各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第 221期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息。
话题抢先看
1. 今年的HVV攻击手段集中在安全厂商和重要信息系统的0-Day上,大家有没有好的安全措施减少0-Day的安全风险,避免0-Day打穿全网?
2. HVV期间新出现的漏洞,虚拟补丁需要怎么做能达到比较好的效果?
3. 对核心安全区域往往要求执行严格的隔离和出网策略。安全设备相应的补丁更新和安全设备升级工作一般通过代理来进行完成,这样会不会有安全风险?大家有没有好的管理方法?
4. 从基于主机防护的产品是否可以检测并阻断已经攻入内网的红队?
话题一:今年的HVV攻击手段集中在安全厂商和重要信息系统的0-Day上,大家有没有好的安全措施减少0-Day的安全风险,避免0-Day打穿全网?
A1:
管理好互联网暴露面、三方外联、全流量,HIDS这些覆盖度要够,另外就是确保保障人员要尽职尽责。
A2:
现在不都讲纵深防御吗,做方案的时候有考虑安全设备出问题吗?
A3:
计划后续把这块内容放采购合同里,之前考核开发公司,我觉得以后安全公司也得考核。内部品控特别差的,应急态度不积极,该扣款扣款,该中止合作就中止合作。
A4:
上零信任,单包认证,直接隐身。
A5:
安全域隔离,分层防护,或者有能力的,自研安全工具。
A6:
所有组件统统升级到最新,自查一定要彻底,要大领导来推这个。不兼容只是因为技术不够。
A7:
统统升级到最新,像我司基本不可能实现。
A8:
我想的是既然防止0-Day,那就是不是一般的防御需求了,这种高质量的防御需求,一定要用砍骨刀才可能实现,除了足够的外防设备,外部厂商支持足够给力,响应及时;自己内部来说,组件必须维持在较高甚至是最新版本,同时同于引入的开源组件,必须经过Review,套上自己的过滤框架,这样有可能尽量消减0-Day。
A9:
零信任落地的好,对0-Day还是有很好的效果,零信任本身的0-Day又怎么办呢?
A10:
这还是鸡蛋壳思想,当然是自身也得硬气点呀。0-Day多半是穿外面,0-Day哪有直接穿业务的,都是外面穿了,内网裸奔,然后才挂掉。
A11:
差不多,内网的风险治理,推动的阻力很大的,大部分人就是我在内网,修不了。
Q:虚拟补丁是近期流行的概念,目前的虚拟补丁手段一般有封禁IP、Web WAF加规则、IPS旁路阻断、RASP防护规则等,大家觉得HVV期间新出现的漏洞,虚拟补丁需要怎么做能达到比较好的效果?
A12:
虚拟补丁不就类似于IPS,很久了吧。
A13:
本质上还是基于漏洞利用特征的检测,还是存在绕过风险,不能算是补丁。
A14:
这个虚拟补丁的概念是咋出来的,和普通的根据流量、特征识别阻断有什么区别吗?
A15:
主要区别是虚拟补丁是从防守视角,给无法打补丁/无法升级的进行修复的漏洞进行针对性的防护。
A16:
虚拟补丁可以服务器端和主机端双向防护,如果可以根据业务自动对应场景,去阻断攻击场景就好了。
A17:
我觉得HVV这种场景,应该无脑阻断。
A18:
实时监测和分析:持续监测和分析网络中的漏洞;
更新Web WAF规则:HVV期间确保WAF规则库最新,并及时更新以防止新漏洞的利用;
强化IPS:IPS可以帮助检测和阻止恶意流量,包括利用已知漏洞的攻击;
引入RASP技术:提高对新漏洞的识别和修补速度。
Q:对核心安全区域往往要求执行严格的隔离和出网策略。安全设备相应的补丁更新和安全设备升级工作一般通过代理来进行完成,这样会不会有安全风险?大家有没有好的管理方法?
A19:
最大的是时间风险,同时代理误操作与验证有效性可能还是存在风险,在设备较少的情况下,测试环境后,分项目系统手动打补丁验证比较安全,同时业务也能验证可用,设备多就看CMDB配置的颗粒度了。
A20:
说实在的,部署补丁漏洞防护设备是个好选择,但目前云端部署的方式不支持。
A21:
这个问题分两方面。先说第一个,如果采取代理方式,那么瓶颈在代理,可能的风险也是代理服务器出现安全问题。解决方法要确保代理服务器安全性,增加多层安全措施,比如单向传输、最小服务、固定人员访问、减少攻击面等等。好的管理方法有很多,比较直接的会选网络和安全双层隔离。比如VLAN、单向传输、零信任等方式。从实战来说这些都简单有效。感觉这个想问的是核心安全区域的管理手段。
A22:
其实所有的更新都怕被劫持,或者供应链攻击,导致升级本身就有问题,很多验证还短时间没法发现。所以安全真的要靠人,靠人对各类攻击的持续监测和学习,纯的技术框架可以提升基础,在人工智能还没全面起来之前还是只能靠人。
A23:
这个问题,做得好的情况,应该要配置一个运维网段,专门用于这些场景。
A24:
带外管理VLAN,用于网络设备运维。
话题二:大家知道,被红队攻击进来之后,他们是怎么避开安全设备的告警去做一下数据窃取的操作。比如获取到应用服务器的权限之后,去连接数据库,然后做一进步的窃取操作,这种从基于主机防护的产品是否可以检测并阻断呢?因为它的行为也跟管理员的操作行为一样,并没有太多的异常。
A1:
都到内网了,很难,大部分内网防护弱得很。
A2:
核心问题是:你怎么判断什么是正常行为,什么是异常行为。业务部门没有严格的判断条件,你没法做啊。
A3:
内网安全设备,基本就态感这种,几条报警你也不管吧。防火墙开内到外的流量检测,就可以检测到返连软件。
A4:
我们态势每条都得管,你把日常误报的及时处理。
A5:
绕过主机安全进入主机后,第一时间断开主机与安全平台的连线,不会有人注意这台设备与安全设备平台的连线情况的。
A6:
已经进来了做横向渗透,有很多方法限制的,最基础的隔离VLAN你要搞。还有你们其他服务器难道不限制只能堡垒机登录吗?
A7:
我想应该要用APT防御的思路去解决,并不是上个设备,加个策略,做个认证就可以解决的。
A8:
最后一道防线就是主机入侵防护产品,不过如果你有逻辑漏洞、弱口令这种,那就神仙难救。
A9:
我觉得没有防线这一说,既然打到内网,就无所谓防不防了。到内网,我们要做的是及时发现,及时阻断。
A10:
对的,不过光突破内网对我们这种单位有用,但是机密单位的业务网也是做物理隔离的,使用云桌面这种。
A11:
他的假设是其他全摆烂,进内网横向,那就只有主机产品了,正常来说肯定有网络层防护。
A12:
最好是可以精确绘制出他攻击路径图,直接直系旁系通通干掉。
A13:
其实外内网和内网横向很多都是网络层的安全做控制。
A14:
既然已经进入内网开始横向了,就说明他已经做了免杀并且绕过了杀毒。
A15:
微隔离产品是不是就可以比较直观看到它的访问关系?
A16:
那么细的颗粒,简直是运维的噩梦。
A17:
微隔离很难实现,单对单的,等反应过来就晚了。
A18:
主机产品也有行为检测,你要是把文件权限、补丁这些基础打牢,还是有难度的。
A19:
按网段干就完了,主要是你打补丁也是有难度的。
A20:
那只要访问控制就行,微隔离是更细的场景。
A21:
关键还是前期资产梳理、隔离VLAN、访问控制,隔离VLAN了,你完全没法横向。
A22:
上了微隔离,这个不能用,那个被阻断,排错老长时间,运维被骂死。
A23:
网段还要微隔离干啥,直接ACL就好了。
A24:
我意思是不需要隔离,就按网段分,阻断也按网段阻断。
A25:
存量系统不知道调用关系的,只有网络抓包学习访问关系,然后用脚本生成ACL。
A26:
云上的安全组,线下的VLAN的ACL就能实现,或者端口ACL。
A27:
云有时候真的很坑,很多策略排错就是噩梦。
A28:
云节点用自己部署的设备,流量串行过去,否则只能依赖云商配合。
本期观点总结
目前正值HW时期,群内的讨论也大多围绕攻防演练展开。在如何防范0-Day、减少其影响的话题中,大家提出了从管理暴露面、实施纵深防御策略、推行零信任架构等方式进行预防。对于比较流行的虚拟补丁,在实际中要根据业务自动对应场景,并关注其与传统防御方法的区别和有效性。
HW期间,对于已经攻入内网的红队,大家认为可通过APT防御思路、严格访问控制、隔离VLAN甚至是微隔离的方式进行防御和阻断,但微隔离的实施可能会增加运维的复杂度。但总体而言,对于已经进入内网的攻击者,综合多种防御手段,进行实时监测和响应尤为重要。
近期群内答疑解惑
Q:很多安全设备没办法安装Agent,有办法确保安全设备的计算环境安全吗?
A1:
命题有点大啊,确保安全设备的计算环境?无非就是物理环境+环境监控。
A2:
问题聚焦下,比如流量平台、态势感知平台、终端管控平台,如果确保这些服务器的安全呢?边界防护倒是可以做ACL。
A3:
“确保”这俩字太大了,服务器安全隐患有哪些?从底层物理环境到网络层,到传输,到信令指令,到操作系统、数据库、中间件、应用系统,到流程、权限、数据。你需要的是全程。
除了技术层面、监控层面的,还得有管理方面的,比如权限、业务连续性、备份啥的。
A4:
真实情况下,人的因素、管理的因素(如权限、配置)导致的风险更大。边界、传输、数据、系统各种都可以控制好,到具体业务流程级、数据级,人的问题更大。
A5:
如果买的硬件,就让厂商保证,网络和边界自己控制。
A6:
确保那是肯定不行的,现在的安全Agent,也就满足部分的攻击防御、反弹Shell、命令执行之类的。
A7:
不用说确保,只是在各个方面都要有个“基准基线”,Checklist检查,分成不同阶段来提升吧。
Q:SOC 态势感知 XDR 到底有什么区别,从0建运营平台选哪个?
A1:
XDR不应该与EDR进行比较吗?
A2:
EDR只是XDR体系下的一个探针吧。
A3:
网上一直说XDR是下一代SOC。
A4:
目前大部分厂商做的XDR其实就是EDR。
A5:
抛开这些名词,本质上不是你需要在各个节点收集数据,在你的平台关联上下文、聚合分析和快速响应吗,要考虑的是收集哪些数据、怎么收集数据,怎么关联分析提高准确性、怎么展现、怎么自动或者人工响应等等吧。
Q:等保材料中“物理区域列表”中的“物理区域”指的是哪些? 机房、办公室算不算物理区域?
A1:
机房,办公场所都算的。
A2:
物理边界:指通过建立围墙、门禁、视频监控等方式,将安全区域与外部环境隔离开来。走廊、过道,安全交接区等等,看得见摸得着的和你系统相关的,应该都算。
A3:
例如你部署了安防系统,作为内部管理使用,我觉得是算的。
A4:
1.配线间/中间配电设施3.11.1
2.服务器机房/数据中心3.11.2
3.介质储存设施3.11.3
4.证据储存3.11.4
5.限制区和工作区安全3.11.5
6.公用工程和供暖、通风和空调暖通空调3.11.6
7.环境问题3.11.7
8.防火、探测和灭火3.11.8
甲方群最新动态
上期话题回顾:
活动回顾:
活动预告:
近期热点资讯
FreeBuf甲方社群每周开展不同的话题讨论,快来扫码加入我们吧!
【申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入社群】
注:目前1群、2群已满,如有疑问,也可添加Kiki群助手微信:freebuf1024,备注:甲方会员
“FreeBuf甲方群”帮会已建立,该帮会以三大甲方社群为基础,连接1200+甲方,持续不断输出、汇总各行业知识干货,打造网安行业甲方专属资料留存地。现“FreeBuf甲方群”帮会限时开放加入端口,让我们一同加入,共同建设帮会内容体系,丰富学习交流地。
如有侵权请联系:admin#unsafe.sh