青藤云安全：如何用主動(dòng)狩獵保護核心系統

三年前，青藤參加攻防實(shí)戰演練，也是我首次作為公司攻防實(shí)戰行動(dòng)的負責人深度參與到該行動(dòng)中來(lái)。三年來(lái)，我去過(guò)數百個(gè)攻防實(shí)戰客戶(hù)現場(chǎng)，既有安全建設水平非常高，甚至是武裝到“牙齒”的組織機構，當然也接觸過(guò)安全人員和建設都處于比較初級階段的機構。

從2016年到2020年攻防實(shí)戰行動(dòng)整體都發(fā)生了巨大變化，執行力度逐年增強?？偟脕?lái)說(shuō)，呈現出攻擊力度越來(lái)越強，攻擊點(diǎn)的范圍越來(lái)越廣，防護難度越來(lái)越大的特點(diǎn)?？梢灶A見(jiàn)的是，2021年即將到來(lái)攻防實(shí)戰行動(dòng)，防守方將面臨巨大挑戰。那么，矛與盾的對抗，防守者真的一定處于弱勢地位嗎？如何用有限的資源去對抗無(wú)限的攻擊呢？

在時(shí)間緊、任務(wù)重的背景下，修建固若金湯的防線(xiàn)顯然是不太現實(shí)。那么企業(yè)除了基礎安全加固，包括弱密碼、管理后臺暴露、重要服務(wù)器未打補丁等之外，有沒(méi)有在短時(shí)間、低投入下可以少扣分，多加分的辦法？

方法顯然是有的。通過(guò)威脅狩獵，可以實(shí)現該目標。威脅狩獵可以分為主動(dòng)狩獵和被動(dòng)狩獵。主動(dòng)狩獵始于“假設”，然后確定邊界范圍開(kāi)始狩獵。通常意義上威脅狩獵指的都是主動(dòng)狩獵，下文所說(shuō)的也是主動(dòng)狩獵。

威脅狩獵核心宗旨是減少發(fā)現攻擊者蹤跡所需時(shí)間，降低事件響應時(shí)間，降低其對組織機構影響。正如下圖所示，攻擊時(shí)間軸包括幾個(gè)關(guān)鍵時(shí)刻，威脅狩獵減少是T=1和T=2兩點(diǎn)之間時(shí)間差。

主動(dòng)狩獵是指通過(guò)主動(dòng)查找IT基礎設施中存在惡意活動(dòng)，尤其是在攻擊者使用了新的、經(jīng)過(guò)改進(jìn)的或者未知的攻擊技術(shù)，例如無(wú)文件攻擊等，可以發(fā)揮出比較高價(jià)值。

威脅狩獵是一個(gè)循環(huán)迭代的過(guò)程（如下圖所示），來(lái)尋找隱藏在數字資產(chǎn)中攻擊。威脅狩獵從“假設”開(kāi)始。例如：

“是否有一個(gè)攻擊者隱藏在這里”

“如果我是一個(gè)攻擊者，我會(huì )這樣做”

“核實(shí)一下攻擊者是否已經(jīng)在自己內網(wǎng)站穩了腳跟?！?/p>

一、定邊界：核心系統和集中管控系統需要“大”投入

正如上文所說(shuō)，主動(dòng)狩獵一定是始于“假設”，因此需要先確定狩獵的邊界范圍。顯然，在攻防實(shí)戰期間，主動(dòng)狩獵并不適用于所有資產(chǎn)，只能“抓大放小”。在資源有限的前提下，重點(diǎn)關(guān)注企業(yè)核心的“神經(jīng)中樞系統”，包括OA系統、郵件系統、工單系統、系統、工控系統等。此外還需要重點(diǎn)關(guān)注集中管控系統，其重要性不言而喻，一旦攻陷單系統即獲得公司內大部分系統的權限，包括域控、堡壘機、云管平臺等。

此外，對于一些核心系統周邊的供應鏈安全管理也不容忽視。一定要篩查和關(guān)閉為供應商開(kāi)啟的VPN、遠程接入通道、特權賬號等，清理重要系統開(kāi)發(fā)運維人員個(gè)人終端上存儲的敏感資料。千里之堤，毀于蟻穴，如果因為供應鏈安全基礎工作沒(méi)做好，而導致核心系統被拿下，那就得不償失了。

二、看指標：通過(guò)精準化的威脅模型第一時(shí)間發(fā)現入侵

核心系統是重中之重的皇冠珍珠，如果一旦被攻破，結果輕則批評通報，重則崗位不保。

針對關(guān)鍵資產(chǎn)（核心系統和集中管控系統）保護常見(jiàn)的思路包括對系統本身采用白名單策略和對試圖想訪(fǎng)問(wèn)核心系統系統、核心管控系統進(jìn)行嚴控。例如，核心系統只允許堡壘機IP能夠訪(fǎng)問(wèn)，盡早刪除不必賬戶(hù)，所有賬戶(hù)使用“強”口令登錄（十六位隨機密碼 隨機6位KEY）。

另外，以堡壘機為代表的集中管控系統，則可以采用白名單IP 強密碼 令牌的登錄方式。對于其它一些重要神經(jīng)系統，包括控制臺，運維系統等，可集中到堡壘機登錄。對于部分無(wú)法使用堡壘機登陸的系統可采用白名單IP 強口令策略 隨機驗證碼組合策略。

在對核心系統實(shí)施白名單和嚴控策略之后，還需要通過(guò)狩獵工具，例如青藤獵鷹等，對核心系統機器每天的行為進(jìn)行持續監控。通過(guò)主動(dòng)狩獵來(lái)保護核心資產(chǎn)最重要的一條準則就是要關(guān)注微指標，包括進(jìn)程創(chuàng )建、網(wǎng)絡(luò )連接、命令執行、DNS請求等。

例如，針對需要重點(diǎn)防護的資產(chǎn)和核心系統，可通過(guò)對其訪(fǎng)問(wèn)關(guān)聯(lián)關(guān)系，建立威脅模型或者基線(xiàn)，以此對攻防實(shí)戰期間的資產(chǎn)異常變動(dòng)和訪(fǎng)問(wèn)進(jìn)行檢測。

總得來(lái)說(shuō)，在實(shí)戰對抗中，攻擊方是占優(yōu)勢的。攻擊者一旦進(jìn)入內網(wǎng)，在內網(wǎng)駐留時(shí)間越長(cháng)，就對網(wǎng)絡(luò )越熟悉。攻擊方做一個(gè)動(dòng)作就被發(fā)現，可以采取策略避免做這個(gè)動(dòng)作，就變成攻擊時(shí)間越久就對防守方的業(yè)務(wù)環(huán)境越熟悉。但是防守方原地踏步，因為防守方從頭到尾都在盯著(zhù)告警。而很多情況是，攻防演練第二周之后告警就沒(méi)了，一切都靜悄悄的，安靜的讓人害怕。青藤威脅狩獵平臺提供給了防守方一個(gè)有力的“武器”，能夠在與黑客對抗中不斷地了解黑客。

比如，當發(fā)現一臺機器被黑了的時(shí)候，可以調查這臺機器，發(fā)現黑客的手段和方法，再把這些手段和方法在更多機器上分析，就可能從1臺機器發(fā)現3臺，3臺里繼續收集攻擊隊攻擊手法，有可能又發(fā)現20臺。如此循環(huán)滾動(dòng)，像滾雪球一樣，只要被防守方逮到一個(gè)線(xiàn)索，它像一個(gè)線(xiàn)頭一樣不斷抽、不斷滾動(dòng)，把攻擊方在內網(wǎng)控制的機器以及內網(wǎng)最初的切入點(diǎn)都給找出來(lái)，這是青藤威脅狩獵平臺（THP）賦予防守方的能力，讓攻防開(kāi)始對等起來(lái)。

因此，威脅獵人不能只是簡(jiǎn)單地執行有限的、不變的狩獵場(chǎng)景實(shí)例模型。否則，攻擊者只需要切換技術(shù)就可以逃過(guò)“雷達”監控。相反，威脅獵人需要持續更新生成威脅模型，才能真正體現“人”的價(jià)值。當然，威脅狩獵工具可以簡(jiǎn)化該過(guò)程。如果某些用例產(chǎn)生特別明顯的結果，則可以將其反饋到自動(dòng)化中，在將來(lái)以更高的優(yōu)先級向威脅獵人突出此類(lèi)情況，或者只是在將來(lái)加快執行速度。

三、場(chǎng)景案例：發(fā)現異常連接核心系統行為

在強攻防對抗場(chǎng)景下，幾乎沒(méi)有任何安全規則可以完全適配客戶(hù)場(chǎng)景。通過(guò)主動(dòng)威脅狩獵產(chǎn)品青藤獵鷹，可以在迅速根據客戶(hù)業(yè)務(wù)環(huán)境、數據和業(yè)務(wù)特點(diǎn)，迅速形成威脅模型，使得告警少而精，價(jià)值非常高，這樣，威脅模型會(huì )完全匹配客戶(hù)場(chǎng)景。下面展示一個(gè)簡(jiǎn)單威脅建模場(chǎng)景：

在攻防對抗中，監測到存在異常連接訪(fǎng)問(wèn)核心系統的行為。

狩獵階段-確定邊界：是否存在可疑IP連接核心系統。確定所需數據源、所采用分析技術(shù)。

狩獵階段-狩獵執行：通過(guò)一定工具，進(jìn)行威脅狩獵活動(dòng)。因為訪(fǎng)問(wèn)核心系統服務(wù)器的連接行為是相對穩定，因此只需要將訪(fǎng)問(wèn)連接的增量IP單獨篩選出來(lái)做一個(gè)人工判斷，基于新增IP方向看對應進(jìn)程。

完成階段-文檔化結果：將狩獵結果文檔化，反哺威脅情報，重點(diǎn)監控這些可疑IP，或者直接采取相關(guān)阻斷行為。