阿里高级安全专家张东辉:如何做好网络安全红蓝对抗

洪旭彬

2017/11/14 发布于 技术 分类

第五位演讲者张东辉,阿里高级安全专家。他以《如何做好网络安全红蓝对抗》为题进行了分享。

文字内容
2. 如何做好网络安全红蓝对抗 阿里巴巴集团 高级安全专家 张东辉 2016-07-14
3. 个人简介 张东辉 阿里巴巴集团 高级安全专家 负责集团安全攻防演练 id:shineast •《0day安全软件漏洞》第二版作者之一; • 2009年研究生毕业于西安交大 网络安全专业,上学期间喜 欢写黑客防线(30多篇); • 前百度X-Team攻防实验室漏洞研究负责人; • 研究的安全领域较多,Windows内核漏洞,网络攻击, Web安全,渗透,伪基站,路由器,BIOS Rootkit,iOS Rootkit等,对安全各方面都有浓厚兴趣和热情;
4. 主要内容 • 红蓝对抗的介绍 • 红蓝对抗的价值和意义 • 做好红蓝对抗面临的挑战 • 不同做法的优劣对比 • 典型红蓝对抗案例的探讨 • 未来渗透攻击的趋势与红蓝对抗的升级 • Q&A
5. 红蓝对抗的介绍 – 红蓝军事对抗 7.12 不接受 不参与 不承认 不执行
6. 红蓝对抗的介绍 – 网络安全红蓝对抗 2016年03月03日新闻:美国防部邀请黑客攻击五角大楼网站 提供报酬 美国国防部长卡特亲自邀请黑客测试五角大楼网络安全
7. 红蓝对抗的价值和意义 former Homeland Security Secretary Michael Chertoff stated, “There are two types of people: those who have been hacked, and those who don’t know they’ve been hacked.”
8. 红蓝对抗的价值和意义 • 以攻促防(未知攻焉知防) • 安全水位高低用大量攻防实践来检验,而不是自嗨
9. 做好红蓝对抗面临的挑战
10. 做好红蓝对抗面临的挑战 • 我们的敌人是谁?如何模拟敌人的攻击? • 攻击路径和攻击方式的覆盖率 • 攻击过程的隐蔽性、攻击完成后的痕迹清理 • 面对上万机器,需要自动化渗透攻击能力 • 立体纵深防御体系,防御协同(检测、止血、加固、溯源、反制) • 需要外部黑客/黑产视角,及外部检验能力(不能又做运动员又 做裁判)
11. 做好红蓝对抗面临的挑战 – 敌人?  模拟黑客的动机和目的,站在敌人的角度思考攻击,例如: 白帽子黑客,点到为止 商业间谍,窃取机密数据 地下黑产,盗取数据 国家黑客,APT攻击 网络恐怖主义,破坏式攻击
12. 做好红蓝对抗面临的挑战 – 攻击覆盖率
13. 做好红蓝对抗面临的挑战 – 攻击覆盖率 • 穷举所有可能的攻击路径 • 在每条攻击路径上,穷举所有可能的攻击方式 • 对全部的攻击路径和攻击方式,按优先级实施攻击演练
14. 做好红蓝对抗面临的挑战 – 攻击隐蔽性 攻击过程,绕过检测和告警 攻击完成,清理痕迹
15. 做好红蓝对抗面临的挑战 – 自动化渗透 • 漏洞发现 • 情报收集 收集信息 筛选目标 • 找短板 • 找跳板 • 漏洞测试 • 漏洞利用 实施攻击 清理痕迹 • 删除日志 • 恢复变更 • 传统渗透测试服务已无法满足需求; • 将信息收集、漏洞发现、漏洞利用、防御规则绕过、木马驻留、反链控 制等多个关键环节实现自动化,形成自动化渗透能力; • 更大的好处是,不断沉淀攻击经验和能力到系统或平台中;
16. 做好红蓝对抗面临的挑战 – 核心指标? • 入侵发现率 —— 在规定时间内,成功发现入侵的比率 • 攻击覆盖率 —— 在攻防演练中,对所有攻击路径和攻击方式的覆盖比率 • 做好红蓝对抗,就是要提升这两个核心指标
17. 红蓝对抗的不同做法 – 网络靶场 – NRC
18. 红蓝对抗的不同做法 – 网络靶场 – 基于docker • 基于docker快速搭建 红蓝对抗环境
19. 红蓝对抗的不同做法 – 真实环境
20. 红蓝对抗的不同做法 – 两者结合 • 对线上关键业务搭建靶场环境,避免造成的故障损失; • 对线下测试环境展开实战攻防演练;
21. 红蓝对抗的不同做法 – 对比 红蓝对抗做法 优点 缺点 网络靶场 不影响线上环境; 漏洞持久存在,可反复演练; 靶场与蜜罐的复用; 无法模拟全部真实环境和数据; 真实环境 真刀真枪,有实战价值; 容易引发线上故障,造成损失; 漏洞修补后无法继续演练; 两者结合 尽可能规避故障风险,同时尽可 关键业务的实战演练不足; 能在真实环境演练;
22. 典型红蓝对抗案例的探讨 – BadTunnel攻击演练 • 构造漏洞利用文件和邮件; • 发送文件和邮件给攻击目标; • 劫持流量,获取cookie,污染js,植入木马;
23. 典型红蓝对抗案例的探讨 – SSRF漏洞攻击演练 • SSRF漏洞是入侵内网的神器; • XXE漏洞配合Gopher协议会更加威力惊人; • 可以参考猪猪侠的ppt:《SSRF漏洞自动化利用》;
24. 典型红蓝对抗案例的探讨 – 广义漏洞攻击演练 安全性 便利性 • 广义漏洞 —— 安全性与便利性是成反比的,当两者没有平衡好时, 就会出现广义的漏洞; • 例如大量未授权代理、大量ssh免密登陆、大量弱口令 等等;
25. 未来渗透攻击的趋势和红蓝对抗的升级 • 渗透过程时间跨度更大,更持久,也就是APT攻击; • 渗透攻击会做到知己知彼,有针对性的绕过,更加隐蔽; • 攻:充分模拟黑客的APT攻击过程; • 防:从告警运营 升级为 异常挖掘, 甚至要做到攻击重现;
26. 未来渗透攻击的趋势和红蓝对抗的升级 • 目前正在打造蓝军攻击平台: • 打通威胁情报 和 态势感知,第一时间吸收最新高级攻击方式和漏洞; • 打通各层蓝军:网络层、系统层、数据层、应用层、业务层;
27. Reference: • National Cyber Range Overview http://www.acq.osd.mil/dtetrmc/docs/20150224_NCR%20Overview_DistA.pdf • The National Cyber Range: A National Testbed for Critical Security Research https://www.whitehouse.gov/files/documents/cyber/DARPA%20%20NationalCyberRange_FactSheet.pdf • Build Your SSRF Exploit Framework http://static.wooyun.org/summit/2016/Whitehat-Day/1-GGBond.pdf
28. Thanks! Q&A 欢迎加入我们team! donghui.zdh@alibaba-inc.com