背景

感谢携程沙龙,促进了甲乙方的交流,让知识流动起来,让行业发展更好。

本水文主要写于会后(现场不建议拍照),主要记录会议内容+少量个人思考,希望对大家有帮助,欢迎行业内的同学一起交流。

写于:2023年11月18日 下午10:48:04

主要内容

01 常态化功防及运营体系建设

a)【入侵检测】钓鱼作为当下甲方主要风险之一(每年case 30+),检测主要依赖进程链,向前看进程来源(wx等),向后看后续动作(行为)。
b)【入侵检测】ueba的检测方案真正落地,员工属性、登录来源、访问历史、核心资产动作(搜索) =》 刻画历史基线,分析异常。
c)【基建-资产管理】itsm + cmdb属于正向建设,反向建设(基于扫描、日志 dns hids 网络等等)反补资产也很重要,且2拿到的数据也更易被真实攻击拿到,不补可能会有影子资产。
d)【基建-告警运营】调查单的目标是给运营同学高效感知、处理风险,因此让大家看得懂(如:soar实现 信息丰富化 是一个基本条件),让这个目标更好达成,让这个调查单 “可运营”。
e)运营的终极目标是交付一个完美的产品,让这个产品实现最初的目标,自动化、高效流程化是主要衡量依据,各家可能都在往这个目标努力。受限于各方面因素,这个全自动可能永远不可能实现,但结合少量的人力投入达到符合预期的效果,可能就是落地下来的理想状态了。

个人感受:
1、在检测领域,a和b其实就是黑规则 + 基线的思路,适用于很多检测场景。当然根据重点应用,资源足够的情况也可以把 a的黑变成非白即黑(来自顺丰甲方的分享)。
2、安全行业中的检测 依然 没有脱离客观世界规律: who(丰富属性) when what ,抽象一点的做法就是:采数据 + 分析数据(刻画异常 + 写规则) ,更客观的感知网络空间中的事儿。

02 真实场景下的攻防博弈*

可能是攻击队开门分享中质量很高的的一次?一线红队leader的认知、执行、组织保障/资源投入、最终效果都有所体现。很遗憾没办法写一些细节,期待ppt吧,暂且就按照个人的理解总结几句话:

1、没有无法攻破的系统这句话不是说说而已,当资源投入足够多,目标价值足够大,一定能拿下。具体原因个人认为体现在以下几个趋势:1)互联网开放导致代码的复制共享,漏洞范围也会比较广。 2)明确目标(系统),了解目标的整体生命周期:上下游(二次认证短信等),攻击思路、手法就会拓宽。 3)资源足够体现在:esxi逃逸的国内hw中真实利用、耳熟能详的c2有资源自研定制,云上丰富数据&日常0day的储备(300+)

2、防守方要知道自己的目标是什么,核心系统、防御水位。两军交战,不可避免的有伤亡,假设一定有服务会被打,那核心服务是否有足够的信心是最后一个倒下的?常态化建设时,明确分母,晾晒安全水位是否能做到?

3、漏洞爆炸半径大的东西不应该被甲方忽略。如:能全控类的(堡垒机、hids agent直打server?)。类比于:军械库、粮草库不能先被打穿。

4、怎么确定一个目标?就第一眼觉得什么东西最重要就行。航空公司就旅客信息、车企的OTA、三方软件下载站等

5、防守方针对战时和非战时的策略或许可以更精细化一点(不考虑攻击方全自动化的情况,战时攻击方投入的资源更多),那么防守方的策略在战时也可以适当做一些成本很低提高攻击者门槛的方式,如 溯源反制、蜜罐等干扰攻击者攻击(如果太定制化 ,如关机,封ip 个人不太看好,违背了hw初衷:发现问题)。

6、生活中息息相关的一些头部公司,一旦被高level红队盯上,从开始到出局可能不过几个小时;不相关的一些企业(工控)等基础设施,我们感知不到他的存在,但如果被攻击,后果可能无法承受;信息技术是一把双刃剑,做失陷假设,考虑这个后果是能否承受呢, 如xx新能源车。

03 供应商的实战演习对抗探索
04 红蓝对抗蓝军击战法安全交流
05 甲方安全运营实战分享

个人感受,也许是很务实的一点是:我知道风险很多,能做的不多,但是我知道当下应该做什么事儿最重要。
软柿子/核心系统是不是都防御到位了?是不是可以重点投入资源做。

06 甲方安全视角下的红蓝建设

07 磐石行动下的攻击能力 [ 机械化平A] 演技史

1、为什么要做这件事情? (内容有点乱,逻辑框架按照个人理解梳理)

过去 6年的时间 干了很多痛苦的事情,基础安全(红军/蓝军),70%的时间都在扯皮让业务修漏洞。现在只干一件事情,就是干攻击,很专注。

安全环境不错:上海的企业安全有一个比较好的机会。结合外部数据泄露case、企业环境金融+四通一达等、结合监管环境。

防守方还在比烂的阶段,基础的事情还没有做好,攻击技术暂时不需要进化就能搞定。一开始平A即可,大招可以最后再放。

渗透测试资源投入的三个阶段顺序:自动化平A > 钓鱼 > 0day(做攻防技术有一点技术追求)。

攻击队的目标是明确的,攻击队伍是有组织保障的,目标就是控制系统、达成什么目标,反推怎么干。

怎么标准化?将一个模糊的事情具体化,精细化,那么就很容易标准化。如:1)漏洞很多,但是可利用有价值的漏洞每年也就200+。2)漏洞打上各个属性,那么就更好刻画这个漏洞的好坏。

怎么自动化?大量的事情 -> 方法论 -> 标准化 -> 自动化。把渗透测试标准化、流程化了,因此就可以实现自动化。怎么做?抽象大部分目标的网络架构,攻击路径,总结渗透测试公式

2、怎么做?方法论篇

攻击路径:1)找路径 2)破边界:oa边界、idc边界、专网边界 3)控靶标
攻击队的攻击公式 = 资产指标 * 暴露面指标(接口、参数、端口服务) * 风险攻防知识储备 (历史上weblogic曾经出过多少洞等)

攻击成功 = 穷举每一条路径,找到一条能用的,可以把一个概率性的问题转化为确定性的问题。

战术:资产收集提前做,根据企业的ip域名提前沉淀,资产的实时感知,业务本身相关知识学习(如企查查的软件专利著作权会泄露一些信息)

3、怎么做?实际落地(组织保障、资源投入)
人员支撑 (几十人,包括研究人员支持,比较核心的是漏洞研究、安全行业专家、特定领域行业专家) + 系统支撑(云图)。

发现资产:(核心概念是 种子发现 + 持续生命周期管理,确保有一份最全的资产):

  • 基于种子(名称、邮箱、域名、邮箱、证书、网页hash等)来不断延伸,人工二次研判筛选,降噪等获取精准的资产
  • 要的问题:噪音排除(泛解析等)、资产的标签实时识别(判断蜜罐等)

暴露面的识别:

  • 分布式扫描(避免数据在核心骨干中数据丢失,避免干扰)
  • 端口扫描(开放情况:syn包判断,协议识别抛弃nmap golang基于标准库自研,比nmap好30%)
  • 目录识别 + 应用指纹识别(openresty、oa、jumperserver等)多做了一步但效果就会很好。

漏洞武器库exp沉淀(关键):

  • 漏洞本质上是渗透的加速器:有研究人员可以做到举一反三
  • 攻防知识库沉淀项目:
    • 做扎实(如,漏洞的各个属性拆解,评价这个漏洞是否好用),且依赖于 这块依赖于乙方的优势(1500+渗透测试,hw演练20+),天然具备大量的真实案例,武器库也可以滚雪球式的积累起来,极端点可以借助一个项目搞定整个行业。
    • 新场景、新技术总会有新的问题(老生常谈了);退市的产品风险也很大:citrix。
    • 信息不对称让一些企业有了一些安全感(隔离、自研软件等),但随着时间的发展,被发现被利用就是迟早的事情。
    • 各类安全产品的bypass姿势等。
  • 一键自动化能力,支持7*24h (suo5)

4、防御建议:

  • 攻击者视角的防御能力建设
  • 持续的风险资产管理
  • 变更的感知能力(这点个人结合跟个人经验看,要做好的需要投入的资源会很高,比如业务新加location变更)
  • 定期红蓝

个人感受:会前个人理解自动化平A的目标 取决于2点: a)资产收集自动化 b)武器库exp沉淀。实际看下来大方向没错,但是由于资源投入/组织建设的保障,这件事情在国内已经可以用一定的人力(40人),更高效的落地运转起来,产品做得更加精细、智能。原因可能乙方安服的场景天然会最先面临这样的问题,自然而然减少重复劳动,自动化的产品孕育而生了。

总结&takeaway

1、认知迭代(最重要的三个):

  • 某些同学在分享和做事的思路都暗含着一个客观规律:目标制定、目标拆解、关键路径达成。同样印证入职以来总结过的方法论很好使,目标 + PDCA + 主要矛盾,需要持续迭代。对于个人的工作和生活也大有裨益。
  • 平衡:技术 + 软素质,受限于个人精力可以有侧重,有意识的保持平衡很重要。
  • 平衡:仰望星空,脚踏实地;

2、重回凌空,物是人非,但认知却有新迭代,保持积极,“未来可期”。

TODO 略