自1949年世界上第一种计算机病毒——约翰·冯·诺依曼提出的一种可自我复制的程序设计问世,到1990年世界上第一款网络防火墙产品出现,经过几十年的发展,攻防对抗已经进入白热化阶段。
攻防演练场景边界安全挑战
1.混合环境导致的边界复杂
互联网出入方向、分支机构互访、VPC间互访、VPC子网间互访等错综交织的复杂流量导致边界模糊,造成暴露面增大。
2.异构环境间的专线连接防护薄弱
VPC与IDC、多云之间的专线通路易被攻破,通过打穿办公网拿到权限入侵成功的案例时有发生。
3.0day漏洞高频产出
2022年攻防演练期间共披露近80个0day漏洞,防御规则实时更新与虚拟补丁成为刚需。
4.远程命令执行“一招即毙”攻击方式备受欢迎
从漏洞利用方式上,蓝军最喜欢的攻击方式为远程命令执行“一招即毙”攻击方式,占比33%。
攻防视角下的八大能力优势
经过对大量实际攻防场景总结,阿里云安全团队梳理出攻防双方的8大关键动作,如下图:
四大核心场景最佳实践
最佳实践一:暴露面防护
01.使用多账号管理功能实现全集团域网络资产的集中化管控和防护。对于拥有多个账号的企业,通过多账号管理功能,实现对于全集团域各个业务的可视及管控防御。
02.配置精细化的L3-L7流量访问控制策略。如通过细粒度的应用级保护,可以对MySQL、Redis进行精细化管控,从而避免非应用级别的流量恶意访问。
03.下发智能策略。智能策略基于历史流量的学习,可对远程访问控制常见IP、地域进行策略自动化生成,进而实现一键区域封禁、蠕虫防御等能力。
04.利用日志分析功能审计网络流量。云防火墙支持L3-L7全流量日志功能,可以较好地解决对全局流量感知力不强的问题,完整地对南北东西向流量进行监控。
攻防演练TIPS:
1.打开【新增资产自动保护】开关,当云防火墙发现账号下有新增资产时,会自动引流开启保护,避免该资产无任何防护状态下暴露在互联网中。
2.点击【批量操作】可以将公网IP全部开启或者全部关闭,可以快速地进行引流或断开引流。
3.点击【地域->查看详情】查看各个地域资产分布情况,依据资产重要程度选择全部开启或者全部关闭。
4.点击【资产类型->查看详情】查看各个资产类型分布情况,依据资产类型的重要程度选择全部开启或全部关闭。
最佳实践二:混合云VPC互访管控
VPC互访可视化呈现
01.通过云企业网转发路由器(企业版)连接混合云的网络实例,实现混合云网络互通。
02.开启云防火墙VPC防火墙云企业网(企业版),将混合云网络互通流量引流到云防火墙进行防护。VPC防火墙云企业网(企业版)可以防护同地域/跨地域VPC互访、VPC和线下IDC/第三方云互访的流量。
03.配置VPC边界访问控制策略,实现混合云网络互通流量的精细化管控。
04.利用日志分析功能审计混合云网络互通流量,确认流量的管控效果,排查是否有异常流量。
攻防演练TIPS:
通过【流量分析->VPC访问活动】可以查看东西向的暴露面情况。
最佳实践三:止血防御
01.开启云防火墙威胁情报、基础防御、虚拟补丁等防护技术,针对恶意IP、常见网络攻击、高危漏洞利用事件,进行实时攻击防护。
02.重保期间启用威胁引擎严格拦截模式,支持更多范围的安全事件防护。
03.利用异常外联通知功能,排查处置主动外联风险IP/域名的事件,对于恶意IP/域名可以一键配置访问控制策略及时阻断。
攻防演练TIPS:
打开【攻击防护->防护配置->拦截模式-严格】,虽然严格模式组可能误报更高,但防护粒度最精细,覆盖基本全量规则,更适合对安全防护漏报要求高的场景。以2022年攻防演练为例,60%企业在使用云防火墙中开启了“严格模式”防御,超8成企业选择了中等以上的模式。
对于误拦截或企业自有IP资产,可以通过【攻击防护->防护配置->防护白名单】进行加白,白名单策略为单向加白,出向、入向、目的IP、源IP等为“或”条件,例如不能同时指定源IP和目的IP作为加白的条件。加白后基础防御、智能防御、虚拟补丁对白名单中IP不再生效。
对于威胁情报出现误拦截情况,可以通过【访问控制->互联网边界防火墙->外到内】创建对源IP的放行策略。
最佳实践四:主动外联&入侵回溯
云防火墙除了支持各类木马通信的检测,同时支持常见的反向连接及其外联恶意行为的检测,通过蛛丝马迹可以有效发现蓝军的外联行为,从而进行阻断、反制等操作。
云防火墙提供的外联能力
通过设置页面可以对上述行为进行24小时的监控&通知,避免人员24小时蹲守,浪费人力。
攻防演练TIPS:
1.企业如果有自己的威胁情报源或入侵溯源需求,可以在【日志分析->日志分析->日志查询】中建立符合企业自身业务的监控项,以满足对云上流量的实时监控和响应需求。
2.对于使用NAT服务的企业,如果需要对NAT EIP到私网IP的流量进行追踪,可以在【防火墙开关->NAT防火墙】中开启对应开关,日志可在【日志分析->日志审计->流量日志->NAT防火墙】中查询。如您无法创建NAT防火墙,请联系您的商务经理。
3.今年年初,云防火墙进行企业级方案2.0升级,VPC防火墙可以通过CEN-TR一键自动开启,建议参与攻防演练的企业使用VPC防火墙进行防护。
阿里云云防火墙连续两年入选Gartner网络防火墙魔力象限“挑战者“象限,获得国际权威安全检测机构ICSA Labs的云安全IPS认证,阿里云是唯一一家通过测评的提供云原生防火墙的厂商。
发表评论
您还未登录,请先登录。
登录