基于MITRE Shield 的阿里云主动防御技战法

简介: 没有网络安全就没有国家安全!”随着云计算、大数据等技术的飞速的发展,越来越多的单位从传统网络架构往云端架构进行演变,然而一次又一次的云安全事件(特斯拉托管在AWS的Kubernetes集群被入侵,某商银行AK/SK遭受泄漏,Docker Hub频繁爆出恶意漏洞镜像)让用户享受云带来红利的同时,也产生了极大的安全担忧,为适应当前的云端安全形势,可以在云端日常的安全运营中,通过实践的方式建立一套基于云端安全(引导—收集—检测)实战对抗的主动防御战术体系,从而更好的对未来未知的云端攻击做准备。

一.技战法背景

“没有网络安全就没有国家安全!”随着云计算、大数据等技术的飞速的发展,越来越多的单位从传统网络架构往云端架构进行演变,然而一次又一次的云安全事件(特斯拉托管在AWS的Kubernetes集群被入侵,某商银行AK/SK遭受泄漏,Docker Hub频繁爆出恶意漏洞镜像)让用户享受云带来红利的同时,也产生了极大的安全担忧,为适应当前的云端安全形势,可以在云端日常的安全运营中,通过实践的方式建立一套基于云端安全(引导—收集—检测)实战对抗的主动防御战术体系,从而更好的对未来未知的云端攻击做准备。

二.技战法实战

通过利用网络欺骗战术 全面引导攻击方向,根据云安全ATT&CK攻防矩阵全面对攻击者手法进行收集,实现攻击者在云端攻击的路径测绘,通过在云端狩猎的方式对攻击者的攻击行为进行实时捕获,从而更好的构建云端主动防御体系去应对集团化、武器化等具有真实威胁的攻击事件。

1.利用网络欺骗战术 全面引导攻击方向(引导)

通常情况下攻击者在对防守方的核心云资源发起攻击时,会先通过收集实例登录信息,云平台AK/SK密钥信息等方式来冒用账号所有者非法入侵云平台,操作相关云服务资源,为此,我们可以利用攻击者攻击思路,通过将包含“已部署好猎夹的源代码信息”上传到Gtihub代码仓库平台上的这种自行暴露出“云服务器登陆信息诱饵”方式来以假乱真,全面引导攻击者沿着我们精心设计好的路径方向进行攻击。

2.全网收集攻击者攻击手法,实现攻击者攻击路径测绘(收集)

根据云安全的ATT&CK攻防矩阵,收集分析攻击者在各个阶段对云服务发起攻击所使用的攻击手段(例如:通过在云函数中添加后门、通过Writer ACL对对象存储服务进行提权),并结合多方威胁情报数据源对其攻击路径进行测绘,并结合自身实战经验,观察攻击者使用攻击战术,制定对抗战术。

image.png

3.实时检测捕获攻击行为,构建云端主动防御体系(检测)

通过在云端VPC专有网络中部署主机诱饵检测点的方式,来实现实时检测捕获攻击行为,主机诱饵是与实际业务无关的诱饵,主要的作用实现主动防御,在创建主机诱饵后,将这些主机分布在VPC网络内各个网段中,通过云平台监控及VPC专有网络日志来监控各个主机诱饵的安全流量及实时活动,当攻击者成功登陆到我们留下的“云服务器登陆信息诱饵”后,再利用其作为跳板与VPC专有网络中的主机诱饵进行连接时,云监控就会触发警报,并根据告警规则快速触发创建“主机诱饵”快照,对其相关行为进行捕获保存,随即VPC专有网络会记录其流日志,通过此方式来侦查到攻击者,不仅能在扰乱延缓攻击者对真正目标发起攻击行为的同时,还能针对攻击者的攻击行为进行捕获,使目标系统得到保护。

相关实践学习
使用ROS创建VPC和VSwitch
本场景主要介绍如何利用阿里云资源编排服务,定义资源编排模板,实现自动化创建阿里云专有网络和交换机。
阿里云专有网络VPC使用教程
专有网络VPC可以帮助您基于阿里云构建出一个隔离的网络环境,并可以自定义IP 地址范围、网段、路由表和网关等;此外,也可以通过专线/VPN/GRE等连接方式实现云上VPC与传统IDC的互联,构建混合云业务。 产品详情:https://www.aliyun.com/product/vpc
相关文章
|
数据采集
红队工具推荐——OWASP ZAP
红队工具推荐——OWASP ZAP
340 0
红队工具推荐——OWASP ZAP
|
安全 数据挖掘 网络安全
Web渗透—— Honeypot
Web渗透—— Honeypot
156 0
Web渗透—— Honeypot
|
Web App开发 云安全 供应链
PyPi供应链投毒系列事件,Discord助力黑客攻击
为应对日益扩大的软件供应链攻击风险,阿里云安全团队对主流第三方包管理仓库进行了持续性安全检测,并在近期侦测到十余起基于Discord的PyPi恶意投毒事件
778 0
PyPi供应链投毒系列事件,Discord助力黑客攻击
|
安全 网络安全 atlas
|
安全 API 网络架构
犯罪分子瞄准WordPress REST API漏洞进行网络黑产活动
本文讲的是犯罪分子瞄准WordPress REST API漏洞进行网络黑产活动,1月26日,WordPress 释放安全更新 WordPress 4.7.2,修复了 4 个安全漏洞
1580 0
|
测试技术 网络安全 数据安全/隐私保护
双效合一:DeathStar配合empire进行自动化攻击
本文讲的是双效合一:DeathStar配合empire进行自动化攻击,在我介绍这一攻击方法之前,我先借此机会说明:在你渗透测试中,拿下域管并不是唯一的目标。
1408 0