如何有效評估企業攻擊面的安全態勢（30頁）.pdf

《如何有效評估企業攻擊面的安全態勢（30頁）.pdf》由會員分享，可在線閱讀，更多相關《如何有效評估企業攻擊面的安全態勢（30頁）.pdf（30頁珍藏版）》請在三個皮匠報告上搜索。

1、李銘睿李銘睿信息安全顧問如何有效評估企業攻擊面的安全態勢如何有效評估企業攻擊面的安全態勢2現實世界攻擊威脅正在進化現實世界攻擊威脅正在進化攻擊者關注的是系統攻擊者關注的是系統和應用程序的漏洞和應用程序的漏洞惡意軟件利用缺陷的惡意軟件利用缺陷的ActiveDirectory配置配置攻擊者開始利用云攻擊者開始利用云200520152020每起登上頭版頭條的信信息息安全安全事件背后都與已知缺陷相關！的的企業在過去企業在過去1年至少遭受過年至少遭受過1次因網絡攻擊次因網絡攻擊導致的業務損失導致的業務損失92%新惡意軟件包括特定代碼新惡意軟件包括特定代碼以攻擊以攻擊ACTIVE DIRECTORY為目標

2、為目標的數據泄漏與公有云的數據泄漏與公有云配置不當有關配置不當有關59%具備利用成熟度的高風險漏洞存在時具備利用成熟度的高風險漏洞存在時間超過間超過1年年1/2理解安全風險是基本的價值命題理解安全風險是基本的價值命題5檢測與響應檢測與響應(事后事后)Detection and Response防御防御(事中事中)Protection風險可視風險可視(事前事前)Cyber Exposure發現所有缺陷缺陷借助有效的評估機制借助有效的評估機制公有云公有云基礎架構基礎架構微軟微軟AD域域Web應用應用發現所有缺陷缺陷借助有效的評估機制借助有效的評估機制公有云公有云基礎架構基礎架構微軟微軟AD域域We

3、b應用應用問題一：過度依賴CVSS的漏洞修復標準8你已經修復了99個漏洞個漏洞但黑客只利用你沒修的那1 1個的漏洞會被黑客在真實攻擊場的漏洞會被黑客在真實攻擊場景使用利用景使用利用3%問題二：缺少漏洞修復閉環10傳統漏洞處理流程傳統漏洞處理流程信息安全運維工程師資產負責人A資產負責人B資產負責人C掃描結果漏洞掃描器漏洞掃描器企業平均漏洞修復時間為：40天天11漏洞掃描漏洞管理RBVM基于風險的漏洞管理基于風險的漏洞管理度量度量發現發現緩解緩解評估評估優先優先識別并映射每項資產，識別并映射每項資產，以在任何計算環境中實以在任何計算環境中實現可視性現可視性了解所有資產的狀態，包括了解所有資產的狀態

4、，包括漏洞，配置錯誤和其他健康漏洞，配置錯誤和其他健康指標指標確保實施緩解方法并確保實施緩解方法并準確部署補丁準確部署補丁度量關鍵指標以識別度量關鍵指標以識別覆蓋范圍和領域中需覆蓋范圍和領域中需要改進的地方要改進的地方利用威脅情報和業務環境專注于可被利用的漏洞利用威脅情報和業務環境專注于可被利用的漏洞漏洞生命周期管理最佳實踐13A級服務器(重要)B級服務器(重要)C級服務器(非重要)D級服務器(非重要)E級服務器(非重要)Step1-區分資產優先級Step2-分批次周期性掃描Step3-掃描結果優先級排序Step4-9分以上漏洞自動提交工單系統Step5 分配責任人修復Step6 UAT環境補

5、丁修復Step8 生產環境補丁修復Step7 修復結果復檢漏洞掃描器漏洞掃描器漏洞管理平臺漏洞管理平臺12345678發現所有缺陷缺陷借助有效的評估機制借助有效的評估機制公有云公有云基礎架構基礎架構微軟微軟AD域域Web應用應用你的網站就像你的大門別忘了鎖門！網站中存在高?；驀乐鼐W站中存在高?；驀乐氐牡膚eb漏洞漏洞63%的黑客攻擊是對的黑客攻擊是對web應應用程序的攻擊用程序的攻擊43%Web應用程序安全技能應用程序安全技能短缺排在第一位，甚至短缺排在第一位，甚至高于云安全高于云安全#1網絡黑客每天都在測試你的網站網絡黑客每天都在測試你的網站15同時在開發和生產環境中應用DAST16代碼編寫

6、應用程序構建打包封裝測試環境生產環境掃描器掃描器從開發工具直接API調用掃描開發同事安全同事1234掃描結果直接通過開發工具查詢定期計劃任務掃描查看掃描結果56漏管平臺掃描器掃描器如何發現全量的InternetWeb訪問點？17AttackerScanner門戶網站應用AppSSLVPN公開APIEmailGatewayEASM 外部攻擊面管理(ExternalAttack Surface Management)分布式掃描架構分布式掃描架構完整的漏洞發現完整的漏洞發現靈活的靈活的API調用調用簡單易用的配置菜單簡單易用的配置菜單如何執行有效的DAST掃描1.通過多掃描器高并發，提高掃描效率2.

7、選擇覆蓋完整OWASP Top 10漏洞的掃描工具3.將DAST掃描集成進入CI/CD流水線4.簡化掃描配置選項，快速發現問題5.與外部攻擊面管理結合，掃描無死角18發現所有缺陷缺陷借助有效的評估機制借助有效的評估機制公有云公有云基礎架構基礎架構微軟微軟AD域域Web應用應用20使用使用CVE漏洞漏洞和和AD錯誤配置的攻擊路徑示例錯誤配置的攻擊路徑示例CVE-2021-22986 F5 BIG-IPMS17-010(SMB exploit)Windows Windows running an obsolete OS Account having&dangerous SID History at

8、tribute CVE-2016-1525Windows server with Netgear Pro NMS 300 Privileged account running Kerberos services Root objectspermissions allowingDCSync attack Domain Controllersmanaged by illegimateusersCVE-2020-1472Windows DC with ZeroLogon初次感染初次感染&跳轉跳轉橫向移動橫向移動&特權升級特權升級域控被攻占域控被攻占21“回歸基本面回歸基本面”發現嚴重發現嚴重CVE漏

9、洞漏洞盡快修補您的系統盡快修補您的系統注意您的注意您的AD配置錯誤配置錯誤“因為攻擊者也會做同樣的事情因為攻擊者也會做同樣的事情”22AD安全來說什么是最重要的安全來說什么是最重要的?實時攻擊檢測是不夠的實時攻擊檢測是不夠的實時攻擊檢測實時攻擊檢測前期預防加固前期預防加固收到一條短信說“收到一條短信說“你的車撞墻了你的車撞墻了”收到一條短信說收到一條短信說:“你需要檢查剎車配置你需要檢查剎車配置保護保護AD環境打斷打斷攻擊路徑找到并解決現有的脆弱性找到并解決現有的脆弱性立即發現、映射并評分現有的脆弱性遵循補救步驟，防止進一步攻擊揭示新的攻擊路徑揭示新的攻擊路徑不斷發現新的漏洞和錯誤配置打破攻擊

10、路徑，保證威脅在可控范圍內調查事件并尋找威脅調查事件并尋找威脅在Object和Attribute層面搜索和關聯AD變化在SOAR中觸發響應腳本123發現所有缺陷缺陷借助有效的評估機制借助有效的評估機制公有云公有云基礎架構基礎架構微軟微軟AD域域Web應用應用Developers造成這一切只需造成這一切只需一個錯誤的改變一個錯誤的改變.MILITARYINFRASTRUCTURECOMMERCIALINDUSTRIALCONSUMER72Commit code超過300億億筆數據在過去3年中遭到泄露 暴露數十億條記錄數十億條記錄25云數據泄露事件屢見不鮮云數據泄露事件屢見不鮮缺少對配置缺陷的可見

11、性缺少對配置缺陷的可見性存儲桶是否啟存儲桶是否啟用了雙重身份用了雙重身份驗證？驗證？安全組是否隨意安全組是否隨意讓端口處于開放讓端口處于開放狀態？狀態？數據庫是否啟用數據庫是否啟用了服務器端加密？了服務器端加密？容器鏡像內是容器鏡像內是否有惡意軟件？否有惡意軟件？容器鏡像是否存容器鏡像是否存在高危漏洞？在高危漏洞？K8S是否暴露了是否暴露了高風險端口？高風險端口？云環境配置是云環境配置是否偏離了基線？否偏離了基線？運行時主機是否運行時主機是否出現了新的漏洞？出現了新的漏洞？云上資產是否發云上資產是否發生了變化？生了變化？IaC配置缺陷問題配置缺陷問題K8S配置缺陷問題配置缺陷問題運行時配置缺陷

12、問題運行時配置缺陷問題難點難點:信息安全無法跟上開發速度信息安全缺陷往往在開發周期的后半段或投入生產之后投入生產之后才被發現安全團隊缺少上下文上下文，修復過程往往依靠手動依靠手動人工安全修改又會被下一次部署所覆蓋覆蓋云基礎架構通過代碼構建的方式不斷快速不斷快速變化27解決方案解決方案:將信息安全從生產前移到開發(shift-left)28DEVELOPERSECURITYDEVELOPMENTRUNTIMEIaC Security&ConSecBuild-Time:Code Repos&CI/CD IntegrationKSPM,ConSec&Drift MonitoringRuntimes:

13、Kubernetes&ContainersCSPM,FA&Drift MonitoringRuntimes:Workloads,&Serverless有效評估云基礎架構安全問題有效評估云基礎架構安全問題代碼倉庫及代碼倉庫及CI/CD開發環境開發環境（云端及本地）（云端及本地）代碼倉庫集成，IaC文件掃描CI/CD 管道集成，對IaC及容器進行安全掃描IaC自動修復建議推薦公有云環境公有云環境云平臺資產可視云平臺資產實時安全分析云平臺資產配置（IaC）漂移追蹤K8s及容器環境（云端及本地）及容器環境（云端及本地）K8s配置安全分析K8s配置（IaC）漂移追蹤容器鏡像安全掃描發現所有缺陷缺陷借助有效的評估機制借助有效的評估機制公有云公有云基礎架構基礎架構微軟微軟AD域域Web應用應用