一 事件背景
近日,有关部门对外界宣布,某大学遭受境外网络攻击的“真凶”是美国国家安全局(NSA)特定入侵行动办公室(TAO)。通过取证分析,技术团队累计发现攻击者在某大学内部渗透的攻击链路多达1100余条、操作的指令序列90余个,并从被入侵的网络设备中定位了多份遭窃取的网络设备配置文件、遭嗅探的网络通信数据及口令、其他类型的日志和密钥文件以及其他与攻击活动相关的主要细节。
总而言之,此次来自国家级别的网络攻击系列事件对我国的高端科研机构带来了恶劣的影响,同时,按照官方的说法,该次事件只是针对我国网络攻击事件的冰山一角。如何及时识别此类攻击并预警,成为了我国网络安全界的当务之急。
那么,有什么方案能够防止此类事件再次发生吗?绿盟君专门还原了此次事件的攻击流程,结合绿盟科技零信任SDP安全解决方案,给大家一个完整而清晰的解答。
二 网络攻击流程还原
此次攻击活动中所使用的武器类别分为四大类:
1.漏洞攻击突破类武器,例如“剃须刀”、“孤岛”
2.持久化控制类武器,例如“NOPEN”、“二次约会”
3.嗅探窃密类武器,例如“饮茶”、“敌后行动”系列武器
4.隐蔽消痕类武器,例如“吐司面包”
攻击流程可以综合性地概括为:
突破设备 →进行持久化控制→窃密和拓展→隐匿行迹
1. 突破设备
① 通过对互联网设备(边界设备和后端服务器等)进行信息收集:发起端口扫描等,自动探知目标系统服务开放情况,设备系统类型和版本。
② 根据前期得到的环境信息,发起远程溢出和漏洞攻击:直接或间接获取对目标主机的完整控制权。
2. 持久化控制
① 植入木马和后门等长期内存驻留程序:对某大学网络进行隐蔽持久控制。
② 通过公开网络,收集邮箱等个人敏感信息:进行社工活动,发动针对个人主机设备的攻击。
③ 利用前期已经控制的设备,对个人主机设备的浏览器发起有针对性地远程溢出攻击,已知漏洞利用:获取某大学办公网内部的个人主机权限后,实施持久化控制。
3. 窃密和拓展
① 在路由器网关等边界和转发设备发起中间人攻击,进行流量劫持:进行监听、嗅探、窃密行动。
② 在个人主机中植入嗅探窃密类程序:窃取了SSH等远程管理和远程文件传输服务的管理密钥,从而获得内网中其他服务器的访问权限。
③ 根据前期获取信息,在内网横向移动,发起扫描,爆破,漏洞利用等操作:绘制内网网络地图,寻找目标靶机(重要的资产设备)。
④ 对新的目标靶机进行攻击:循环重复以上攻击操作。
4. 隐匿行迹
① 在控制的上网设备中植入隐蔽消痕类程序:清除、替换被控某大学上网设备上的各类日志文件,隐藏其恶意行为。
② 清除各类后门木马,改用SSH或者远程控制软件等常用通信方式,用常规的通信方式掩盖非法外联,防止被安全设备发现。
三 防护痛点梳理
根据该次攻击的进攻流程和细节,我们可以看到被攻击方在安全防护方面的缺陷:
设备和网络过度暴露:设备和网络的相关信息被攻击方轻易地收集,进而绘制了网络地图,并精准地实施了网络攻击。
终端设备环境安全能力不足:木马和后门等程序在设备上长期驻留,给使用该设备的用户带来了未知的泄密和安全威胁。
帐户动态的精准授权能力不足:通过这些被窃取的机密帐户信息,轻易地对重要服务发起访问,进一步导致了更多的机密泄露。
链路传输安全能力薄弱:通过中间人攻击对加密流量进行劫持,进一步发起攻击和被动嗅探窃密。
上网安全能力薄弱:窃密信息被隐藏在正常程序的流量中,完成了对外转移。
综上所述,我们可以看到以上薄弱环节在整个攻击过程中是环环相扣,多路出击。而基于单个环节的独立防护措施(如防火墙)虽然能提高单个环节的安全能力,但是对于整体而言却是杯水车薪。
四 绿盟科技零信任SDP安全解决方案
绿盟科技零信任SDP安全解决方案围绕三大核心(终端,账户,资源)建立了从终端启动到获取访问资源的全流程持续检测与防护的全套安全防护体系。
终端设备环境安全能力如何实现?
用户想要在任何地方访问内网应用,都必须在自己的设备安装绿盟科技零信任SDP配套的客户端,该客户端会定时上报终端环境信息,实时检查该终端设备的运行环境(如进程,端口等),及时发现非法的进程和高危端口。
如何确保用户登录认证过程的安全可靠?
在向绿盟科技零信任SDP发起登录认证过程中,除了校验身份之外,还会综合对终端环境、登录网络、登录地点、登录时间和登录设备等一系列综合因素进行校验。
帐户如何获得动态且精准的资源授权能力?
绿盟科技零信任SDP的管理员可以通过设置访问控制策略,只有指定的人在指定的时间、地点、网络环境等特定条件下,才能够访问指定的服务资源。同时,通过用户访问记录实时生成访问行为基线,持续检测和拦截异常的访问行为。
担心设备和网络对外过度暴露?
绿盟科技零信任SDP入单包授权(SPA)的技术,确保了只有安全合法的终端设备才可以发现设备的通信端口并访问。
应用原有的通信安全能力薄弱?
绿盟科技零信任SDP代理的所有通信链路都采用双向的加密,避免网络链可能存在的被嗅探或是中间人攻击来获取数据和凭证的情况。
难以发现和拦截散恶意代码和可疑外联?
绿盟科技零信任SDP对流量进行劫持和分析,轻松实现上网安全。
综上所述,绿盟科技零信任SDP安全解决方案可以为用户提供持续监测与安全防护。当然,再厉害的方案都需要人来实施。拥有网络安全意识是保证网络安全的重要前提。只有相关工作人员具备基本的网络知识,同时对设备的使用有深入的了解,提前做好相关防护策略的配置,才能杜绝此类事件再次发生。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
