在第十届互联网安全大会(ISC)金融数字安全建设论坛上,悬镜安全华南区技术合伙人李浩应主办方的特别邀请,发表了主题为“从BAS视角看积极防御体系实践”的演讲。
图1悬镜李浩在ISC金融数字安全建设论坛发表演讲
以下为演讲实录:
我是悬镜安全的李浩,很荣幸参加ISC金融数字安全建设论坛,分享我们悬镜在BAS领域的研究成果和实践经验,并与大家一起从BAS的视角探讨积极防御体系建设。
BAS概念是Gartner在年发布的八大安全和风险管理趋势中的第七个,即入侵和攻击模拟。
攻击模拟的概念早已为行业内所熟识,以黑盒技术为主,包括通过渗透测试、红蓝对抗的方式去模拟真实攻击,从而验证企业组织安全体系的有效性。
企业进行安全建设包括构建防御体系、信任体系等,究竟能防御多少有效攻击;采买的安全设备或者实施的安全策略是否生效;漏洞是否真实被修复,潜在的风险是否会被发现。基于上述种种,企业可通过入侵和攻击模拟方案,对自身进行常态化安全验证,度量安全运营的效果。这也正是BAS的核心意义和建设目标。
对攻击技术进行溯源会发现,早期是以黑盒检测技术为主。第一代黑盒检测技术也被称为爬虫扫描技术。互联网之初更多的是Web单页面框架的应用系统开发,例如PHP、ASP等。爬虫扫描技术主要通过解析HTML标签中的URL使之进行重放,并修改其中部分必要参数,添加用于payload的攻击语句,然后发送给服务端,待服务端响应再去匹配其中的内容是否存在异常反馈,从而判断应用是否存在漏洞。
但是随着Web2.0的到来,B/S架构应用系统的开发模式和技术成熟度的提高,App小程序、相对复杂的单页面框架、前后端分离的架构等越来越多地出现,使得爬虫技术的的覆盖度和检出率都大大降低了。于是引入流量检测技术,通过代理或者流量镜像的引流来采集信息,再进行重放攻击、发送POC、修改参数、payload等一系列操作,观察是否出现异常响应。这类工具应用也比较广泛,有国外的AWVS、AppScan等。
而随着企业数字化转型,以及云原生、微服务架构的出现,应用资产变得越来越复杂,包含防火墙、WAF、DLP等安全设备在内的整个安全体系被引入,需要对整体的安全进行度量。黑盒技术因而演进到了第三代渗透模拟技术,以自动化的方式模拟人工渗透过程,进一步发现企业的安全风险。它不止以单个网站应用或者域名为目标,更多以一个组织为目标,从入口到边界去发现是否有暴露资产,接着选择资产的某一点或者端口、IP进行入侵,去发现是否存在真实风险。
BAS技术的目的是为了模拟攻击入侵的行为,主要分为两种:一种是以目标为导向,通过黑盒的方式,借助流量由外而内进行攻击,一旦实施成果可以精准地暴露风险,因而在攻防演练过程中能起到很好的辅助作用,但劣势在于攻击生效条件严苛;另一种是引入了AI能力,通过将Agent传感器部署在体系的任何位置,比如放在WAF设备前后就能检测WAF的有效性,因而准确性高、实施灵活,但是其发现的风险并不是真实风险,只是潜在的问题,仍需要进一步的评估和分析。
悬镜将两种技术优势进行融合,使BAS既具备黑盒从外部渗透的能力,又可以和Agent结合来模拟真实攻击,以综合的方式去评估安全有效性,既降低实施攻击的门槛,又能保障最终的成果。
悬镜BAS的AI黑客自动化渗透过程是以MITREATTCK框架这种通用的有效攻击集为基础,针对渗透目标发起攻击模拟,描绘攻击路径,从而发现业务中存在的安全缺陷。一共分为三个阶段:预渗透阶段、利用阶段和后渗透阶段。
常规的黑盒检测更多是在预渗透阶段进行漏洞扫描和风险发现。人工渗透除了发现和进一步利用漏洞外,还会在后渗透阶段,利用漏洞进行横向移动,即将当前设备作为跳板去发现内部其他应用资产是否存在漏洞,扩大攻击范围,甚至可以进行持久化控制,比如植入后门Webshell,便于后续访问。
AI黑客自动化渗透的方式会更注重后渗透阶段的横向移动和持久化利用,因而会用到节点管理、Webshell管理等功能。
我们悬镜在实践时经常会被用户问到自动化渗透工具和黑盒工具的区别。区别就在于,自动化渗透会覆盖人工渗透的各个阶段,并重点提供后渗透阶段的能力,达到提权目的,展示攻击路径。
悬镜BAS的第二个功能,就是对当前整个安全体系包括安全设备、安全策略的有效性验证。具体操作过程是在体系的不同位置部署Agent端,通过网络层面、主机层面和应用层面这些不同层面的Agent,就可以对应地去验证防火墙、EDR、应用防护的有效性。
举例来说,比如其中一个WAF采取的是阻断策略。可以在WAF的前端部署一个Agent作为攻击端,在后端部署一个Agent作为模拟的受害端。通过攻击端向受害端发送一次攻击请求或者流量,如果WAF能阻拦,则受害端无法收到,反之则会收到。通过这种方式从而判定该WAF的策略是否生效。当然如果有些防火墙只采取告警策略,受害端能收到所有攻击请求,这时就需要和它的日志对接进而分析它所响应的攻击。
这种方式是一种无害攻击,在模拟真实攻击的同时又不会对实际业务应用系统造成损害,因为实际攻击目标是模拟的受害端。虽然Agent的部署有一定实施周期,但是在部署同时相当于进行了架构梳理和资产清点,便于制定对应设备的验证策略,从而可以任意地发起攻击,描绘攻击路径并发现路径中防御薄弱的点,即所谓风险面管理。这里包含几个应用场景:渗透或者上线前的安全验证;云原生环境,IP或者资产发生变更,安全策略没变,需要重新去验证有效性;在持续发布过程中需要及时的策略变更验证。
接下来要与大家探讨的是如何从BAS视角看积极防御体系的建立。
什么是积极防御?传统情况下,安全的提升往往是在攻击事件发生之后。企业组织