網路安全實戰演練中的攻與防
網路安全實戰演練,作為網路安全建設的重要組成部分,已經在《中華人民共和國網路安全法》和《國家網路安全事件應急預案管理》等法律法規中有所闡述,其重要意義無需贅述。我國網路安全實戰演練包括三種主要模式:桌面推演、預案演習和實戰演練。這三種模式都各有其必要性和不可替代的作用,尤其是實戰演練,以其震撼的直觀性,越來越成為社會和媒體關注的焦點。但是,綜觀現狀,我國網路安全實戰演練的水平尚處於起步階段,還有非常長的路要走。
一、網路安全實戰演練的現狀與問題
通過對多家機構和單位組織的網路安全實戰演練的分析,可以看出,目前各種網路安全實戰演練已經展示出一定的效果,但是,存的問題也值得思考。
一般來說,一場網路安全實戰演練由三個團隊完成:裁判方(籌辦方或監管機構)、防守方(系統建設者與維護者)、進攻方(滲透測試人員)。
裁判方在選定測試目標上,目前有兩個悖論無從解決:一是網路攻擊具有一定的安全隱患。由於現在的安全審計手段並不完善,如何驗證測試方是否將所有問題如實上報,是一個問題;二是成本和風險控制。沒有任何人可以預估攻擊會造成的風險,測試方也不能,因此,問題在於,核心系統是否能承受網路安全演習的風險。就算是模擬模擬,昂貴的成本和與真實的差異效能否被演習接受,又是一個問題。在這些問題面前,解決的主要方法還是繞道而行,即內網、關鍵系統、關鍵網路不加入演習,這樣的做法在無形之中迴避了安全的核心。
對於防守方而言,因為網路安全實戰演練的結果會對多方產生影響,因此,在演練時出現不惜以損傷業務連續性為代價的應對措施,包括斷網斷電。本應平常用於安全維護的操作,因要進行實戰演練才緊急部署,例如緊急修改口令等。最常見的做法還有直接封鎖一切可疑的IP等比較粗暴的方式,造成很多正常訪問無法進行。對於運維人員來說,為了演練不出現大問題,則被要求立下軍令狀。雖說這些做法簡單粗暴,但是,確實有效,至於影響業務連續性的問題,先忍忍。
對於測試方而言,必須認清的是,滲透測試絕不是真正意義上的攻擊,不能代表真實的攻擊能力。此外,由於受限於時間短和對測試目標的瞭解淺,多數情況下只能進行掃描器通網掃描,查詢公開漏洞。此外,在這種同歸於盡式的防守下,只能尋找旁路或漏網之魚的細枝末節問題。
最可怕的是,網路安全實戰演練結束後,一切歸於原樣。須知,網路安全實戰演練是為了讓參與各方擁有更強的應對能力,發現不足,儘快彌補,不能將網路安全國之大計建於浮躁的空中樓閣,網路安全建設必須要經得起檢驗。
二、網路安全實戰演練的實踐調整
網路安全實戰演練既然是實戰,那麼,就需要腳踏實地,來不得半點虛假。無論是裁判方、防守方還是測試方,都有很多實踐操作環節可以調整和落地,以達到增進實戰促安全的目的。
(一)裁判方
對於裁判方來說,要有敢於暴露問題的勇氣和決心,要演練就要演練最核心的部分。裁判方需要做的是要最大程度上的審計和監督,確保整個過程在人員上可信任、過程上可控制和出問題可回溯。
(二)防守方
對於防守方來說,首先要明確“天下沒有完全安全的系統”,要正視問題。需要做的是,建設全面的應急處置能力體系,打造應急響應團隊,將演練視為常態化事件,這是檢驗應急能力的一種手段。能力體系以網路安全事件為核心,包括事前、事中、事後三個環節。
1.事前:評估與監控並行,既查缺補漏又掌控態勢
從多次應急處置的過程發現,應急物件往往都是在事件發生後才覺察日誌沒有開啟、防護措施沒有配備、運維人員不知道怎麼用監控等,而這些內容都是應該在平常工作中固化下來的工作制度,因此,需要建立完整而全面的定期安全評估和檢查,建設完整的監控體系,對安全裝置、網路裝置、備份環境、終端、輿情等各方面進行有效監控,確保監控有效性並能夠及時響應。這些應該是應急處置體系的重中之重,就像在消防演練中,首先要確保煙霧報警、消防栓、滅火器的有且可用,操作人員首先會正確使用,再去談及其他。
2. 事中:快速有效處置,最大程度減少損失、儲存證據
監測到安全事件發生後,絕不僅僅是斷網、斷電、找廠家這麼簡單的操作,應急響應團隊需要能力建設和儲備豐富的知識,隨時做到第一時間響應。
事件定位與分析。網路攻擊事件的表現多數是訪問不正常、監測裝置報警等,能夠定位到具體的原因,是第一步首先要做到的。
取證。對攻擊事件的痕跡、日誌、檔案進行取證和儲存,包括硬碟留存、檔案掃描等取證工作,以備後續分析。這是事件處理最為重要的環節,卻是最容易疏漏的地方。
快速修復。對存在的漏洞進行應急性快速修復,防止同等攻擊手段再次生效,斷去控制路徑,清除木馬和病毒等。由於是應急性修復,需要待應急響應結束後重新完整測評和整改。更重要的是,要快速形成檢測能力,對所有重要系統、關鍵設施進行排查,確保問題不擴散。
恢復。對攻擊事件造成的損害,可以通過損壞的資料、軟體、系統進行最大程度的恢復,這是降低損失的關鍵環節。無論是勒索軟體還是網路入侵後的資料刪除,恢復概率取決於第一時間的發現和操作,需要預案和反覆演練。
應急性監測。事件發生後,說明安全措施有所疏漏,需要臨時性的監測解決方案和裝置,為該攻擊寫入相應模式並對進出口流量進行首要監控,可以隨時發現攻擊行為並及時阻隔。
備份與還原。這是為滿足業務連續性而必須具備的能力。是否具有備份能力,應急團隊能否有效還原,能否最大程度縮減業務中斷時間,是應急演練的另一個核心部分。
3. 事後:事件溯源、跟蹤和定位責任,杜絕再次發生類似事件
應急事件處置後,要根據事件的成因,對整個網路環境進行完整的安全評估和檢查,確保問題不再發生。據統計,90%以上的攻擊都不是使用未公開漏洞,即零日漏洞,而都是針對不及時打補丁或升級的系統而實施的。此外,應急團隊能不能根據應急處置中的操作和留存資訊,對事件進行追責,將證據的能力、溯源的能力等情況彙總給監管機構,需要大量工作。
(三)測試方
不瞭解先進的攻擊技術,何以有效驗證實戰?目前,安全測試人員對攻的瞭解,也包含不同的層次。一般來說,攻的7個層次包括:
1. 發現。是指對已知漏洞的發現能力,網際網路已經提供了足夠的資料,可以通過搜尋引擎下載掃描器、檢測工具完成,探測與利用一鍵搞定。這個層次的人被稱為指令碼小子,會搜尋、會下載即可入門。
2.利用。能夠針對已知漏洞寫出利用程式碼,使程式碼可以被順利執行,這需要一定深度的程式設計、除錯、作業系統知識、軟體知識和網路知識等。這個層次還延伸出兩個小層次,即經驗和獲取。經驗是指接觸多了測試,對很多場景能夠快速直覺判斷,同時,配合寫成自動化的指令碼或工具,大幅度提高效率;獲取是指具備的知識跳出了計算機領域,延伸至測試目標的業務流程、資料內容,將安全從業務價值或經濟價值的角度上體現出來。
3.挖掘。即挖漏洞,挖未公開漏洞,或稱零日漏洞。嚴格意義上講,這個層次的能力比較獨立也比較特殊,它是軟體測試技術的一種延伸,對軟體錯誤(BUG)做精加工,使其具有4種安全能力之一:讀,越權讀取資料;寫,越權修改資料;控,遠端執行命令,取得操作許可權;停,中斷正常業務流程。這個層次的技術能力由於需要通過讀取繁雜的機器指令,去逆向讀懂軟體設計者的業務流程和實現思路,因此,極為損耗時間,且無法預估有效產出。出於成本考慮,在絕大多數的安全測試中並不涉及。
4. 遠控。攻擊後的長期遠端控制,即木馬。不要認為從網上下載一個木馬就叫遠控,那仍屬於第一層次的範疇。一個好的木馬需要實現免殺、底層機器碼程式設計、韌體程式設計、程序控制(注入)、鏈路複用、加解密、限制繞過、隱寫等繁雜龐大的技術知識,並且隨著時間必須不斷升級,尋找更新、更隱蔽的植入點。而且,遠控技術必須超前一步,因其需對抗所有的安全加固系統。
據thehacknews的統計,真實的攻擊約有三成是通過物理接觸實施的,而不是網際網路,遠控不只單是木馬這一種體現形式。隨著微控制器的發展和物聯網的發展,物理接觸式的入侵使網路攻擊邊界模糊,極客技術能力也是滲透測試中的一個重要高度。
5.隱藏。一次真正意義上攻擊從發生至結束,往往不被覺察,安全防護裝置也不能發現;被入侵後還能正常使用,沒有日誌、沒有痕跡、沒有異常;就算有被發現,也無法通過一個IP地址追溯回真實身份。溯源和隱藏是一對相輔相成的技術。溯源、取證技術有多深入,隱藏技術就有多深入。
6.資源掌控。主要是通過自身積累,包括漏洞、資料、路由節點、網路資源、人物勾勒等內容,這些決定了滲透可以覆蓋到的廣度。
7.戰略戰術。這更像是一種全方位的手段,不僅僅在網路戰場,也會有對管理制度缺陷的發現和對人進行社會工程利用、網路釣魚、“內鬼收買”等多種其他手段相配合,這才是真實的網路安全世界。根據thehacknews和ehackingnews等網站的粗略統計,網路安全攻擊事件中一多半以上是利用了人的缺陷,技術並不是主體。
三、結語
網路戰爭隨時隨地都在進行,很可能無聲無息就已經發生在身邊,而我們卻毫無察覺。網路安全面前來不得半點虛假,實戰演練也是。無論是裁判方、防守方還是測試方,都有很長的路要走。去除浮躁,腳踏實地,才能真正應對考驗,真正做到以練備戰。
(本文刊登於《中國資訊保安》雜誌2019年第1期)
宣告:本文來自中國資訊保安,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。