网星安全：快速攻击已成现实 聚焦集权设施有效布防

数字化进程无疑推动着安全问题多点爆发、日渐频繁，无论IT架构和业务流程如何变迁，我们的问题始终在于，我们面临的风险是什么，应该如何有效且高效地对抗。

 

“在面对复杂多变的网络安全威胁时，需要深入分析和理解这些威胁的规律，更加聚焦和专注地解决问题的本质。”网星安全CEO杨常城在5月23日举办的集权防护方案发布会上给出了自己的答案。

 

在试图洞察规律之前，我们首先需要理解数字时代的风险发生了怎样的变化。新技术、新业务和新场景的快速应用为业务降本提效，却也让攻击者看到新的风险便利。既然数字化进程带来的改变是一体两面的，为什么攻击者总能抢占先机？灵活的攻击时间、新颖的攻击手段、随机的攻击目标让他们长期具备信息、技术、时间和战略上的优势，这种攻防不对等为其创造巨额回报，在经济下行时代愈加凸显。

 

面面俱到的布防匹敌单一犀利的进攻无疑是高投入低收益的，当我们带入攻击视角，快速获得目标价值是攻击者一直在践行的策略，因此，攻防策略对抗的意义重于攻防技术对抗，一个好的攻防对抗策略将成为核心。

 

以军事战争为观察样本，攻击基础设施、破坏控制体系、伪装身份潜入等攻击策略成为制胜关键，平移到网络对抗中，不难发现，网络、控制、身份等不同类型的集权系统最容易成为靶标，因其网络权限大、控制节点多、保存凭据多，非常容易促使攻击快速达成目的。摸清了攻击模式规律，杨常城判断，集权防护平台将成为企业防护新范式，有效保护企业集权设施、核心系统资产，快速提高防护效率增强收益，是应对当下威胁形势的最佳方案。

 

 

据其介绍，网星安全经过三年实践，对不同行业不同客户的不同类别的集权设施进行详细分析，基于all in one的产品设计理念，依托云原生的产品架构，打造整合的一体可观测的集权安全防护平台，实现功能及各个集权场景的可拆可组，以一个平台实现多个集权系统的统一安全防护。

 

技术方案上，以企业离散的集权系统和核心数据为底层支撑，可接入包括IAM、PAM、AD、Exchange、云桌面、云平台、K8s、vCenter等在内的40多种集权设施，以攻击视角做检测、安全运营视角做分析双轮驱动来构建集权防护能力体系，有效满足集权系统的态势感知、实时检测、安全加固、运营分析等多维度的安全需求，同时提供事前加固、事中检测、事后阻断的覆盖攻击生命周期的全链路立体防护。部署使用上，无需代理，无需编码，无需复杂修改，一键接入开箱即用。此举构建出完整、多维、灵活、高效的集权防护体系，帮助客户战时可用，平时易用。

 

 

诚然，集权设施不确指某一种应用系统而是一个非常宽泛的概念，网络相关、控制相关、身份相关的越来越多的集权设施在企业内广泛使用，成为攻防对抗的火力焦点。构建针对集权设施的防护，企业关注的是，如此繁杂的集权设施，处于不同的安全场景中，究竟应该怎么布防？在发布会上，网星安全安全负责人李帅臻表示其前期已收集到诸多客户最为关心的焦点话题，通过提炼共性在此作出解答。

 

 

AD域作为IT架构中的关键基础设施，承载着企业内所有用户的登录认证及终端管理作用。在当前安全体系中，多通过全流量设备以检测通过利用漏洞来对AD域发起的攻击或已经到域控后在域控终端层面发起的攻击。但在全补丁的AD域环境下，大量攻击并非在于已知漏洞的利用，往往是基于很多账户、权限、功能的配置不当导致，又或是利用AD域的正常功能来完成整个攻击链，补充漏洞规则其实无法覆盖这种相对复杂且隐蔽的攻击方式。

 

 

网星安全从攻击思维出发，将AD域视为一个独立的保护对象，设计风险评估模型通过140多项检查项深入AD域的详细LDAP配置，覆盖配置核查、漏洞扫描、弱口令检查多维度的判断，并及时加固整改，确保AD域处于配置安全环境下。另外对于在LDAP或攻击终端内存抓取用户凭据的攻击行为，将融入欺骗防御理念，创建虚假的高权限账号进行高风险配置，快速定位攻击来源阻断威胁。

 

总而言之，针对全补丁的AD域依然被攻击，网星安全的解决方案是通过实时风险评估、安全加固、欺骗账户等多种手段进行结合，全方位布防AD域。

 

 

堡垒机纳管企业内所有离散计算资源，且往往通向OA、AD等重要业务系统，攻击易导致服务器失陷，且容易产生连锁反应。目前针对堡垒机的攻击主要来自0day漏洞利用和凭据复用，本质上都不会被规则引擎识别为固定攻击手法，因此，主流防御手段通过HIDS或NDR设备在终端侧和网络侧展开防护仅能涉及部分检测，针对性不强。

 

 

网星安全聚焦堡垒机本身，通过采集其日志、流量、会话记录、命令记录等信息，通过包含多达550余项攻击检测规则的规则引擎进行实时监测并深入分析堡垒机的活动，可以判断并告警大多数情况下明显的攻击行为。对于一些独立看待可能正常但关联分析可能蹊跷的更为复杂和潜藏的活动，还设计了一套独立的insights分析引擎，进行更深层次的数据挖掘与分析，发现关联动作的异常，识别潜在攻击并有效控制。

 

因此，面对堡垒机被0day攻击，不是通过在流量上补充规则，不是通过在终端检测木马，而是将堡垒机作为被独立保护的关键业务系统进行深入分析和监测。

 

 

邮箱是面向公网的一个特殊的关键业务系统，大规模的通过邮箱进行网络攻击和诈骗等事件长期存在。通过钓鱼邮件实施社会工程学攻击深入人心，邮件安全网关等产品的出现正是从邮件的收发、内容等维度进行综合判断。如今，挖掘和利用邮件系统的内在漏洞成为主要威胁途径，在邮箱系统暴露于公网且员工数量庞大的企业中，攻击者可以从任意地点发起对邮箱系统和邮箱账户的枚举、爆破、喷洒，传统邮件安全无法覆盖。

 

 

网星安全支招通过在公网github等位置布下欺骗账户，主动引诱攻击者进行扫描、利用，在更复杂的攻击发生之前，通过欺骗账户发现更直接的攻击行为，并在其深入利用前对其进行阻断。此外对于所有的账户登录、邮箱活动等用户行为进行审计是非常必要的，通过insights分析引擎，对从登录过程到后续会话活动的整个周期进行深入挖掘及分析，可以发现所有账户的活动动线，识别异常行为，以及发现已经经过身份认证的更深层次的潜在攻击。

 

基于以上，邮箱安全也应当跳出传统邮件安全的思维，从真正重要的登录、活动、权限、系统等维度实现对邮件系统的独立防护。

 

 

这类凭据失窃的事件屡见不鲜，失窃途径多种多样，对应的攻击手法以及攻击场景变幻莫测。随着攻击的不断深入，呈现出的趋势是越来越多的攻击都不依赖漏洞的利用，而是通过这一类合法凭据的认证以绕过安全软件的防护监测。

 

 

网星安全认为，需要将防护的重点放在被保护的对象上，结合规则分析引擎及机器学习引擎，用户登录方式分析、来源设备类型分析、用户多位置登录分析、用户登录流程上下文分析、登录应用分析、登录来源计算机分析、登录来源浏览器指纹分析等多种方式进行综合判断以判断该cookie是否属于正常的多位置认证业务需求，或是存在被攻击者窃取的潜在风险。另一要点在于控制凭据的暴露面或使用范围，可通过前述的风险评估模型判断账户是否符合权限最小化，从账户审计的视角防止凭据在多位置失窃。

 

这种防护的核心思想在于从独立的视角出发，确保账户的权限最小化，及对账户进行更细颗粒度的认证和活动审计控制账户暴露面，从而应对潜在的高级威胁。

 

 

纵观上述四大问题的症结，李帅臻总结道，针对集权设施的攻击，一般都会深入到服务层面施展更深入、更体系、更隐蔽的活动而难以监测，目前的安全防护系统均是从终端或流量等宽泛的维度进行安全面覆盖，并不能满足客户对集权设施安全防护的需求，这将导致攻击和防御的趋势不对等、信息不对称。

 

在安全419看来，网星安全对此提供的策略是聚焦，将集权设施看作独立的安全防护对象，跳出大量攻击模式已无法被既有规则检测的束缚，通过风险评估模型、欺骗防御、规则引擎、insights引擎等安全能力关注集权设施全周期内的行为动线及其潜在关联，综合判定风险根因并高效精准处置。

 

 

针对性保护集权设施大有裨益，难的是如何设计防护逻辑。集权设施由于自身系统的限制无法受到更关注操作系统的HIDS、EDR、NDR等检测响应方案的防护，需要针对系统本身进行研究，对于企业而言，选择成熟的商业方案比付出大量时间与人员成本自研更为切实可行。

 

对此，网星安全CTO李佳峰在发布会上介绍了相关方案的逻辑设计思考，其认为应该从管理、威胁、风险视角同时入手。

 

 

管理视角，包含漏洞、补丁、配置、合规等多项配置的资产管理，并对不同用户、不同权限、不同会话进行管理，同时针对日志进行可视化的分析与运营，资产、权限、审计三位一体的有序管理将为后续的检测和运营托底和降噪。

威胁视角应该从基线、漏洞、弱口令三个角度做检测，周期检查域控存在的常见CVE漏洞，及时发现并修复；同时检查业务方日常运维，是否满足基本的安全合规要求，避免出现合规问题，导致集权设施信息泄露或者被攻击；最后通过社工弱口令字典，实时排查环境内的弱口令情况，杜绝非法用户盗用账户，进入集权设施。

风险视角，从运营场景出发来制定运营策略，积累针对企业内部的运营知识库，逐渐形成运营体系。

 

李佳峰进一步介绍，以上维度的问题和需求将通过网星安全集权防护方案得到解决。首先，其提供的不仅是一种解决方案，更是一项系统化的安全防御体系。在不了解集权设施的安全情况下使用针对集权的基线扫描检查来解决集权设施的基本安全配置问题，这些基线来自应用最佳实践、国际基线标准以及自身团队的攻防经验，同时引入漏洞与弱口令检测机制快速解决企业最易遇到的安全问题，从而全面了解集权设施的安全现状。下一步依托事中监测模块，不仅引入规则检测更针对实体活动行为进行异常分析，全面监控安全事件，同时引入威胁诱捕，对威胁进行狩猎。后续的运营步骤将通过溯源分析与阻断等安全能力妥善处置威胁问题。基于以上，从事前的安全加固、事中的实时检测，到事后的加固溯源，形成一套综合全面的防御体系。

 

 

如果从数据流转的角度来看方案的业务逻辑，先通过集成如AD、IAM、vCenter等各种企业内部的集权基础设施，通过获取数据进行攻击面缩减，检查配置错误；而后通过静态分析引擎与智能分析引擎进行威胁场景分析产生情景化的威胁告警，与此同时还引入了图计算针对集权设施的权限分析，威胁狩猎场景进行覆盖；流转至最终的响应阶段，通过不同策略对事件、威胁做出相应的处置。

 

其次，该方案的另一大特点在于支持快速接入企业的场景，平台兼容大量主流应用，方便用户一键完成接入。当存在一些特定的应用，还开发了自动字段映射功能，不论用户IT环境中的数据格式如何，自动AI辅助的字段映射能够快速将用户环境数据与平台内部数据格式进行统一，快速接入规则模型进行安全检测。

 

再者，该方案在部署阶段追求简单易用，只需要在集权基础设施上部署采集相关数据即可，通常只需要1～2小时部署完成。支持通过API、Syslog、Agent等多种方式进行数据采集，无需复杂的配置和操作，即可快速启动安全防御机制。

 

系统化防御策略、快速接入、部署简单，共同实现了方案的成熟商用。

 

 

回到本次发布会的主题——FOCUS（心无旁骛、专注如一），安全419认为，面对日渐繁复的攻击和堆叠的防御，“聚焦”是一种精确而高效的能力，在攻防赛跑中尤为重要。一方面洞察到攻防焦点——攻击者善于通过集权设施快速获得目标价值；一方面针对性构建焦点防护——穿过大维度的终端及流量检测，针对集权设施构建防护体系。

 

纵观市场，聚焦集权设施，以一个平台实现多个集权设施的全链路立体防护，网星安全一定程度上弥补了国内此板块的方案空白，随着集权设施愈加成为攻击者的进攻首选，我们将持续观察集权防护方案在实战实践中的具体表现。