近几年,APT攻击态势愈发严峻,无论是攻击组织数量还是攻击频率较之以往都大幅增长。一场蓄谋已久的APT攻击往往会针对攻击目标展开持续的渗透,除了传统的网络攻击技术之外,一些社会工程学、网络钓鱼等针对人的弱点发起的攻击也会被黑客加以利用,而为了实现攻破目标系统的目的,一场有预谋的APT攻击会长期蛰伏,甚至会潜伏数年,甚至是数十年之久。
然而,在APT攻击造成重大影响前,没有人可以预知到下一场APT攻击何时到来。为了应对这种极其诡谲和复杂的APT攻击,无论是甲方还是乙方团队都纷纷投入进来,试图通过更多创新的安全技术和安全方案来共同抵御APT攻击,在APT攻击真正爆发前发现它们,阻击他们。
严峻的安全形势让网络安全行业得到了空前的关注,一大批安全从业者们也纷纷加入了安全创业的大潮,而中安网星正是其中之一。据了解,其创始团队的诸多成员此前都曾长期活跃与安全攻防一线,凭借对攻击者攻击思路和攻击手段的深刻理解,他们选择从AD域的角度切入安全市场,希望以建立安全AD域的方式来识别和阻断攻击。
近日,安全419走进了这家成立于2020年的初创安全公司,看看中安网星对APT攻击和防御有哪些独到的视角和理解。
什么是AD域安全?
中安网星的解决方案专家魏雅楠告诉安全419,AD域是当前企业的办公内网广泛应用的集权管理方案。在一些中大型企业内部,往往员工数量极其庞大,企业管理者通常会采用域的方式来实现对企业员工和设备统一集中式管理,域环境可以把员工账户、计算机、文件共享、打印机等网络资源进行有效的整合,为不同的部门、不同的员工、不同的设备分配相应的权限,以便提升管理员和企业整体的工作效率。
在域环境中,管理人员可以较好的管理计算机资源,比如通过域管理可以有效的分发和指派软件、补丁等,实现网络内的同步安装,保证网络内软件的统一性,或者是限制员工在内网中的上网环境,禁止访问非工作以外的其他不安全网站,以及防止公司员工在终端随意安装软件等等。
AD域中,有一个核心设备十分关键——域控制器(简称域控)。域控一个重要作用是负责存储这个域中的账户、密码以及计算机及其他设备等信息构成的数据库,当一台电脑联入网络时,域控制器会去核验这台设备是否属于这个域,所使用的登录信息是否准确,发放相应的访问权限。
因此,域控在域内扮演着“大脑”的角色,这个大脑也正是黑客发起攻击的关键目标。
域控——黑客紧盯的核心攻击靶标
魏雅楠谈到,在中安网星看来,近两年来攻击者已经很少再像大家传统认知的那样,一步步的通过互联网寻找攻击目标,然后经由外网进入内网,在跨越内网的防火墙进入核心生产网络或者是办公网络中,这条路径可能也走得通,但是显然会困难的多。“攻击者所擅长的事情实质上是找到安全的薄弱点,通过最直接的路径发起攻击,而不是与防火墙、IDS、全流量检测等等这些设备死磕。而在APT攻击中,攻击者更是会想方设法绕过这些设备的监测。”
因此,直接利用网络钓鱼、伪装欺骗等社会工程学手段攻击企业内网中的员工成为了黑客更青睐的方式。由于企业员工本身就处在内网环境中,一旦成功攻陷某一位员工的设备,就相当于以最粗暴、最直接的方式跨越了边界的重重安全防护,直接进入了核心内网区域。
一旦攻击者进入企业的核心内网后,要做的第一件事情就是通过层层的跳板去寻找域控设备,域控设备中存储着同一域下大量员工的登录凭证,其中不乏高级管理员的登录凭证,借用这些凭证可以进入到更多区域发起攻击,通过这些权限不断的越权和提权,直至控制整个企业网络。
通过对AD域的攻击,黑客能够极大的缩短攻击路径,快速的到达攻击目标内部,实现攻击目的。以钓鱼、社工形式攻击员工账号的攻击形式越来越常态化,“因此很多企业也会发现,花了几百万、上千万的预算在企业外面加上了一层又一层的保护罩,但一到实战攻防演练的时候还是被攻击者打穿了。实际上就在于攻击者思路的转变,大量的设备都被攻击者以这样或者那样的方式绕过了。”
“AD域处于企业的内网环境,此前大家认为,假设黑客如果要攻击到内网的话,肯定要经过企业的防火墙、经过各种各样的威胁检测设备,最后才能到达AD域,所以大家习惯性地认为AD域会相对安全一些。但是近年来的各种APT攻击事件中,以及实战攻防演练中大家发现,攻击者实际上不用管你用的什么防火墙,也不用去管你用了哪些威胁检测设备,只要通过社工进入内网,在内网中进行横向渗透就能够攻击中心设备,直达靶标。”
中安网星的核心能力——在AD域中斩断黑客攻击链
为什么这些攻击检测类设备难以有效的识别AD域内的横向移动攻击呢?在魏雅楠看来,在AD域中端与端之间存在一些特定的认证协议和通信语言,只有把这部分的协议和相关的流量采集过来,只有把这部分协议和流量解析出来才能够发现安全问题和风险。传统安全设备也正是因为缺乏这部分对AD域中认证协议的解析能力,所以在检测过程中尽管采集到了攻击流量,但也难以发现其中的攻击行为。
这也正是中安网星的底层核心能力,中安网星的智域安全管家会不断的采集AD域内的流量数据和核心节点设备日志数据,以及AD域内实体数据,对域内常见的协议进行不间断的解析,把机器与机器之间的对话翻译出来后,通过流量去看到设备之间的通信过程,通过日志来判断终端安全态势的持续变化,然后通过内网实体数据建立流量、日志与用户数据之间的映射。再基于规则去做检测,构建相应的风险模型,就能发现准确的识别风险行为,进而有针对性的发现APT攻击类的安全事件和安全威胁。
基于微软官方发布出来的AD域安全风险控制项,结合自身对AD域安全的研究与理解,目前中安网星已经梳理沉淀出了一套自有的AD域安全基线标准,利用这套AD域安全基线,中安网星能够通过下发检测任务的方式检测用户AD域中是否存在组策略配置方面的安全风险,并协助用户进行有针对性的去修复这些安全问题,将安全风险掐灭于萌芽状态。
以AD域安全作为切入点 为安全行业补缺
作为国内少数几家关注AD域安全问题的安全厂商,中安网星打造的“智域”AD域安全运营产品弥补了国内网络安全市场AD域防护运营的缺失,其检测效果已经覆盖了当前已知的所有APT攻击手法,表现出了极具实用价值的应用效果。以其在APT攻击横向移动检测方面的应用效果,目前中安网星已经与多家保险、证券、银行等金融行业用户,以及众多国内政企用户达成了较为深度的合作,以“智域”智能AD域安全运营方案落地,协助客户解决在AD域中面临的安全及运营问题。
魏雅楠表示,除了基于AD域的被动安全监测与主动安全监测两大功能模块外,中安网星还在对SOAR安全业务流程自动化和响应进行研究,中安网星认为一款成熟的安全运营产品应该是在检测出安全风险事件后,结合SOAR技术进行自动化联动处置,以在第一时间阻断风险,这样才能更好的抵御APT攻击。
“但在甲方企业内部如果要处置一个安全事件的话,也需要严格的审批流程,所以我们也在思考未来怎样更好的将自己的安全理念落地。”
魏雅楠表示,作为一个结合了众多拥有多年一线攻防经验的团队所组建的安全厂商,中安网星正在通过自己的方式将自身感知到的安全变化、安全问题传递给整个行业。未来,中安网星会持续在AD域安全领域进行探索,不断丰富AD域安全产品矩阵,以求真的角度为行业发现问题,解决问题,以自己对AD域安全领域的认知和理解为行业做出更多的技术沉淀并做出自己的贡献。
京公网安备 11010802033237号
