白山云安全专家解读：攻防演习下的深度威胁识别

2013年，黑客组织Carbanak攻入乌克兰一家****的系统，实现“线上抢****”。现在，网络安全的攻防博弈愈演愈烈，能否实时发现绕过传统安全防护手段的攻击行为、准确识别深度威胁，成为防守方决胜的关键。针对这一问题，贵州白山云科技股份有限公司（下称“白山云”）安全解决方案专家陈云领用实战经验解读如何“以攻促防”。

一、演习中的攻防博弈

白山云ATD团队总结了以往参加过的国家级、省市级攻防演练的实战经验，我们发现攻防双方具备以下特点：

攻击方：

1)24小时攻击，搭建分布式、自动化漏扫平台，对企业资产不间断扫描；

2)擅长利用框架漏洞攻击，如Jenkins、Weblogic、Struts2、RMI、Jboss、Tomcat、Spring、ActiveMQ、Zabbix等；

3)提权后，通过内网资产探测、内网业务漏洞扫描、主机漏洞扫描、远程控制等手段，获取敏感数据。

防守方：

1）防守方主要依赖安全设备规则，常用手段仍依靠安全运维人员封禁IP；

2）安全防护设备如果需要临时扩容，流程复杂、效率低；

3）依赖大量安全运维人员值守。

网络攻击常见流程

上图是网络攻防战中常见的攻击流程，主要分为信息收集、漏洞分析、渗透测试和后渗透测试阶段。以信息收集为例，主要包括：域名端口信息收集、人员资产信息搜集等。

在攻防演习中，攻击方装备较为精良，且以团队形式作战，通常具有明确的攻击目标，和较强的攻击强度，攻击方式多种多样。而防守方发现即便做了“全面”的安全防护，尤其是针对通讯网络、区域边界、技术环境等，仍有绕过安全设备的威胁存在。

二、防护技术和手段

目前传统安全设备的防护手段都还有进一步提升的空间：

硬件部署：存在性能瓶颈，无法弹性扩容；

依赖现有规则库：包括WAF、IDS、IPS等，定制成本高、维护性差，难以应对因安全运维人员的流动性导致的遗漏，尤其是难以发现未知威胁；

串行部署：串行接入则可能存在接入复杂、存在延迟、兼容性差等问题，有存在中断正常业务的可能；

过度依赖设备指纹：设备指纹存在易被伪造的风险；

过度依赖情报中心：情报中心具有滞后性，无法有效识别首次攻击；

威胁处置灵活性差：无法对现有安全设备进行联动分析。

针对以上问题，白山云ATD团队总结出安全产品应具备一些新特点：

1.支持云化部署，弹性扩容；

2.旁路部署，不影响现有的网络架构；

3.无需在主机、客户终端接入Agent；

4.具备UEBA（用户及实体行为分析），识别未知威胁；

UBA（用户行为分析）最早应用在网站访问和精准营销等方面，后来被移植到网络安全领域，Gartner在UBA的基础上融入实体行为，并认为关注实体行为分析可以更准确地识别威胁。UEBA不只是SIEM的补充，更是理解网络安全的全新方式。

UEBA的前提条件是转换思维，以用户为视角，从基于规则分析到关联分析、行为建模、异常分析，弥补传统SIEM的不足，通过用户实体行为异常分析来检测各种业务与安全风险。

5.应用AI替代人工规则和策略；

AI利用有监督、无监督机器学习算法，对输入数据进行个群对比建模和规律学习建模，无需人工设定规则策略就能够有效识别出异常行为，特别是未知威胁。

6.支持SOAR（安全编排和自动化响应），联动所有安全设备进行威胁处置。

目前在安全事件处置过程中，安全运维人员一般通过安全设备进行简单的阻断、通知、放行等处理。安全事件处置是一个多安全设备协调处理的过程，经过安全识别、确认、阻断、记录等处置阶段，形成威胁处置的闭环。这种背景下，应用安全编排和自动化响应就成为安全团队的必然选择。

三、攻防演习实例详解

在某次攻防演习中，白山云ATD团队基于用户访问行为的攻击链内置模型，成功识别出攻击者绕过防火墙、绕过WAF等安全防护设备的攻击。

攻击链模型

攻击过程如下：攻击者发现网站path路径结尾为.action，初步判断业务后端采用Java语言代码，可能使用了Struts2 框架，采用漏洞扫描工具进行探测是否存在Struts2反序列化漏洞；攻击者通过漏漏洞扫描工具确认网站存在漏洞后，远程执行系统权限命令并开放通信端口，远程登录服务器，进行内网横向渗透测试，尝试连接业务数据库获取敏感信息。

攻击路径

ATD以用户访问行为为视角，基于时间、地点、人/ID、作用域、动作和结果六元组模型，定义行为概念，进行行为建模。ATD具体根据攻击者攻击时间序列变化、攻击源、攻击方式、攻击结果等，精准识别和记录攻击者整个攻击过程，为防守方溯源取证提供了详细的证据。

攻击案例

攻防演习的最终目的在于“以攻促防”，通过攻防对抗，考验防守方的安全防护能力，从而提升对安全事件的监测发现能力和应急处置能力。

除网络攻防演习外，白山云ATD在航空、金融、家电、教育、出版业等领域相关场景下同样得到了广泛应用。

关注公众号“白山云服务”，回复“透视网络攻防”，获取完整PPT内容。

（编辑：东莞站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!