以利用識別的漏洞,在公司源代碼中添加有缺陷的代碼或插入惡意軟件。一旦供應(yīng)商被感染,他們便試圖通過橫向移動訪問連接的目標(biāo)公司的敏感數(shù)據(jù)。此外,攻擊者還會使用網(wǎng)絡(luò)釣魚攻擊欺騙第三方供應(yīng)商的員工泄露登錄憑據(jù)。一旦攻擊者獲得了對目標(biāo)公司網(wǎng)絡(luò)的訪問權(quán),他們就可以使用各種手段竊取或加密目標(biāo)公司的數(shù)據(jù),進而實施勒索攻擊等惡意操作。
此外,站在攻擊者視角,還可以發(fā)現(xiàn)網(wǎng)絡(luò)安全中存在的一系列挑戰(zhàn)。隨著數(shù)字化發(fā)展,資產(chǎn)類型和數(shù)量越來豐富,網(wǎng)絡(luò)安全從業(yè)者難以完全掌握所有潛在風(fēng)險點,攻擊面越來越大,且大多并不清晰。其次,由于供應(yīng)鏈數(shù)量眾多,類型錯綜復(fù)雜,導(dǎo)致安全難以做到統(tǒng)一管理,供應(yīng)鏈風(fēng)險與日俱增。同時,不同團隊和部門對安全重視程度不一,員工安全意識差異較大。而未知的0day漏洞則很難事先防范,一旦被發(fā)現(xiàn)就可能遭受嚴(yán)重攻擊,0day防御重要性日益凸顯。
構(gòu)筑縱深防御體系,化被動為主動
克勞塞維茨在《戰(zhàn)爭論》中曾經(jīng)對防御作戰(zhàn)有過這樣的描述:“防御作戰(zhàn)這種常見的作戰(zhàn)形式,其往往不是單純的組織靜態(tài)的防線,而是由無數(shù)次的巧妙打擊和迂回運動組成的反突擊體系。”
對防守方而言,單一的產(chǎn)品是無法實現(xiàn)安全的,構(gòu)建縱深防御體系、建立全面監(jiān)控的能力、高效協(xié)同等,都是贏得網(wǎng)絡(luò)安全戰(zhàn)的先決條件。
基于主動防護理念,瑞數(shù)信息改變了傳統(tǒng)網(wǎng)絡(luò)安全的“游戲規(guī)則”,推出動態(tài)安全技術(shù),不再依靠攻擊特征庫、異常特征庫的匹配來進行攻擊識別,而是通過隱藏漏洞、變換自身、驗證真?zhèn)蔚榷喾N方式提高黑客攻擊成本,倒逼黑客放棄攻擊。
在0day漏洞防護方面, 瑞數(shù)信息從0day漏洞利用工具請求的固有屬性出發(fā),通過動態(tài)安全技術(shù),無需依賴規(guī)則特征,只要識別到是工具行為,就可以直接對0day攻擊進行阻斷。
在漏掃防護方面, 瑞數(shù)信息提供漏洞隱藏功能,將所有的高危、中危漏洞、網(wǎng)頁目錄結(jié)構(gòu)做隱藏,并通過敏感信息隱藏、針對掃描器做重放性檢測、動態(tài)挑戰(zhàn)等方式來進行防護,讓攻擊方掃描不到任何有價值的信息。
隨著網(wǎng)絡(luò)對抗升級,基于規(guī)則和特征的傳統(tǒng)安全設(shè)備防護效率將越來越低。對于人工攻擊,還可以從干擾攻擊行為的角度出發(fā)進行防護。
瑞數(shù)動態(tài)安全利用動態(tài)封裝和動態(tài)混淆這兩大創(chuàng)新技術(shù)對攻擊者實施動態(tài)干擾。 靈活運用Web代碼混淆、JS混淆、前端反調(diào)試、Cookie混淆、中間人檢測等多種動態(tài)干擾功能,采用不基于任何特征、規(guī)則的方式進行有效防護,為業(yè)務(wù)安全和用戶數(shù)據(jù)筑起了一道堅不可摧的防護墻。
針對愈加頻繁的勒索攻擊, 瑞數(shù)信息通過數(shù)據(jù)備份和快速恢復(fù)備份數(shù)據(jù)的數(shù)據(jù)安全檢測與應(yīng)急響應(yīng)系統(tǒng)(DDR)系統(tǒng),構(gòu)建起更完整的勒索軟件防護閉環(huán),幫助企業(yè)守住數(shù)據(jù)安全最后一道防線。
在嚴(yán)峻的網(wǎng)絡(luò)安全形勢下,面對層出不窮的攻擊手段和潛在的安全威脅,網(wǎng)絡(luò)安全防護必須實現(xiàn)從“人防”到“技防”的全面躍遷,才能徹底將人員從安全對抗的值守中解放出來。
基于獨特的“動態(tài)安全+AI”技術(shù)思想,瑞數(shù)信息綜合運用自動化攻擊保護、0day防護、多源低頻防護、多維度分層分級對抗等多種安全防護策略和手段,還推出瑞數(shù)WAAP超融合平臺,支持WAF、Bots防護、0day攻擊防護、應(yīng)用DDoS防護、API安全防護等多項安全產(chǎn)品單獨或聯(lián)合部署,能夠覆蓋Web、移動App、H5、API及IoT全應(yīng)用渠道,提供多層級的聯(lián)動防御機制,令企業(yè)在各類復(fù)雜的環(huán)境中,都可以輕松實現(xiàn)應(yīng)用安全一體化防御。
目前,瑞數(shù)信息動態(tài)安全已廣泛應(yīng)用在運營商、金融、政府、教育、醫(yī)院、企業(yè)客戶之中,幫助各類組織機構(gòu)真正實現(xiàn)網(wǎng)站/APP/小程序/API的安全防護,降低其安全風(fēng)險和經(jīng)濟損失。同時,瑞數(shù)信息參與了大量網(wǎng)絡(luò)安全重保工作,并取得了優(yōu)異的成績。
借助動態(tài)安全與AI技術(shù),瑞數(shù)信息建立起全方位的網(wǎng)絡(luò)安全縱深防御體系,形成事前、事中、事后安全風(fēng)險閉環(huán),助力企業(yè)消除信息安全體系建設(shè)中的“安全孤島”問題。由此,企業(yè)在面對復(fù)雜多變的網(wǎng)絡(luò)和應(yīng)用環(huán)境時,可以真正實現(xiàn)網(wǎng)絡(luò)安全從“被動”變“主動”,構(gòu)筑起網(wǎng)絡(luò)安全的“鋼鐵長城”。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!