【A9】终端安全风险主要来源及防范措施

文摘   科技   2023-09-18 09:56   广东  

“A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践。”



01

序言


“术业有专攻”、“一万小时定律”、“一万公里人车合一”,是的没错,只有选定一个方向,持续不断地投入足够多的时间,才能够从0 开始,逐步成为一个领域的老司机,掌握其中的心得,取得一些还行的成绩,我对此深信不疑。

上期作为开篇,写到《初始终端安全》,总结了终端上的一些基础安全防护要点、关键的度量指标等,框架意义居多。从这期开始,打算分为几个专题展开细说,与同路人多找到一些共鸣点


02

正文

随着企业对互联网系统安全性的重视程度越来越高,全面修复互联网资产漏洞、在互联网边界部署WAF、IPS类产品、购买互联网资产攻击面监测服务或建立SRC机制已是常见之举,使得攻击者不得不“绕远路”,从终端侧发起攻击。本文主要从终端安全的三大风险来源及防护措施展开叙述


03

终端上网管控
终端用户类型主要包括内部员工、外包员工及访客,三者均需访问互联网资源。为了尽降低用户无意识地访问到外部恶意地址的风险,切断终端中毒后进一步下载实际攻击或远控载体,实施黑/白名单上网策略能起到奇效。

黑/白名单策略的部署方式:一般使用防火墙或上网行为设备实现,其中白名单策略包括按域名、IP或端口维度做白名单策略,运营成本相对较高,但是防护效果也相对较高,一般在重保时期、有限办公需求的特定部门(如客服中心)使用较多;而黑名单策略,一般使用情报网关类产品、安全DNS类产品实现基础防护,并不断补充日常运营中发现的恶意样本外连地址、异构恶意情报中的链接地址。

内部员工与外包员工需要访问互联网、内网资源,为了尽可能降低来自互联网的风险,理想的做法是将互联网终端、内网终端相互隔离使用,并在互联网终端采用黑/白名单策略,同时使用数据摆渡系统满足文件跨网传输需求;访客只需要访问互联网资源,与内网资源隔离,但这并不意味着无需管控及运营,毕竟访客网络依然使用的公司互联网出口,要是出现异常外连的情况,还是有可能被监管通报,因此,还是有必要采用上网黑/白名单策略

04

软件下载源管控


软件下载,作为终端用户主动获取互联网资源的方式之一,存在较高的安全风险。有一类终端中毒事件十分常见:终端用户从非官网渠道(如XXX下载吧、XXX软件园)下载了办公软件的下载器,运行后安装一堆需求以外的软件或插件。若只是广告类软件,风险倒没这么高,但我们在近期的告警中发现几起终端通过此方式感染了“银狐”病毒,攻击载体被运行后发起恶意外连,且属于长连接,并通过计划任务、启动项等方式实现持久化,攻击意图相当恶劣。

如果减少这类风险?企业通常会将终端系统镜像标准化,安装桌面操作系统的同时,将常用的办公软件、终端安全软件一同打包安装。同时,企业在内部建立软件仓库,便于用户下载或更新工作中可能用到的各类软件。相信很多企业都能做到这两点,为了尽可能减少用户从非官网渠道下载软件,还可以采取进一步措施:1.仅允许终端安装或运行来自内部软件仓库的软件,市面已有一些软件管理类产品支持;2.将日常运营过程中发现的恶意软件下载源加入终端上网黑名单中,实现方式较多

05

钓鱼邮件防范及运营

防范钓鱼邮件攻击,作为终端安全上的一个老生常谈话题,已有相对成熟的防护方案:将邮件系统收于内网,所有外对内发送的邮件过邮件安全网关,邮件附件经沙箱检测分析等。 
   
但有些邮件钓鱼攻击的迂回手法还是能绕过常规的防护体系:

1、冒充用户的领导身份,正文内容极短,只留下一个QQ群号,通知用户立即加入,说是有重要指示。针对这类钓鱼邮件,可通过在外来邮件的正文开头插入一行风险提示,能有效地将用户从繁忙的工作思路中拉起安全意识。


2、为了避免邮件的恶意附件直接被沙箱分析并拦截,攻击者会在正文中插入一行公有云盘类链接(绕过安全网关检测),引导用户从该链接下载真正的恶意文件。刚结束不久网络安全攻防演习中,我们就捕获了一起使用以上方式的攻击行为,使用当下最吸引眼球的关键字作为邮件内容(比如最近的“台风防范通知”),吸引用户点击外部链接下载恶意文件,再利用终端软件0-day漏洞拿下终端。攻击行为相当恶劣,风险程度极高。


攻防实战过程中,“武德”这东西是不存在的。万一被攻击者绕过了现有的邮件安全防护手段,那就是拼安全运营水平的时候了,响应措施的完备性、响应操作的耗时长短将决定着防守者是否能在这场战役中存活下去。以下是发现钓鱼邮件攻击时,需在全局范围实施的响应措施:


1、通过邮件网关搜索所有与本次钓鱼邮件有相似主题、内容、发件人、发件地址的邮件接收记录,确认影响范围;若发现有其他用户接收到钓鱼邮件,则采取回收邮件、通知用户的方式避免影响面扩散;

2、从流量设备中检测近期是否有其他用户访问了恶意文件的下载链接,或访问了回连地址,并将恶意地址加入日常检测范围;

3、在终端出网路径的网关类设备(AC、IPS等)中,封禁恶意地址,或做DNS黑洞处理;

4、在邮件网关中拉黑发件人、拦截相似主题/内容的邮件;

5、在终端安全系统中禁止恶意进程启动、拉黑相关文件MD5;

6、联系供应商关停互联网钓鱼链接地址;

7、与邮件网关厂商一同分析本次钓鱼邮件未被邮件网关识别的原因,进一步完善检测策略

06

结语
访问互联网、下载软件以及接收邮件,作为终端安全防护领域三大外部风险输入源,本文归纳了相应的防护措施及运营经验作为分享。欢迎各位读者留言讨论,谢谢!








A9 Team
A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践,期望和朋友们共同进步,守望相助,合作共赢。
 最新文章