围炉夜话|那些年我们一起追过的“萧何”

1.开启潘多拉宝盒的钥匙就在前不久,拿下Hacking Team的黑客终于现身说法了,他公开了如何入侵HackingTeam的全过程,从这位化名为PhineasFisher的老司机口中,我们不难总结出一个可怕的现实:

防守方引以为傲的解决安全问题的各类控制措施,变成了入侵者眼中突防利用的关键攻击点位。

2010年前后,堡垒机在国内企业开始大面积应用,各大企业安全管理人员原本以为盼星星盼月亮盼来了解放军,但谁也没想到自打解放军驻守之后,各路土匪山贼活动越发频繁,擦枪走火的事儿更是时有发生。

擦枪走火的背后,其实就是堡垒机变成了入侵者突防利用的攻击点,彷佛一把打开潘多拉宝盒的金钥匙,入侵者再也不用一台一台敲开服务器的防护,他们要做的只是悄悄地偷走钥匙,打开宝盒,不管是利用堡垒机内置管理员账户的默认口令,还是小范围流通的提权漏洞。

还有那些打通内网的VPN网关、互联网出口防火墙、负载均衡设备和WAF等,由于各种原因被映射到互联网上,然后发生了一些不为人知的故事。

聊个有意思的事。

某企业安全团队为了方便节假日远程工作,将漏洞扫描设备直接映射出来,结果被入侵者获取权限并成功登陆,入侵者是个勤快人,帮助安全团队更新了漏扫设备的升级包和口令猜解字典,然后花了一个晚上时间执行了一次全资产的深度扫描,报告到手,事了拂身去,深藏功与名。

2.成也萧何,败也萧何

西汉淮阴侯韩信起于市井,一生功名累累,为刘邦夺得天下,最后却被解掉兵权,身死长乐宫,这一切都是拜萧何所赐。

自从风险评估活动普及以后,大家才慢慢把资产、脆弱性、威胁、风险和控制措施这些朴素概念之间的关系厘清。而控制措施的落地则是千差万别,一千个读者眼里有一千个哈姆雷特,一千个企业内部就有一千种控制措施。

抛开业务资产本身的脆弱性不提,控制措施相对安全而言,就如同萧何之于韩信,正所谓成也萧何,败也萧何。

防守方螳螂捕蝉自信满满,以为得控制措施者得天下,却不知一时疏忽为他人作嫁衣。入侵者黄雀在后窃笑连连,明修栈道暗渡陈仓,躲在暗处收割胜利果实。

更多的时候,防守方偏向于关注安全设备和安全系统产生的各类安全告警,而疏于安全设备和安全系统本身,这个习惯带来的隐患却是致命的。

微软威胁情报中心经理John Lambert也提及过这个话题。

同一个资产管理系统,防守方利用它来进行资产管理和补丁更新,而入侵者则利用其选择最容易突破的攻击对象。

同一个漏洞扫描系统,防守方利用它在入侵者行动前找出脆弱性,而入侵者则关注漏扫系统在重要主机上创建的高权限扫描账户。

同一套身份管理平台,防守方利用它进行用户身份的合法使用管理,而入侵者则将其视为不断累加的用户凭据储存银行。

……

作为防守方,无论是党政机关和国家关键行业这些传统领域,还是安全驱动的互联网公司。无论是购买的每一个安全设备,还是自己开发的每一套安全系统,我们都应该持续关注并解决这些设备和系统本身的安全问题,尽量减少这些资产被威胁利用的可能性。

3.从Connect to Protect 到 Connect to Intrusion

随着自动化和智能化的程度越来越高,各种安全系统正走向连接和耦合,2016年RSAC会议的主题也契合这个趋势的发展。

从分散孤立到连接协同,早年间SIEM类产品的口号正是如此。解决掉企业内部所有的安全孤岛,将所有的安全系统连接到SIEM,光看着还不行,还惦记管控这个事儿,给客户挖好坑之后,自己灰溜溜跑了。

安全产品之间的连接、各种协议和接口的开放、不同厂商之间的协同,这些在多年前埋过无数先烈的大坑正一步步地被填上,从管控到协同,从协同到自动化管理,从自动化管理到自动化响应,在安全智能这块沃土上慢慢绽放出一朵朵的鲜花。

Connect to Protect初心很美好,而Phantom一举拿下2016年RSAC创新沙盒大奖也预示着行业对自动化管理未来市场的看好。

而入侵者的思维一定会走在防守方的前面,当我们在讨论如何将各家产品进行连接管控自动化管理的时候,入侵者可能已经在尝试如何获取自动化管理平台权限实现批量入侵。

当防守方在思考Connect to Protect的时候,入侵者已经在推演如何实现Connect to Intrusion。

4.尾

笔者一直认为防护思路不应该过于复杂,安全系统也不应该过于庞大,错综复杂的防护逻辑和系统背后,系统本身的脆弱性和可被入侵者利用的Attack Surface也会更多。

安全保障体系的建设之路,一定会上演从简单逐步迈向复杂,再从复杂回归简单的过程。

本文来自sec-un 作者微信号:sunw3i