《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 【零信任】黑客攻擊鏈 v.s. 零信任

【零信任】黑客攻擊鏈 v.s. 零信任

2021-04-21
作者: 冀托
來源: 白話零信任
關(guān)鍵詞: 零信任 黑客攻擊鏈

  美國最大的軍火商,,也是頂級的網(wǎng)路戰(zhàn)公司,,洛克希德馬丁公司提出的“攻擊鏈”模型認(rèn)為,一次成功的黑客攻擊一般都會經(jīng)歷以下這7個步驟:

  1,、偵察

  2,、準(zhǔn)備武器

  3、投放武器

  4,、滲透攻擊

  5,、植入后門

  6、控制

  7,、目標(biāo)行動

  1.png

  這7步環(huán)環(huán)相扣,,完整地描述了黑客進(jìn)攻的一般規(guī)律。

  了解攻擊鏈模型,,可以幫助我們了解如何防御黑客的進(jìn)攻,。

  從防御的角度看,如果想阻止一次網(wǎng)絡(luò)攻擊,,那就必須打斷攻擊鏈中的一步或幾步,。打斷的步驟越多,防御體系越全面,,黑客攻擊的成功率就越低,。最新一代的綜合多層防御體系就是“零信任”體系。

  下面就來介紹攻擊鏈模型中,,黑客每一步會如何攻擊,,我們一般要如何防御,以及零信任在不同階段如何發(fā)揮其獨(dú)特的作用,。

  1,、偵察

  任何攻擊的第一步都是收集信息,了解目標(biāo)的弱點(diǎn),。

       攻擊:

  黑客可以從公開渠道收集信息,。例如,

 ?。?)WHOIS查詢域名注冊信息

 ?。?)百度、谷歌搜索目標(biāo)公司信息

 ?。?)SHODAN上搜索目標(biāo)服務(wù)器信息

 ?。?)查看公司官網(wǎng)

  公開信息搜集完成,下一步就是直接去掃描目標(biāo)的服務(wù)器,。

 ?。?)NMAP掃描IP段和開放的端口

  (2)Banner信息抓取

  (3)漏洞掃描(通常漏洞掃描行為都太明顯了,,所以目前很多黑客都會縮小范圍,、降低掃描速度,,以防被發(fā)現(xiàn))

  防御

  公開渠道的保密工作:

 ?。?)不在招聘網(wǎng)站、微博上暴露自家的機(jī)密

 ?。?)不在官網(wǎng)的錯誤提示中暴露服務(wù)器信息

  服務(wù)器的防護(hù)措施:

 ?。?)服務(wù)器上不必要的端口一定要關(guān)掉。端口開的越少,,攻擊者可以利用的入口就越少

 ?。?)采用蜜罐產(chǎn)品,可以用來吸引黑客,,轉(zhuǎn)移攻擊目標(biāo),,讓黑客暴露自己

  (3)帶IPS(入侵防御)的防火墻產(chǎn)品可以過濾一些威脅,,監(jiān)測黑客的掃描行為

 ?。?)一些黑客會通過TOR網(wǎng)絡(luò)連接或多層代理跳轉(zhuǎn)連接過來,大多數(shù)下一代防火墻都可以阻斷一些已知的惡意IP

  零信任

  之所以黑客可以偵察到信息,,是因?yàn)榉?wù)器對陌生人是默認(rèn)信任的,,除非發(fā)現(xiàn)異常才進(jìn)行防御。

  而零信任默認(rèn)對任何人都不信任,,陌生人必須驗(yàn)證自己的身份之后,,才能看到服務(wù)器的信息。所以,,在合適的場景下,,零信任體系可以完美地對抗攻擊者的偵察行動。

 ?。?)零信任體系中一般有一個零信任網(wǎng)關(guān)作為網(wǎng)絡(luò)的統(tǒng)一入口,。

  (2)零信任網(wǎng)關(guān)平時不對外映射任何端口,,合法用戶通過私有協(xié)議通知網(wǎng)關(guān),,網(wǎng)關(guān)驗(yàn)證用戶身份后,才會對合法用戶的IP開放指定端口,。

 ?。?)對沒有合法身份的人來說,零信任網(wǎng)絡(luò)是完全不暴露任何端口的,。

  黑客一般都會尋找有價值的目標(biāo)下手,。如果使用了零信任體系,那么正在尋找目標(biāo)的攻擊者很可能會發(fā)現(xiàn)偵察不到什么信息,然后轉(zhuǎn)向其他目標(biāo),。

  2,、準(zhǔn)備武器

  知道目標(biāo)的弱點(diǎn)之后,就可以針對弱點(diǎn)準(zhǔn)備攻擊用的工具了,。

  攻擊

  制作攻擊工具的方式很多,,下面是一些常見的:

  (1)用Metasploit框架編寫一些攻擊腳本

 ?。?)Exploit-DB上查詢已知的漏洞

 ?。?)用Veil框架生成可以繞過殺毒軟件的木馬

  (4)用各類社會工程學(xué)工具制作釣魚網(wǎng)站

 ?。?)其他如CAIN AND ABEL,、SQLMAP、AIRCRACK,、MAL TEGOWEB APP,、WAPITI、BURPSUIT,、FRATRAT等等不一一說明了,。

防御

  黑客可以準(zhǔn)備攻擊工具,我們可以準(zhǔn)備防御工具:

 ?。?)補(bǔ)丁管理:時至今日,,大部分的攻擊還是針對漏洞的,補(bǔ)上就沒漏洞了,,沒漏洞就不會被攻擊了

 ?。?)禁用office宏,瀏覽器插件等等

 ?。?)安裝殺毒軟件,,部署防毒墻

  (4)IPS上設(shè)置檢測規(guī)則,,以便檢測攻擊行為

 ?。?)郵件安全產(chǎn)品,檢測釣魚郵件

 ?。?)敏感系統(tǒng)開啟多因子認(rèn)證

 ?。?)開啟服務(wù)器的日志審計(jì)功能

零信任

  零信任需要部署客戶端和網(wǎng)關(guān),為后續(xù)的攻擊做好準(zhǔn)備

 ?。?)零信任需要部署網(wǎng)關(guān),,作為網(wǎng)絡(luò)的統(tǒng)一入口

  (2)零信任一般會要求用戶安裝一個客戶端,,以便進(jìn)行設(shè)備檢測

 ?。?)還可以提前收集數(shù)據(jù),,分析用戶行為習(xí)慣,建立行為基線

  3,、投放武器

  有針對性地將武器(惡意代碼)輸送至目標(biāo)環(huán)境內(nèi),。

  攻擊

  不同的投放方式:

  (1)網(wǎng)站:感染用戶常用的網(wǎng)站,,以便傳播木馬或病毒

 ?。?)郵件:偵察階段如果發(fā)現(xiàn)目標(biāo)公司有合作伙伴的話,黑客可以偽裝成合作伙伴發(fā)送郵件,,郵件附帶病毒,,公司的小白員工很可能就上當(dāng)了

 ?。?)USB:U盤病毒越來越少見了

  防御

 ?。?)郵件安全檢測產(chǎn)品,可以識別垃圾郵件,,把來自惡意IP郵件會被屏蔽掉,,把沒有合法數(shù)字簽名的郵件屏蔽掉,這樣可以減少病毒的傳播

 ?。?)上網(wǎng)行為管理產(chǎn)品,,屏蔽惡意網(wǎng)站,避免員工亂下載東西

 ?。?)關(guān)閉USB,,或者不給用戶管理員權(quán)限,可以避免大部分USB病毒傳播的情況

 ?。?)DNS過濾,,在DNS解析時過濾惡意域名,可以阻斷病毒利用Https協(xié)議通信

  零信任

  零信任客戶端持續(xù)對用戶進(jìn)行檢測,,檢測合格了才允許接入零信任網(wǎng)絡(luò),。

  電腦上如果存在惡意代碼或者可疑進(jìn)程,零信任會對用戶的可信等級進(jìn)行降級,。信任等級低的用戶不能連接敏感度高的業(yè)務(wù)系統(tǒng),。

  這樣,就可以大大降低病毒木馬在企業(yè)內(nèi)部傳播的可能性,。

  4,、滲透攻擊

  利用漏洞或缺陷觸發(fā)已經(jīng)投放的惡意代碼,獲得系統(tǒng)控制權(quán)限,。

攻擊

 ?。?)緩存溢出攻擊

  (2)SQL注入攻擊

 ?。?)運(yùn)行木馬,、惡意軟件

 ?。?)在客戶端執(zhí)行Javascript惡意代碼

  防御

  如果黑客已經(jīng)到了可以執(zhí)行惡意代碼這一步了,那么我們剩下的防御手段也就不多了

 ?。?)DEP(數(shù)據(jù)執(zhí)行保護(hù))可以檢測內(nèi)存中是否有惡意代碼正在執(zhí)行

 ?。?)有些殺毒軟件會監(jiān)測內(nèi)存,攔截惡意的漏洞利用行為

 ?。?)檢測沙箱技術(shù),,可以讓軟件在模擬環(huán)境里運(yùn)行,通過對軟件的行為進(jìn)行分析,,進(jìn)而識別惡意軟件

  零信任

  零信任的主要針對網(wǎng)絡(luò)內(nèi)連接的管控,,端上的安全需要與傳統(tǒng)產(chǎn)品進(jìn)行集成。

  5,、植入后門

  植入惡意程序及后門,,以后即使漏洞被修復(fù)了或者系統(tǒng)重啟了,黑客還可以利用后門進(jìn)來持續(xù)獲得控制權(quán)限,。

  攻擊

 ?。?)DLL劫持,替換正常的DLL,,每次運(yùn)行都會執(zhí)行惡意操作

 ?。?)meterpreter或類似的攻擊載荷可以在觸發(fā)漏洞后能夠返回一個控制通道

  (3)安裝一個遠(yuǎn)程接入工具

 ?。?)修改注冊表,,讓惡意程序自動啟動

  (5)利用PowerShell運(yùn)行惡意代碼

  防御

 ?。?)Linux上可以利用chroot jail隔離惡意程序,,限制它的訪問權(quán)限

  (2)Windows可以關(guān)閉Powershell

 ?。?)建立應(yīng)急響應(yīng)機(jī)制,,發(fā)現(xiàn)威脅時,隔離設(shè)備,,遠(yuǎn)程擦除設(shè)備上的信息

 ?。?)日常備份,被入侵后可以恢復(fù)到正常狀態(tài)

  零信任

  大部分零信任架構(gòu)都會融入UBA/EDR方案,,監(jiān)控系統(tǒng)上是否有惡意程序安裝,、是否發(fā)生了異常行為、注冊表是否發(fā)生改變,。

  如果發(fā)現(xiàn)了入侵跡象,,將記錄日志并發(fā)出告警,嚴(yán)重時在零信任網(wǎng)關(guān)上執(zhí)行相應(yīng)的隔離策略,。

  6,、指揮控制

  到了這一步,,服務(wù)器已經(jīng)完全被黑客控制了,被控制的服務(wù)器可以立即執(zhí)行攻擊,,也可以等待來自黑客遠(yuǎn)端服務(wù)器的進(jìn)一步指令,。

    攻擊 

  被控制的服務(wù)器與外部的指揮控制(command & control)服務(wù)器建立加密的通信連接。

    防御

  限制異常通信

 ?。?)網(wǎng)絡(luò)分段隔離可以限制設(shè)備的訪問權(quán)限,,阻斷黑客的通信

  (2)通過異常行為日志及時發(fā)現(xiàn)攻擊者和被入侵的設(shè)備

 ?。?)下一代防火墻可以攔截已知的C&C服務(wù)器的通信

 ?。?)有些DNS提供僵尸網(wǎng)絡(luò)和C&C服務(wù)器的攔截功能,有些攻擊者或利用fast flux技術(shù)躲避攔截,,阻斷對新出現(xiàn)的域名的訪問,,可以有效阻斷這類遠(yuǎn)程訪問

  (5)利用下一代防火墻的應(yīng)用層管控功能,,阻斷非必要的telnet,、ssh、rdp,、netcat、powershell的通信,,如果確實(shí)需要用的話,,一定要做IP白名單限制

  (6)黑客一般會對通信進(jìn)行加密,,使用SSL深度包檢測(DPI)技術(shù)可以檢測每個數(shù)據(jù)包的內(nèi)容

 ?。?)IOC(失陷指標(biāo))是一種用來發(fā)現(xiàn)入侵的工具,在主機(jī)或網(wǎng)絡(luò)上出現(xiàn)IOC時,,代表主機(jī)可能被入侵了,,IOC可以通過本地agent收集

  零信任

  零信任架構(gòu)中的微隔離模塊可以對網(wǎng)絡(luò)進(jìn)行更細(xì)粒度的隔離。

 ?。?)平時對設(shè)備的訪問權(quán)限進(jìn)行白名單機(jī)制的管控,,默認(rèn)不允許設(shè)備訪問未知IP,即使被黑客入侵了,,也無法與C&C服務(wù)器的通信

 ?。?)被感染的設(shè)備被檢測到之后,會被完全隔離,,只留一個端口用來確認(rèn)設(shè)備是否恢復(fù)正常,,正常后才能繼續(xù)接入零信任網(wǎng)絡(luò)

  7、目標(biāo)行動

  開展直接的入侵攻擊行為,,竊取數(shù)據(jù),、破壞系統(tǒng)運(yùn)行,,或者在內(nèi)部網(wǎng)絡(luò)進(jìn)一步橫向移動。

  攻擊

  攻擊者進(jìn)攻的目的可能是為了金錢,、為了政治,、從事間諜活動,或者內(nèi)部惡意破壞等等,。

 ?。?)拖庫,竊取機(jī)密文件,,竊取重點(diǎn)人員的郵件,、聊天記錄

  (2)掃描整個內(nèi)網(wǎng),,以受控主機(jī)為跳板,,橫向攻擊更重要的系統(tǒng)

     防御

  (1)DLP數(shù)據(jù)防泄密工具可以保護(hù)本地?cái)?shù)據(jù),,禁止數(shù)據(jù)通過網(wǎng)絡(luò)傳輸離開設(shè)備

 ?。?)UBA可以分析用戶試圖竊取數(shù)據(jù)的行為

  零信任

  零信任的理念就是假設(shè)設(shè)備最終大概率都會進(jìn)入攻擊鏈的最后一步,被入侵,。所以,,任何設(shè)備都是不可信的。除非設(shè)備能證明自己是安全的,,才能獲得接入網(wǎng)絡(luò)的權(quán)力,。

  用戶的每一次訪問請求(per request)都會被檢測。用戶的訪問請求到達(dá)零信任網(wǎng)關(guān)時,,網(wǎng)關(guān)會對請求進(jìn)行一系列的檢查,。

  (1)檢查是否包含敏感數(shù)據(jù),,包含的話,,會依據(jù)后臺規(guī)則進(jìn)行阻斷或日志記錄

  (2)檢查此次行為與之前的用戶行為習(xí)慣是否相符,,如不相符,,則立即觸發(fā)強(qiáng)認(rèn)證,用戶需要輸入短信驗(yàn)證碼進(jìn)行驗(yàn)證,,才能繼續(xù)訪問其他資源

  零信任會對每個服務(wù)器做細(xì)粒度的訪問控制,。即使一個服務(wù)器被攻陷,也不會在內(nèi)網(wǎng)大面積蔓延,。

  總  結(jié)

  攻擊鏈不只是揭示黑客如何進(jìn)攻的模型,,也是一個安全規(guī)劃的藍(lán)圖。

  對照攻擊鏈模型,,可以發(fā)現(xiàn)零信任是一個非常全面的防御體系,。零信任可以切斷黑客攻擊鏈上的多個關(guān)鍵節(jié)點(diǎn),。

  1、偵察階段,,可以隱藏服務(wù)器信息,,極大減少信息暴露

  2、投放武器階段,,可以通過對設(shè)備可信等級的檢測,,及時隔離威脅,減少病毒木馬的傳播

  3,、植入后門階段,,可以通過對終端行為的檢測,及時發(fā)現(xiàn)威脅,,并進(jìn)行響應(yīng)

  4,、指揮控制階段,可以通過白名單策略,,默認(rèn)阻斷被入侵設(shè)備與遠(yuǎn)端服務(wù)器的通信

  5,、目標(biāo)行動階段,可以通過微隔離手段限制黑客進(jìn)一步的橫向攻擊


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]