接着第六篇继续聊,关于资产识别和管理里边,其实按工作的开展程度可以分以下三类:
1.只见树叶,不见树木
只关注了自己机构的核心资产,像核心交换、边界路由、安全设备、erp系统相关资产。
2.只见树木,不见森林
关注到了自己机构的核心资产,还能兼顾其它非核心系统和非核心资产,像内部办公系统的备份服务器、生产管理系统的测试服务器等,这个阶段的管理者还能关注到自己机构的终端以及核心的管理制度等等。
3.既见树木,又见森林
关注到了所有的数据中心资产、办公环境终端、安全管理制度体系、信息安全相关人员、第三方运维团队人员、接入资产等等。
你能看到什么,决定你可能会管些什么。
信息安全领域有很多被遗忘的人事物,几乎每个机构都会存在或大或小的“法外之地”,在这片神奇的土地上,每天都有很多不可思议的事情发生,我还是讲些身边的真实案例吧。
某大型央企总部,我们在评估时发现一台服务器被控制,登录服务器后我们傻眼了,这台服务器没有安装任何的企业应用,只有一个迅雷、一个teamviewer、外加两个隐藏的木马文件,2T的空间里边塞满了各类大电影和小电影,所有电影进行了分类,比如按演员分类,有成龙、高树玛利亚、汤姆克鲁斯、波多野结衣等文件夹,对于这种有情怀的服务器管理人员,我们集体沉默了3分钟,然后默默……。
一个跨国公司的IT运维部门,坐了一群代维公司的驻场人员,当现场检查需要登录某交换设备看配置时,代维人员潇洒地在笔记本桌面lol的快捷方式下面双击了一个excel文件,哎吗,里边都是整理好的核心网网络设备的用户名+口令!
中部地区某省直部门的开发商为了方便互联网测试,一个电话,让人家的代维网管将专网核心系统映射到互联网,至于结果,你懂的,嘿嘿,几千万敏感数据泄漏。
咱们中国人做事的时候,总是在强调合情、合理、合法,不管事大与小,总是在情理法这三者之间进行平衡,每当一家机构开始部署上网行为管理设备和终端管控软件的时候,这些设备和系统的白名单里边总是有长长的一串ip地址,而这些ip地址无一不是决策层和管理层领导的终端电脑,甚至很多安全管理的同志也把自己的网段加到了白名单里边,本来这些办公终端是安全管理的重点目标,但是在合情考量的时候就已经排除在外了。
各位可以对号入座一下,是不是很多机构的领导层终端都是这么管理的,领导层的办公终端会经常访问各类核心系统进行审批授权,工作邮箱里边还有各类招投标敏感信息的邮件,但是由于缺少管控机制,导致这些“法外之地”的终端成了各种恶意代码的频发地带。
看看12月20日深圳市光明新区柳溪工业园的山体滑坡事件,无论是当初的劈山采石,还是废弃之后改作渣土受纳场,发生灾难的这块山地,都如同一块脱离监管的飞地,在一种完全无序的状态下不受控制地接纳着从城市拉来的渣土,直至超出山体的承受极限而崩塌。
这就是一例活生生的现实生活中的法外之地发生的惨痛教训。
关于资产往细了说还可以分为业务、数据、应用和基础设施好几类,但是设备都是死的,人才是资产里边最难搞定的,这个坑很多人踩过,就不展开讲了。
在“见自己”这个环节我们强调了资产和漏洞,接下来我们来看看“见天地”。
初夏晨曦,鹿鸣寺住持一灯和尚踱入藏经阁院门,见院角古楸树一夜之间繁花似锦,树下一小和尚打坐进入冥想状态,天人一体,一灯不禁心血来潮,于是掐指一算,小和尚在少林呆了足足16年,每天三更起床闻鸡起舞,金钟罩铁布衫,铁头功铁裆功,硬底子功夫最擅长。
一灯和尚走到树下,小和尚睁开双眼,恭敬行礼,一灯便问小和尚。
“什么是功夫?”
“师傅,我天天练的金钟罩铁布衫这些就是功夫呀。”
“功夫是用来干嘛的?”
“功夫是为了强身健体,锄强扶弱,伸张正义。”
“那你的功夫如何?“
“我16年如一日,天天勤学苦练,一头可以砸碎六口新砖,师兄弟们都说我很厉害。”
“你现在就下山吧,闭门造车,始终是一个人的功夫,去看看外边的天地,去见识下大千世界的功夫。”
小和尚双手合十行了一个大礼,推开山门逍遥而去,开始了他人生真正的修行。
大多数机构的信息安全保障工作,就像十六年如一日埋头苦练的小和尚一样,投入的资源非常之多,但实际效果如何,在没有意识到自己被黑之前,总觉得自己功夫天下第一,久而久之,心态就开始傲娇了,人浮于事。
直到有一天,你家里发生了安全事件,用户库被拖了,各种媒体争相曝光,大老板亲自打电话给你,劈头盖脸一顿臭骂,竞争对手趁火打劫大肆诋毁你们,这个时候你才会从老子天下第一的傲娇心态中挣脱出来,你才会意识到自己的无知和脆弱。
你的团队开始意识到,是时候关心自己家面临的各种威胁了,我这里讲的“见天地”其实就是指“见威胁”。
见资产,见漏洞,见威胁,前两者是传统机构和安全团队关注的重点,威胁的战略位置在他们心中并没有资产和漏洞高,安全工作进行某个阶段后,安全团队会意识到威胁的重要性,有兴趣的童鞋可以看看Lockheed Martin的一篇文章《A Threat-Driven Approach to Cyber Security》,全是干货。
关于“威胁”这个概念,我在围炉夜话第一篇就已经解释过了。为什么要弄清楚各家机构面临的安全威胁,道理大家也都明白,如果你不知道攻击者会使用什么方法和手段来攻击你,你瞎折腾是没有意义的。
小和尚练了16年的金钟罩,结果人家青城派有一门金手指功夫专破金钟罩,所以小和尚如果不下山的话他就不会知道这个事,更不会知道在对上青城派功夫的时候是要用少林鹰爪功来搞定他们的。
那么作为一个机构的安全团队,你就得利用各种手段来识别来自外部和内部的安全威胁,好多人会问威胁到底有多少类,从技术角度可以参考微软的STRIDE(欺骗、篡改、抵赖、信息泄露、拒绝服务和特权提升)方法。
顺便再引用第一篇夜跑的姑娘这个故事,和大家聊聊一个完整的威胁文件:
1.资产:姑娘(用户数据库)
2.威胁类型:抢劫(信息泄漏)
3.攻击面:夜晚江边小道(门户网站)
4.攻击方式:持刀恐吓(钓鱼邮件+xss)
5.威胁源:强盗(商业黑客)
6.后果:手机被抢(用户信息曝光)
7.漏洞:江边小道无治安巡逻,姑娘未经过防狼训练(web应用程序xss漏洞+管理员安全意识薄弱)
8.控制措施:增加江边小道治安巡逻及视频监控,树立警示牌,姑娘约伴同行(源代码加固、渗透测试、DLP、waf、安全意识培训)
大家看看利用自家已有的技术手段和工具是否能识别出威胁,自己回答一下这几个问题:
1.你知道家里有哪些资产被攻击者惦记,这些资产有什么漏洞吗?(what)
2.你知道攻击者是怎么样来发起攻击,使用什么方法和工具来达到目?(how)
3.你知道攻击者为什么攻击你吗?(why)
4.你知道攻击者在什么时候发起攻击的吗?(when)
5.你知道上周自己机构有哪些ip遭到了攻击吗?攻击面是什么?攻击源又是来自哪里?(where)
6.你知道攻击者是谁吗?(who)
7.你知道这次攻击造成破坏和影响程度吗?(how much)
知己知彼,方能百战不怠,这才是看得见的能力,顺便再吐槽一句,看得见并不是导弹在世界地图上biubiubiu飞来飞去,那玩意除了满足领导看两眼的新鲜感,还能干啥,我也不知道,看完热闹还得看门道,可视化的展示只是一个辅助,可视化分析才是核心,可视化的目的是为了分析观察而不是花里胡哨地展示一些数据。
说到威胁,你光知道自己家的资产和系统遭受的攻击是远远不够的,那还缺什么,对小和尚来讲,他知道了如何利用不同的功夫去对付武当派、峨眉派、衡山派、崆峒派是不够的,那他还应该知道些什么?
答案是情报,再具体点就是威胁情报。
生活里边的情报我在上篇讲了很多,那么安全领域的威胁情报是怎么回事,看看Gartner关于威胁情报的定义。
威胁情报是一种基于证据的知识,包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。
简单来说其实就是能够帮助你识别出威胁并作出明智决定的知识。
还是拿小和尚来聊,小和尚下山后来到清风镇,与青城派的少侠451切磋过之后才知道一物降一物,天下功夫没有谁是第一的说法,收获颇多,与451吃完煎饼果子后回客栈打坐休息,这时,客栈外边传来一阵尖叫声,小和尚仔细一听,原来是镇上来了个采花大盗,大白天的祸害了两个良家妇女,一身轻功和点穴功夫甚是了得,武当派的下山历练弟子李二二在与大盗交手时被打成重伤。
小和尚听到这里大吃一惊,原本他是要去抓那个采花大盗为民除害的,但是听到李二二都不是其对手,立马就明白自己也不是大盗的对手。但是小和尚寻思中轻功和点穴功夫了得十有八九是崆峒派的弟子,镇子里的昆仑派俗家弟子大牛可以治住他,于是就赶紧下楼去找大牛求救,大牛果然不负众望,追了三天两夜,终于将采花大盗绑了回来。
小和尚在故事里边就充分发挥了威胁情报的作用。
大盗功夫比李二二厉害,而两个小和尚都搞不定李二二,这是情报的第一个价值点。
第二个是大盗的轻功和点穴功夫了得,很像崆峒派的功夫,而且崆峒派臭名昭著,于是小和尚猜测这个大盗是崆峒派弟子,这是第二个价值点。
昆仑派功夫专治崆峒派,而且镇子上就有一个现成的昆仑派弟子,而且大牛功夫比李二二厉害很多,这是第三个价值点。
采花大盗身高大概175,走路外八字,而且手背上纹着一只蝌蚪,这是第四个价值点。
再来看安全领域的威胁情报。
美国cert曝光一种新的蠕虫,已经感染了全球10万台某品牌路由器,这是威胁情报。
天际友盟情报平台发布“sg-ghost”木马分析情报,该木马的攻击对象为我国电力行业信息系统,这也是威胁情报。
关于威胁情报我就不班门弄斧了,有兴趣的各位可以去围观一下sec-un安全圈。
关于“见天地”我就讲着么多吧。
如有疑问可联系作者,个人公众号(sunw3i)。
