这是一个最好的时代。
万物互联的不断加深使人们的生活更加便利,大数据技术的应用让社会发展更加高效……
但,这也是一个最坏的时代。
随着万物之间的链接逐渐增多,网络安全问题也日趋严重。随着2017年Wannycay勒索病毒席卷全球,成千上万的计算机遭受了严重影响,网络安全事件频发,严重威胁着个人、企业乃至国家安全。
如今我们所面临的网络威胁不再是简单的木马病毒,而是0Day、APT、社工、潜伏等攻击手段,面对这些新兴的攻击,传统的防御体系已很难达到效果,容易产生很多漏报、误报等问题。
针对这些新兴威胁,本期滴滴安全说我们请来了默安科技CTO云舒以及360无线电安全研究部天马安全团队负责人柴坤哲。
两位大咖分别从《企业内部的欺骗防御体系》及《看得见的无线安全》的议题为我们带来了分享,讲述企业应该如何突破正面防御框架,通过欺骗、引诱的方式,以退为进,更柔性的从业务层面发现入侵行为并溯源。
对于目前的网络安全态势及攻击手段,两位大大在演讲中都认为:在目前的网络安全形势下,大企业被入侵是不可避免的,所以企业要随时做好被入侵的觉悟与准备。然而企业所要做的就是在被入侵后,以欺骗性的方式给予攻击者虚假的情报,让攻击者一步步步入我们所好设置的陷阱中,并通过某些手段阻断信息的对外传输,甚至是通过一些反攻击手段获取到攻击者的个人信息,以便于溯源出攻击者。
防守中的反击 追源溯本吓退攻击者
柴坤哲在演讲中提到,对于企业无线安全的建设中我们首先要想清楚几个问题:攻击者有没有突破边界?是通过什么手段突破的边界的?他们想做什么?想要什么?利用了哪些工具?且攻击者又是谁?
针对这几个问题,柴坤哲认为在企业级的无线防御中,虽然部分厂商已经推出基于空口抓包的WIPS(无线入侵防御系统),但光是依靠现有的WIPS是不够的。企业还需利用无线网络的特性,在无线边界处制造无线蜜罐来进行欺骗性防御,利用Windows/Linux高交互式蜜罐拖延攻击者时间并捕获样本,且在安全防御中可以加入如水坑攻击的手段,在诱导黑客攻击蜜罐机的同时设置陷阱,获取黑客个人信息、样本信息并联动威胁情报,才能让黑客无所遁形。
对于企业无线安全全局建设来说,首先就是要全面杜绝公司内部中私建热点、私接路由的行为,并成立相应的无线安全工作流程,对于内部的WiFi热点要做到全局掌控,且杜绝弱密码;同时,无线安全产品也需要与公司内部的其他安全防御产品进行协同的联动防御,才能在攻击者到来时保障企业无线网络的牢固防线。
虚假情报部署 让攻击者晕头转向
而在云舒的演讲部分中他提到,虽然目前有很多IDS/IPS类似的内网产品,但是此类产品都是基于规则或是单纯“技术上”的行为进行防御的判断,且误报与漏报极多。而且对于新兴的攻击手段,传统的防御也很难去发现它们。
所以在分析了黑客的攻击行为与手法后,了解到攻击者其实更愿意去攻击企业中比较脆弱的对外部门,例如HR或是客服等。因为他们既不懂技术网络安全风险意识也并没有那么的强。而且因为对外业务的需要,会经常打开邮件中如简历一类的邮件附件,以保证攻击者渗透的成功率。
所以对于这种情况,我们所需要做的就是在相应业务部门上生成欺骗信息并指向蜜罐或伪装代理。
首先,我们需要在攻击者入侵后所达到的第一层设置及部署虚假情报。因为很多黑客在初步渗透进企业后便会开始收集更多的URL、密码等企业内部情报信息,而我们通过一些虚假的信息可以诱导攻击者产生错误的判断或通过虚假情报将重要信息指向蜜罐或伪装代理,让攻击者误入歧途。
其次,我们还需要通过分布式伪装代理等方式将蜜罐的覆盖范围加大,让攻击者根本无法分清到底哪个才是“真正的目标”。在诱导攻击者进入伪装后的“小黑屋”后,我们便可以监控其行为并阻断其对外信息的传输。
当然,云舒在演讲中也提到其实仅用这种诱导式的欺骗性防御方式并不足以保障企业整体的安全,还需要通过一些其他安全产品及威胁情报来进行配合,以奇取胜,才能达到最佳效果。
最后,我们来看看本次安全说的火爆程度↓↓
同时,也感谢以下合作伙伴与媒体对安全说一直以来的支持与帮助!
