防守老兵經驗之談：如何用主動狩獵保護核心系統

狩獵系統是什麼

三年前，青藤參加攻防實戰演練，也是我首次作為公司攻防實戰行動的負責人深度參與到該行動中來。三年來，我去過數百個攻防實戰客戶現場，既有安全建設水平非常高，甚至是武裝到“牙齒”的組織機構，當然也接觸過安全人員和建設都處於比較初級階段的機構。

從2016年到2020年攻防實戰行動整體都發生了巨大變化，執行力度逐年增強。

總得來說，呈現出攻擊力度越來越強，攻擊點的範圍越來越廣，防護難度越來越大的特點。

可以預見的是，2021年即將到來攻防實戰行動，防守方將面臨巨大挑戰。那麼，矛與盾的對抗，防守者真的一定處於弱勢地位嗎？如何用有限的資源去對抗無限的攻擊呢？

在時間緊、任務重的背景下，修建固若金湯的防線顯然是不太現實。那麼企業除了基礎安全加固，包括弱密碼、管理後臺暴露、重要伺服器未打補丁等之外，

有沒有在短時間、低投入下可以少扣分，多加分的辦法？

方法顯然是有的。透過威脅狩獵，可以實現該目標。威脅狩獵可以分為主動狩獵和被動狩獵。主動狩獵始於“假設”，然後確定邊界範圍開始狩獵。通常意義上威脅狩獵指的都是主動狩獵，下文所說的也是主動狩獵。

威脅狩獵核心宗旨是減少發現攻擊者蹤跡所需時間，降低事件響應時間，降低其對組織機構影響。正如下圖所示，攻擊時間軸包括幾個關鍵時刻，威脅狩獵減少是T=1和T=2兩點之間時間差。

主動狩獵是指透過主動查詢IT基礎設施中存在惡意活動，尤其是在攻擊者使用了新的、經過改進的或者未知的攻擊技術，例如無檔案攻擊等，可以發揮出比較高價值。

威脅狩獵是一個迴圈迭代的過程（如下圖所示），來尋找隱藏在數字資產中攻擊。威脅狩獵從“假設”開始。例如：

“是否有一個攻擊者隱藏在這裡”

“如果我是一個攻擊者，我會這樣做”

“核實一下攻擊者是否已經在自己內網站穩了腳跟。”

01丨定邊界：核心系統和集中管控系統需要“大”投入

正如上文所說，主動狩獵一定是始於“假設”，因此需要先確定狩獵的邊界範圍。

顯然，在攻防實戰期間，主動狩獵並不適用於所有資產，只能“抓大放小”。

在資源有限的前提下，重點關注企業核心的“神經中樞系統”，包括OA系統、郵件系統、工單系統、大資料系統、工控系統等。此外還需要重點關注集中管控系統，其重要性不言而喻，一旦攻陷單系統即獲得公司內大部分系統的許可權，包括域控、堡壘機、雲管平臺等。

此外，對於一些核心系統周邊的供應鏈安全管理也不容忽視。一定要篩查和關閉為供應商開啟的VPN、遠端接入通道、特權賬號等，清理重要系統開發運維人員個人終端上儲存的敏感資料。千里之堤，毀於蟻穴，如果因為供應鏈安全基礎工作沒做好，而導致核心系統被拿下，那就得不償失了。

02丨看指標：透過精準化的威脅模型第一時間發現入侵

核心系統是重中之重的皇冠珍珠，如果一旦被攻破，結果輕則批評通報，重則崗位不保。

針對關鍵資產（核心系統和集中管控系統）保護常見的思路包括對系統本身採用白名單策略和對試圖想訪問核心系統系統、核心管控系統進行嚴控。

例如，核心系統只允許堡壘機IP能夠訪問，儘早刪除不必賬戶，所有賬戶使用“強”口令登入（十六位隨機密碼+隨機6位KEY）。

另外，以堡壘機為代表的集中管控系統，則可以採用白名單IP+強密碼+令牌的登入方式。對於其它一些重要神經系統，包括控制檯，運維繫統等，可集中到堡壘機登入。對於部分無法使用堡壘機登陸的系統可採用白名單IP+強口令策略+隨機驗證碼組合策略。

在對核心系統實施白名單和嚴控策略之後，還需要透過狩獵工具，例如青藤獵鷹等，對核心系統機器每天的行為進行持續監控。

透過主動狩獵來保護核心資產最重要的一條準則就是要關注微指標，包括程序建立、網路連線、命令執行、DNS請求等。

例如，針對需要重點防護的資產和核心繫統，可透過對其訪問關聯關係，建立威脅模型或者基線，以此對攻防實戰期間的資產異常變動和訪問進行檢測。

總得來說，在實戰對抗中，攻擊方是佔優勢的。攻擊者一旦進入內網，在內網駐留時間越長，就對網路越熟悉。攻擊方做一個動作就被發現，可以採取策略避免做這個動作，就變成攻擊時間越久就對防守方的業務環境越熟悉。但是防守方原地踏步，因為防守方從頭到尾都在盯著告警。而很多情況是，攻防演練第二週之後告警就沒了，一切都靜悄悄的，安靜的讓人害怕。青藤威脅狩獵平臺提供給了防守方一個有力的“武器”，能夠在與駭客對抗中不斷地瞭解駭客。

比如，當發現一臺機器被黑了的時候，可以調查這臺機器，發現駭客的手段和方法，再把這些手段和方法在更多機器上分析，就可能從1臺機器發現3臺，3臺裡繼續收集攻擊隊攻擊手法，有可能又發現20臺。如此迴圈滾動，像滾雪球一樣，只要被防守方逮到一個線索，它像一個線頭一樣不斷抽、不斷滾動，把攻擊方在內網控制的機器以及內網最初的切入點都給找出來，這是青藤威脅狩獵平臺（THP）賦予防守方的能力，讓攻防開始對等起來。

因此，威脅獵人不能只是簡單地執行有限的、不變的狩獵場景例項模型。否則，攻擊者只需要切換技術就可以逃過“雷達”監控。相反，威脅獵人需要持續更新生成威脅模型，才能真正體現“人”的價值。當然，威脅狩獵工具可以簡化該過程。如果某些用例產生特別明顯的結果，則可以將其反饋到自動化中，在將來以更高的優先順序向威脅獵人突出此類情況，或者只是在將來加快執行速度。

03丨場景案例：發現異常連線核心系統行為

在強攻防對抗場景下，幾乎沒有任何安全規則可以完全適配客戶場景。透過主動威脅狩獵產品青藤獵鷹，可以在迅速根據客戶業務環境、資料和業務特點，迅速形成威脅模型，使得告警少而精，價值非常高，這樣，威脅模型會完全匹配客戶場景。下面展示一個簡單威脅建模場景：

在攻防對抗中，監測到存在異常連線訪問核心系統的行為。

狩獵階段-確定邊界：

是否存在可疑IP連線核心系統。確定所需資料來源、所採用分析技術。

狩獵階段-狩獵執行：

透過一定工具，進行威脅狩獵活動。因為訪問核心系統伺服器的連線行為是相對穩定，因此只需要將訪問連線的增量IP單獨篩選出來做一個人工判斷，基於新增IP方向看對應程序。

完成階段-文件化結果

：將狩獵結果文件化，反哺威脅情報，重點監控這些可疑IP，或者直接採取相關阻斷行為。