对于防守方而言,资产“理不清”、漏洞“追踪难”、0day/1day漏洞突袭……有些问题一直很头痛。
“知己知彼”说起来容易做起来难,如何利用漏洞扫描工具评估风险,针对性布施,实现“以攻助防”,是本文要讨论的重点。
01 攻击者的视角
为更好的实现防守,首先要了解攻击者视角下的攻击路线。
图1 常见攻击路径图
上图为企业网络简化结构下的攻击路径图(引自《2019长亭年度漏洞威胁分析与2020安全展望》),攻击者的入侵路径主要有以下几条:
1.在主要资产中寻找正面突破点
2.从防护弱的非重点资产或边缘资产迂回攻入
3.从与企业业务相关联的上下游单位、第三方外包公司等第三方侧面入侵
4.利用物联网的硬件设备进行入侵
摸清攻击者的突破入口和攻击路径,防守方就能找到需要防守的重点方向和范围。
02 怎样实现以攻助防
根据攻击路径图,防守方首先必须知道系统的弱点位置分布,然后在路径上针对性的进行加固或修复,才能让系统更加牢固。而技术小能手开启正确打开模式,漏洞扫描器可以成为发现这些弱点的有力工具。
图2 漏洞扫描器能力实现图示
漏洞扫描器通过梳理资产,形成清晰的资产池,然后对资产进行全面风险检查,进而找出易被攻击的资产或企业安全建设中的攻击突破口,进行安全加固和修复后,再进行复测,确保攻击突破口完全修复。具体的价值有:
1.理清资产:明确要保护的对象及相关信息,便于资产风险检查的全覆盖和风险资产的追踪查询。
2.查找攻击突破口:从基线和资产两方面,进行全面盘查,快速定位易被攻击的资产或企业安全建设中的攻击突破口,进而模拟攻击者对防护措施进行检验。
3.快速精准检测易利用的高危害漏洞:尤其是命令执行等权限相关漏洞和弱口令系列容易泄露数据信息的漏洞。
4.及时响应漏洞信息情报:漏洞情报信息的及时预警和响应,可以很好地帮助防守方抢占先机检测并解决问题,提前做好防范工作。
03 不吹不黑,来试试洞鉴(X-Ray
长亭洞鉴(X-Ray)安全评估系统在不断打磨漏洞检测算法的基础上,同时具备资产梳理与监控,能够与风险联动等能力,使防守方无论在攻防演练,还是实战过程中,都能防患于未然,掌握主动权(虽然是套话,但不影响我下面说的是干货)。
STEP1:资产梳理与资产监控
洞鉴(X-Ray)具备主机服务、综合Web探测和被动探测引擎,提供主机系统、Web应用和域名的多维度资产信息发现功能,完成以攻助防中资产风险突破口的全面检测。
“摸清家底”:借助流量或日志解析发现更多未知资产,掌握全量资产信息。
明晰资产关联关系:通过主动扫描对所有资产进行资产梳理,呈现资产间的通信关联关系,展现资产全貌。
定位资产归属:管理平台支持对资产追踪定位,每个资产在哪、由谁负责等都可以一目了然。
监控异动风险:对资产进行全面的定期巡检,时刻监控资产异动和风险情况。
STEP2:检测资产上的漏洞
洞鉴(X-Ray)通过对检测算法的不断升级优化,从攻击者的视角出发,智能判断场景,对漏洞进行探测和验证,大大提高了漏洞检测准确率,实现精准风险识别与快速应急响应(下面的内容用了三个“超”,如果想证明我吹牛,请你亲自试试看)。
1、超高检测效率
对原理相似的漏洞进行通用插件抽象,一条payload可同时验证输出的一系列漏洞,事半功倍。
以 struts 历史漏洞检测为例:
s2-001/s2-012/s2-013/s2-048/s2-053 本质上都是 OGNL 表达式注入,在检测的时候可以共用一个 payload: %{int1int2} ,然后根据响应看是否存在 int1int2 的结果就可以判断漏洞存在。
2、超强检测能力
洞鉴(X-Ray)检测引擎基于语义和词义分析技术,自创自启发式智能检测算法,能够自动发0day漏洞,更被小伙伴评为“0Day挖掘机”。
攻击者进入内网环境后,会进一步进行横向渗透进而扩大渗透成果,此时内网中存在高危漏洞的应用或服务就成了黑客的垫脚石。洞鉴(X-Ray)可以模拟攻击者持续渗透行为,在检测过程中以主机资产作为起点,对开放服务关联的资产持续探测,进而对资产风险深入检测,智能化地延伸检测广度和深度。
以最近刚公布的 “通达OA 前台任意用户登录漏洞”为例:
洞鉴(X-Ray)在启动一个服务扫描之后,首先会对目标内的主机存活情况进行探测,再对存活主机进行端口扫描,而后立即对开放端口进行指纹识别,假设主机 10.3.1.0 上开放端口及服务情况如下:
Host: 10.3.1.0
22 -> ssh
80 -> http
3389 -> rdp
而后服务发现引擎会对 web 类端口进一步识别,在这个场景下将对 80 端口进行 web 指纹识别:
80 -> http(apache,linux,php)
这些信息将随即被传入漏洞检测引擎,在漏洞检测引擎内将对扫描任务按指纹进行合理分发:
22(ssh) -> ssh 弱口令等
80(http) -> 进行 web 漏洞检测
3389 -> cve- 2019-0708 等
其中 http 服务将根据 web 指纹进行 web 漏洞检测,此时通达OA 任意用户登录检测插件发现目标存在该漏洞,便将漏洞详情上报给服务端然后在服务端展示给用户,方便后续进行修复。
在这个过程中,完整模拟了入侵者在进入内网后踩点、识别、决策、攻击试探的过程,配合洞鉴(X-Ray)高质量的漏洞检测插件,可以很好的发现企业内网存在的高危漏洞。
3、超快响应速度
洞鉴(X-Ray)拥有小时级的漏洞响应速度。长亭科技安全研究团队及时输出漏洞情报和检测原理,包括自研发现的漏洞、网上未公开POC的漏洞等。
情报和检测原理及时、准确输出,促使洞鉴(X-Ray)在最快时间内发布漏洞库及检测插件的更新包。
在攻防演练的实际操作中,漏洞扫描工具如何提前检测出针对性漏洞,避免失分?
发表评论
您还未登录,请先登录。
登录