本文围绕Kill - Chain展开,介绍其生命周期,包括信息收集、自动化侦测、社工攻击等阶段及对应防御策略,如暴露面管理、边界防御等。还阐述了建设过程中的难点,如EASM管理、运营建设和横向控制问题,并给出解决建议,强调网络安全需保持平和心态。
作者简介:孟翔巍,网安加社区特聘专家,先后就职于中国中铁五局、株洲中车时代电气股份有限公司、广东OPPO移动通信有限公司、三一重工等大型集团企业,目前任职某医药新零售信息安全负责人,全面负责集团的信息安全战略规划、体系搭建、安全人才队伍建立和培养等。
一、前言
选择探讨Kill-Chain这个话题,主要从三个方面来考量。首先,尽管已有许多专家探讨过Kill-Chain,但考虑到每个人对其理解的不同,尤其是在蓝队防护方面可能存在差异性,所以想聊一聊这个话题,以期达到更深入的理解和共识。其次,使用Kill-Chain指导蓝队工作建设确实更为有效,因为它基于实际需求,能确保方案落地,这也避免了仅讨论宏观技术框架或前沿技术而无法实际应用的问题。最后,Kill-Chain作为一个闭环过程,确保了我们的工作最终形成一个完整的故事链或剧本链,从而实现了完整的闭环。基于这三个原因,我认为与大家探讨Kill-Chain有一定的价值和意义。
二、Kill-Chain生命周期的理解
我理解Kill-Chain的运作流程是从信息收集开始。完成信息收集后,流程分为两个主要分支。一方面,进行自动化地侦测与尝试,以验证所收集的数字资产及基础设施的可用性,通过POC验证来确认漏洞的存在。另一方面,通过社会工程学方法收集公司敏感信息,尝试进行钓鱼投毒。
随后,回到主线流程将聚焦于手工POC验证,针对自动化侦测识别出的关键目标进行验证。一旦POC验证成功,即进入EXP利用阶段,利用已确认的漏洞进行深入攻击。同时,钓鱼投毒成功之后可以尝试通过CC回连获取命令,并在控制跳板后进一步实施权限获取。
无论是通过Webshell或反弹Shell的方式获得跳板权限,下一步都可以尝试横向移动,以获取高集权系统的权限,如堡垒机、自动化运维平台、DevOps平台等。前一个分支在获取CC命令之后,可以做一些手工或自动化的横向感染。到这一步,Kill-Chain的目的基本达成,无论是勒索、挖矿、信息泄露还是破坏行为,均可进行。
1、外部攻击面管理
在信息收集阶段,倾向于采取谨慎态度,尽量降低自身的暴露面以减少信息被收集的风险。由于信息收集手段多样,此阶段我们的感知能力较弱或几乎无感知,因为对方收集信息的手段有很多,如Fofa、Whois、Nmap、ICP备案信息等等。虽然会有探测性扫描动作,但在日常监控中,由于告警量巨大,这些行为往往被忽略。
针对此状态,有效的策略是进行整体的暴露面管理,特别是对外攻击面管理。尽管对内攻击面管理也很重要,但受限于资源和精力,我们更多关注对外暴露面的控制。我将其策略分为三个部分,即构建资产地图、脆弱性评估和SOP建设。
构建资产地图是最关键的一环。通过整合安全相关资产,结合对外暴露面管理平台和内部CMDB或应用管理平台,纳入各类资产,如IP、基础设施、中间件、数据库等,同步关注IoT设备和API等新型暴露面。此外,数字资产如小程序、APP和公众号也需纳入管理范畴。最后,对与供应链相关的线上资产保持高度关注,以防成为攻击跳板。
脆弱性种类繁多,需重点关注信息漏洞、鉴权授权缺失等问题。在API开发中,缺乏足够的鉴权授权措施易导致安全风险。凭证证书劫持与篡改也是中间人攻击的常见手段。此外,API缺乏健壮性评估与建设容易受到爬虫攻击。小程序和APP的隐私保护问题亦需重视。在供应链安全方面,即使与业务无直接关联的服务商,使用公司Logo等行为也可
最低0.47元/天 解锁文章
扫一扫
1195
到【灌水乐园】发言
