一.技战法背景
“没有网络安全就没有国家安全!”随着云计算、大数据等技术的飞速的发展,越来越多的单位从传统网络架构往云端架构进行演变,然而一次又一次的云安全事件(特斯拉托管在AWS的Kubernetes集群被入侵,某商银行AK/SK遭受泄漏,Docker Hub频繁爆出恶意漏洞镜像)让用户享受云带来红利的同时,也产生了极大的安全担忧,为适应当前的云端安全形势,可以在云端日常的安全运营中,通过实践的方式建立一套基于云端安全(引导—收集—检测)实战对抗的主动防御战术体系,从而更好的对未来未知的云端攻击做准备。
二.技战法实战
通过利用网络欺骗战术 全面引导攻击方向,根据云安全ATT&CK攻防矩阵全面对攻击者手法进行收集,实现攻击者在云端攻击的路径测绘,通过在云端狩猎的方式对攻击者的攻击行为进行实时捕获,从而更好的构建云端主动防御体系去应对集团化、武器化等具有真实威胁的攻击事件。
1.利用网络欺骗战术 全面引导攻击方向(引导)
通常情况下攻击者在对防守方的核心云资源发起攻击时,会先通过收集实例登录信息,云平台AK/SK密钥信息等方式来冒用账号所有者非法入侵云平台,操作相关云服务资源,为此,我们可以利用攻击者攻击思路,通过将包含“已部署好猎夹的源代码信息”上传到Gtihub代码仓库平台上的这种自行暴露出“云服务器登陆信息诱饵”方式来以假乱真,全面引导攻击者沿着我们精心设计好的路径方向进行攻击。
2.全网收集攻击者攻击手法,实现攻击者攻击路径测绘(收集)
根据云安全的ATT&CK攻防矩阵,收集分析攻击者在各个阶段对云服务发起攻击所使用的攻击手段(例如:通过在云函数中添加后门、通过Writer ACL对对象存储服务进行提权),并结合多方威胁情报数据源对其攻击路径进行测绘,并结合自身实战经验,观察攻击者使用攻击战术,制定对抗战术。
3.实时检测捕获攻击行为,构建云端主动防御体系(检测)
通过在云端VPC专有网络中部署主机诱饵检测点的方式,来实现实时检测捕获攻击行为,主机诱饵是与实际业务无关的诱饵,主要的作用实现主动防御,在创建主机诱饵后,将这些主机分布在VPC网络内各个网段中,通过云平台监控及VPC专有网络日志来监控各个主机诱饵的安全流量及实时活动,当攻击者成功登陆到我们留下的“云服务器登陆信息诱饵”后,再利用其作为跳板与VPC专有网络中的主机诱饵进行连接时,云监控就会触发警报,并根据告警规则快速触发创建“主机诱饵”快照,对其相关行为进行捕获保存,随即VPC专有网络会记录其流日志,通过此方式来侦查到攻击者,不仅能在扰乱延缓攻击者对真正目标发起攻击行为的同时,还能针对攻击者的攻击行为进行捕获,使目标系统得到保护。