烽火十八台丨一套“外防内控”的安全治理方案,为解决供应链安全问题提供新思路
2021-12-02 16:28:50 Author: www.freebuf.com(查看原文) 阅读量:10 收藏

近年来,供应链网络安全威胁和事件层出不穷,不论是第三方软件存在后门,还是出口安全设备被绕过,攻击者将更多的目光盯在了这些供应链网络资产上,一旦被攻破,将直接威胁到整个网络的安全,让许多企事业单位头疼不已。一方面,供应链攻击可以让攻击者绕开层层封堵的安全防护措施,直接从内网进行破坏,甚至能够在上下游单位间来回渗透;另一方面,由于信息泄露、管控手段覆盖面不足等问题,供应链的安全风险也变得越发复杂且难以控制,成为网络安全管理的一大难题。

供应链攻击:突破口多、破坏力强、波及面广、防范难度大

完整的供应链覆盖了从开发设计到交付实施再到用户使用的各个环节,包含了整个过程中涉及的人员、系统和各项制度规范等内容,牵扯到最终用户和各级供应商,其中每个环节的信息泄露都有可能成为网络攻击的突破口。概括而言,供应链攻击具备突破口多、破坏力强和波及面广等特点,一次成功的攻击通常会威胁到多方面的网络安全,而管理缺失、资产不清、非法接入、地址滥用、弱口令或无鉴权等各种问题则是造成这些风险的主要原因。

常见的供应链攻击手法有如下几类:

◆ 供应链漏洞,利用0day、Nday漏洞突破边界,进行直接、有效的攻击;

◆ 供应链后门,利用预留调试用后门、内置口令等方式进行入侵;

◆ 供应链污染,通过植入木马等方式,对所有用户进行无差别攻击;

◆ 供应链社工,人始终是最大的漏洞,介入人员角色越多、攻击面越大,利用管理的薄弱点进行攻击是最难防范的风险之一。

“旧”的手段和方案无法全面应对“新”的风险与问题

针对供应链的安全风险,当前已有一些解决方案可以在不同阶段来发挥作用。在开发阶段,现在主流的有DevSecOps方法,强调将安全贯穿到从开放到运营过程中的每个环节。这种方法能够解决安全开发的问题,但难点在于周期长、难度大,因此效果也因人而异;在交付阶段,目前有相关的入网检测评估体系和评测机构,但覆盖面仍然不足,支持检测的厂商有限;而在使用阶段,尽管已经有丰富的威胁防御和态势感知体系,但持续性的安全运营需要不断投入,无法确保有效。因此对于用户而言,难以完全避免供应链安全风险,只能将风险进行合理的控制,确保供应链管理信息安全可靠,问题风险安全可控,即保证供应链暴露面的网络安全。

风险暴露面梳理是供应链安全治理的前提

供应链的暴露面主要包含资产的暴露面、风险的暴露面和管理的暴露面,常见的问题有资产管控不当、漏洞修复不及时和敏感信息外泄等,因此从供应链安全的角度,首先要梳理清楚以下要点:

◆ 摸清供应商;

◆ 摸清网络结构,摸清网络资产、工控资产、物联网资产、IT资产;

◆ 摸清资产的组件和密码;

◆ 摸清外网泄露的文档、拓扑、组织架构、代码;

◆ 摸清供应商招聘信息,实时监测和对比供应商商品安全状况;

◆ 摸清单位及其供应商泄露的集团用户电话、邮箱账号、短信和邮件钓鱼事件;

◆ 摸清源代码、VPN、OA等关键系统的泄露信息和漏洞信息。

在此基础上,通过设立对应的安全能力来摸清家底、减少暴露面并加强问题监测与处置,斩断攻击链的路径,是供应链网络安全治理的关键。

基于外防内控的安全治理方案,为解决供应链安全问题提供新思路

针对供应链攻击过程涉及的内外部关键环节,盛邦安全制定了一套基于外防内控的供应链网络安全治理方案。在外部,一方面加强对外网当中供应链敏感信息泄露的监测与清理,另一方面加强对互联网边界暴露面网络资产的探测与监控;在内部,针对内网各网络设备、安全设备和业务系统,进行自动化的渗透测试与综合防护,强化对高危风险的精准发现和对未知威胁的主动防御。除了安全技术的加强之外,在管理上也进行配套的制度和规范设计,针对供应链环节、网络管理和系统管理等层面,设定相应的安全审核制度与安全配置基线,确保技术与管理并行强化。同时再通过引入多维度的安全服务能力,提升常态化的风险管理能力与实战化的安全保障能力。

【监控敏感信息,消除泄露风险】

针对互联网当中可能泄露的敏感信息,例如招投标信息、源代码信息、网络结构信息和个人联系信息等,可以通过互联网敏感信息监测系统进行有效的发现与处置。一方面利用自动化的平台监测能力来实现分钟级的发现效率,为应急处置争取足够的响应窗口;另一方面根据发现的数据结果来进行快速处置与清理,确保威胁隐患得到消除。

【梳理暴露资产,厘清安全边界】

对于网络当中运行的资产,可以采用网络空间资产探测系统进行精准梳理和安全检查。一方面对互联网暴露面进行排查,发现非法开放的端口服务和信息系统;另一方面针对内网进行全面探测,获取设备类型、系统组件、应用版本和网络环境等基本属性,形成清晰的资产台账,并依靠丰富的漏洞库及监测技术来对设备风险进行排查。

【严控资产入网,提升防护强度】

针对资产的管控,可以利用网络资产安全治理平台与防火墙、入侵防御系统的联动来进行实现。对于新接入的资产,通过资产梳理进行画像分析,确定入网条件并调用网关设备进行访问控制;对于存在问题的资产,通过资产监测进行安全分析,确认问题风险并调用防护设备进行快速处置。

方案核心技术

【供应链敏感信息泄露监测技术】

根据用户相关的线索信息,例如供应商信息、组织信息、网络信息等关键词,利用信息泄露监测引擎在各种知识库、文库、网盘云盘、网站和第三方代码平台等位置进行实时监测,发现并提取用户相关的敏感信息,例如泄露的邮箱、电话、招标信息或源码信息等,之后再利用智能的数据处理算法进行降噪处理和关联分析,从而找出准确的泄露信息,之后再及时进行预警与清理。

【网络暴露面资产探测技术】

通过主动探测的方式,一方面对用户网络暴露面上存活的资产进行发现,并利用丰富的资产指纹信息对其进行识别与画像分析,另一方面从行业维度、地域维度和运营维度对其组织结构进行梳理,进一步完善暴露面资产信息,最后再利用资产脆弱性检测能力对暴露资产的敏感端口、风险服务以及弱口令、漏洞等风险进行摸排,最终找到暴露面的未知资产、违规在运资产、过期未退运的资产、高危资产以及非必要开放的服务等风险,并及时进行整改或下线等处置。

【自动化的网络安全侦测技术】

按照目标侦查、风险排查、风险确认和渗透利用的逻辑,逐层递进的发现可利用风险,并利用渗透后获取的权限进一步执行本地的痕迹调查与取证工作,最终指导系统完成安全加固工作。侦测的准确性一方面依赖对特定系统和热点漏洞的检测能力跟踪,另一方面依赖安服渗透人员的经验转化,将渗透能力高度集成化和自动化。

【业务安全综合加固技术】

针对传统的安全防护体系,重点补充威胁情报、蜜罐保护、隐蔽通道检测和非法外联检测的能力,提升对未知威胁、隐蔽威胁和内网横向渗透威胁的发现与防御效果,从而提升整体的主动防护能力,做到综合加固。

【实战化的安全服务能力】

利用实战化的安全服务能力来辅助整套方案进一步提升,结合多年来原创漏洞的挖掘积累和丰富的攻防演练实战经验,我们可以为用户定制针对性的安全能力提升方案,包括安全培训、安全意识的训练、攻防演练的模拟等,使用户在人员、管理和技术上都能得到整体的提升。

方案核心价值

【内外部持续监测,让供应链安全更清晰】

本方案提供的监测能力既可以帮助用户监测自身暴露面的安全风险,又可以监测互联网当中其他位置可能暴露的风险因素,用户可以全面和直观的监控供应链安全状态,及时做出清晰准确的判断。

【自动化工具的配合,让渗透测试更高效】

本方案提供的检测能力将复杂的暴露面排查和渗透测试变得自动化和简单化,可以让用户在人员力量有限的情况下仍能开展高级渗透测试,一方面减少了专业人员成本的反复投入,另一方面也通过自动化工具的实现提升了整体的工作效率。

【新安全技术的应用,让安全防护更有效】

本方案提供的威胁检测与防御能力,可以对传统安全手段做进一步的补充,提升对复杂威胁、隐蔽威胁和未知威胁的预警与处置能力,使安全防护工作更加主动有效。

相关产品

互联网敏感信息监测系统(RaySIN)

网络空间资产探测系统 (RaySpace)

网络安全单兵侦测系统(RayBox)

诱捕防御与溯源分析系统(RayTRAP)

点击查看原文


文章来源: https://www.freebuf.com/articles/network/306866.html
如有侵权请联系:admin#unsafe.sh