本文探讨了网络安全领域中,如何通过理解业务流程和利用技术的可观测性,转变运维人员的视角,对抗攻击者更具针对性的威胁。文章详细解释了攻击者和运维人员的不同视角,并介绍了攻击路径、攻击向量和攻击面的概念,以及业务应用架构的演变,提倡采用攻击路径分析方法来提升安全管理效率。
在网络安全领域,攻防双方的竞争日益激烈。然而,我们不能忽视的一个现实是,攻击者往往比网络运维团队更具先见之明。他们能够看到充满机会的漏洞可利用路径图,而运维人员往往只看到静态的服务器网络资产矩阵。同时,安全从业人员往往会把自己的技术视为玄学,认为每一次攻防复盘都是独一无二的,无法被重复的。
那么,作为安全从业者,我们该如何转变视角,从而更有效地抵御这些威胁呢?
稳定的业务
一个组织存在的目的是由其业务使命所决定的。举例来说,一个燃气公司几十年来一直依赖人工抄表收费。然而,随着技术的发展,业务链路也在不断演变和改善。过去,需要人工上门抄表,现在则可以借助物联网(IoT)设备来自动获取读数。类似地,过去人们使用信用卡或银行卡进行支付,而现在则普遍采用微信支付宝等电子支付方式。
从这个角度来看,业务链路相对稳定且有迹可循。这种趋势是不可阻挡的。在过去,燃气公司依赖人工上门服务来记录表计数据,这个过程耗时且容易出错。而现在,数字表作为IoT设备可以自动采集和记录数据,并将其存储在云端,从而保证了数据的完整性和可访问性。这也方便了历史数据的追溯和审计。
运维眼中的 IT 资产
多年来,新入行的安全运维同学往往犯下一个共同的错误,即过于强调技术,而忽视了业务的重要性。他们眼里看到的都是云大物移, 一个个资产。 那么有没有想过这些资产存在的理由呢。归根结底, 他们无一不是支撑业务活动而存在的。
IT 运维资产视角
在当今流行的混合云环境中,可观测性问题变得越来越突出。例如,在阿里云上开通的服务器,很难得知它们具体运行在哪个机房的、哪种类型的服务器上。这使得安全运维同学们难以从物理层面了解资产背后的细节。
攻击者眼中的路径
攻击者往往处于领先地位,他们通常从链路的角度入手。对于他们而言,“攻击路径(Attack Path)”、“攻击向量(Attack Vector)”和“攻击面(Attack Surface)”这三个术语具有各自独特的含义和作用。准确理解它们之间的区别对于制定有效的防御策略至关重要。
我们将这三个概念整理成一个表格,以便更直观地比较它们:
|
概念 |
定义 |
特点 |
重要性 |
|
攻击路径(Attack Path) |
攻击者可能利用的一系列被可视化的漏洞,以获取对一个或多个资产的访问权限,并在受损网络中横向移动。 |
基于特定图形模式的图算法,生成针对某个资产的最关键路径。这是基于多个风险因素计算出的,满足最低分数阈值。 |
识别和加固可能被攻击者利用来渗透网络的薄弱环节。 |
|
攻击向量(Attack Vector) |
攻击者用来发起攻击的方法或手段。 |
侧重于攻击者的行动方式,即他们如何利用系统或云环境中存在的安全漏洞。 |
加强对特定攻击手段的安全防护措施,防止此类攻击手段的成功。 |
|
攻击面(Attack Surface) |
一个环境中所有潜在的、可被利用的漏洞总和。 |
广泛概念,涵盖了企业基础设施中所有可能受到网络攻击的部分。 |
更全面地审视安全风险,有效规划和实施安全策略。 |
下图验证了这个观点, 对“攻击路径”、“攻击向量”和“攻击面”这三个网络安全概念的直观比较,有助于更好地理解它们在网络安全管理中的作用和重要性。
攻击者路径视角
根据图中展示的信息,攻击者的侵入过程可以这样解读:
- 识别攻击面(Attack Surface):
攻击者首先会观察并评估目标环境,以确定可被利用的潜在脆弱点,即攻击面。这包括公开的网站、API接口、网络端口、APP、小程序入口点等,任何可以访问的点都可能成为攻击面的一部分。
- 执行攻击向量(Attack Vector):
在确定攻击面后,攻击者会利用一个或多个攻击向量来实施攻击。这些攻击向量可能涉及各种技术,例如利用软件缺陷、配置错误或其他安全漏洞。在图中,被标记为“CVE”的部分代表攻击者可能利用已知的安全漏洞来控制计算资产。
- 确定攻击路径(Attack Path):
首先边界资产漏洞确认,攻击者会选择一个或多个入口点开始探索攻击路径。攻击路径是攻击者为了达到目标资产而必须经过的一系列步骤或环节。在图中,攻击路径从左至右穿过“公开访问”点和“网络安全控制”,最终到达“计算资产”。这个路径展示了从外部向内部系统深入的过程。
其次成功进入内部,攻击路径并不会停止。攻击者可能试图获取更高级别的权限,如管理员权限、特权执行或数据访问权限。这会给攻击者提供更多操作的自由度,例如访问敏感数据、安装恶意软件或创建后门。
最终,组织发现目标系统被入侵问题, 应急溯源后,发现通过一系列的攻击步骤,最终导致了数据泄露、系统破坏或其他恶意行为。
安全人员眼中的链路
在当今的网络安全系统中,应用程序、API、端点以及软件组件不断地变化和更替,这些元素分布在IT价值链的不同部分,使得不可能孤立地分析事件或安全事故。尤其是云原生等技术的广泛采用, 一个简单的应用往往会依赖二三十个不同类型的资产,这已经成为极为常见的情况。
业务应用架构
结合 IT 运维人员和攻击者双方的视角, 上图描述了一个典型的业务应用新架构的流行架构访问过程。从左到右,它说明了用户如何通过不同的技术组件进行交互:
- 用户( User)通过使用(Uses)互联网(Internet)访问抄表收费(业务)。
- 用户首先接触到的是Web应用防火墙(WAF),这是一个广泛使用的网络防护设备, 提供反向代理和防火墙功能。
- WAF进一步连接(ConnectedTo)到应用服务器前端(Nginx)然后连接到API网关,API网关管理API调用的流量,并可能还包括负载均衡和请求路由功能。
- API网关后面是应用的业务逻辑处理层,通常由一个或多个微服务组成。这些微服务运行在本地的Kubernetes(本地K8S)集群上,用于容器编排。此外,还可能包括第三方支付服务 API 等。
- 微服务需要访问数据库来存储和检索数据,如MySQL数据库。
- 此外,可能还会有专门的搜索或数据分析服务,如Elasticsearch(ES),用于处理复杂的搜索和数据分析任务。
- 此外,微服务之间可能通过消息队列(未显示)实现协同,这些微服务可能包括数据处理、用户管理等。
总的来说,这个架构展示了一个现代的、可扩展的、微服务驱动的云原生应用架构。它利用容器化和服务编排技术提供高效、安全的用户访问和数据处理能力。
在面对动态的风险环境时,为了有效应对,我们需要采用一种方法来合理考虑高度参数化和非循环性的攻击路径。理想情况下,安全运维人员看到的应该是如下图这样的:
攻击路径分析(APA)
每次扫描都会发现大量的漏洞,逐一修复这些漏洞是一项困难的任务。通过上面直观的图示,我们发现一个相对较旧的漏洞,即LOG4J CVE漏洞,其漏洞编号为CVE-2021-44228。该漏洞影响Apache Log4j2 2.0-beta9到2.15.0版本(除2.12.2、2.12.3和2.3.1这些安全版本之外)。与此相比,在更加互联网和更新的环境中,CVE-2023-20073是一个更容易被利用的漏洞,因此安全人员应该特别关注。
结合业务特点, 攻击路径分析(APA)链路图提供了一种数学方法来解析数据,以提高安全性。它能够建模对象之间的关系,并以属性和图形可视化的方式展示企业安全栈。更重要的是,它通过将可观察数据的组件分解成图形,提供了一种相关的、基于上下文的方法来理解安全事件。
北京图治云安科技有限公司是一家专注于CNAPP领域的技术公司,我们致力于将复杂的安全问题通过可观测性来实现简化,为万千企业上云实现一站式安全解决方案。
扫一扫
1835
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
