《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 【零信任】從一次黑客實戰(zhàn)看“零信任”到底有啥用

【零信任】從一次黑客實戰(zhàn)看“零信任”到底有啥用

2021-03-19
來源:白話零信任
關(guān)鍵詞: 黑客 零信任

  時至今日,,零信任已經(jīng)不再冷門。但是大部分人對于零信任的了解還停留在概念層面,知道零信任有哪些能力,,但不知道零信任到底怎么解決實際問題的。

  其實,,零信任本身是非常落地的,,著名的零信任架構(gòu)BeyondCorp就是谷歌公司根據(jù)自身的攻防實踐總結(jié)出來的。谷歌內(nèi)部一直沿用至今,,效果顯著,。

  下面舉一個黑客攻擊的實戰(zhàn)案例,看看企業(yè)網(wǎng)絡(luò)存在哪些問題,。然后再看看面對同樣的攻擊,,零信任能起什么作用。(案例根據(jù)《黑客出更》改編)

  1,、一次黑客攻擊實戰(zhàn)

 ?。?)背景

  Alpha公司(化名)是國際知名的系統(tǒng)軟件公司。Hammer系統(tǒng)是公司的核心產(chǎn)品,,產(chǎn)品質(zhì)量行業(yè)第一,。但是Hammer系統(tǒng)在給公司帶來巨額收入的同時,也引起了很多同行的覬覦……

  小黑是一名“客齡”三年的職業(yè)黑客,。

  某天,,一個身穿西服老板模樣的人找到小黑,出價500萬,,要偷到Hammer軟件下一個版本的全部源代碼,。

  商業(yè)競爭的事情,小黑也不是很明白,,反正回報異常豐厚,,小黑決定接受這個合約。

 ?。?)收集信息

  開始攻擊之前,,小黑對Alpha公司的信息進(jìn)行了全方位的搜集。

  小黑用谷歌搜到了很多Alpha公司的員工郵箱,。小黑查看了所有郵箱的前綴,,很快就猜出了Alpha公司郵箱的命名規(guī)則——姓名的全拼。

  在網(wǎng)上搜索員工信息時,,小黑還發(fā)現(xiàn)了不少Alpha公司大牛分享的技術(shù)帖,,里面就包含很多Alpha公司的網(wǎng)絡(luò)情況。小黑還意外地在一個合作公司的網(wǎng)站上找到了Alpha公司部分銷售機(jī)構(gòu)的通訊錄,。

  在收集了大約200個公司的郵箱地址后,,小黑覺得信息搜集得差不多了。

  (3)釣魚

  為了配合下一步的攻擊行動,,小黑做了一個假的游戲網(wǎng)站,。

  小黑從之前搜集的郵箱中選出10個(控制數(shù)量避免垃圾過濾),發(fā)送了一封釣魚郵件——免費試玩最新游戲,。大致內(nèi)容是我公司正在測試一款新的游戲,,需要高手的測試,你是游戲高手嗎,?來試試,!郵件中有個游戲的下載鏈接。當(dāng)然,,游戲文件是帶木馬的。

  小明是個年輕的碼農(nóng),,除了寫代碼,,就是玩游戲。一天早晨,,小明瀏覽公司郵件時,,發(fā)現(xiàn)了免費試玩游戲的郵件,“酷??!”小明贊嘆著,,內(nèi)心的沖動讓他決定要試一試,。

  小明知道不能讓公司抓住自己通過公司網(wǎng)絡(luò)下載游戲,所以,,他先關(guān)閉了公司的VPN連接,,然后點擊了郵件中的鏈接下載游戲。

  下載后小明進(jìn)行了病毒掃描,,沒問題后才開始游戲,。游戲是個“綠色”軟件,無需安裝,,小明感覺很不錯,,玩得很過癮,還寫了一個郵件,,給“開發(fā)商”提了些建議,。

  當(dāng)然他沒有注意到,游戲開始的同時,,木馬后門程序已經(jīng)開始工作,。(小黑深知Alpha公司終端管控軟件的厲害,木馬沒有在本地留痕跡,,而是注入到了進(jìn)程中)

 

 ?。?)傳播

  玩了一會兒游戲,,小明開始繼續(xù)工作,所以又打開了與公司的VPN連接,。

  此時小明機(jī)器中的木馬進(jìn)程開始通過VPN鏈路掃描整個Alpha公司的網(wǎng)絡(luò),。不一會就掃描到了一個文件共享服務(wù)器,上面有很多員工常用的軟件,,也包括VPN客戶端軟件,。

  這個服務(wù)器的安全管理很差,小黑沒費什么力氣就獲得了管理員權(quán)限,。

  小黑替換了服務(wù)器上的一個常用的文字編輯軟件,,并在軟件中植入了竊聽木馬。

  公司的其他員工下載使用這個軟件時,,木馬先復(fù)制自己,,再正常運行,所以用戶也沒有感覺到什么異常,,很快,,小黑的竊聽木馬在Alpha公司內(nèi)部四處傳播。

  

 ?。?)盜號

  小黑的竊聽木馬可以收集系統(tǒng)內(nèi)的密碼文件,,可以記錄用戶建立新連接時鍵盤記錄,還可以分析流量過濾登錄時填寫的用戶ID與密碼,。

  木馬把所有搜集到的密碼都傳到了小黑手里進(jìn)行破解,。不到三個小時,小黑就獲得了50多個密碼,,其中還包括研發(fā)副總裁和產(chǎn)品總監(jiān)的賬號密碼,。

  

 ?。?)竊取

  利用這些剛破解的密碼,,小黑以“合法身份”登上Alpha公司的VPN,進(jìn)入了Alpha公司的內(nèi)部網(wǎng)絡(luò),。

  小黑開始慢慢地掃描Hammer軟件源代碼的藏身之處,。(減少掃描頻率是為了避免被發(fā)現(xiàn))

  為了不讓安全人員的注意到自己的掃描行為,,小黑還對Alpha公司的外部網(wǎng)站進(jìn)行了間歇性的DDoS攻擊,給自己打掩護(hù),。

  在定位了Hammer源代碼的位置后,,小黑利用此前盜取的賬號,很快取得了代碼倉庫的下載權(quán)限,。

  “寶藏”到手了,,小黑高興得叫了出來。當(dāng)然,工作需要小心地,、一步一步地進(jìn)行…沒有幾天,,小黑通過幾臺肉雞把全部代碼分割打包逐步下載了到自己的系統(tǒng)中。

  

 ?。?)收尾

  取走源碼之后,,小黑沒忘記清理自己的入侵痕跡,下指令讓木馬自我毀滅,,并利用it運維權(quán)限刪除了日志,。

  成功的小黑如期“交貨”,看著驚訝又欽佩的老板,,愜意地點著厚厚的鈔票……

  

  2,、問題分析:最大的漏洞是人的漏洞

  上面例子中小黑用的是一個非常典型的攻擊套路,這種套路的特點是以“人”為攻擊的中心,,先尋找弱點入侵設(shè)備或竊取身份,,隨后以入侵點為跳板,蔓延到整個網(wǎng)絡(luò),,最后披著合法的身份干壞事,。

  

  在小黑的攻擊之下,Alpha公司暴露了三個值得注意的問題:

 ?。?)員工安全意識不足,,導(dǎo)致設(shè)備的防護(hù)措施失效

  因為人的安全意識參差不齊,容易做出各種違規(guī)操作?,F(xiàn)實中很多企業(yè)可能已經(jīng)上了安全軟件,,但員工有時候為了自己方便,會關(guān)掉這些殺毒,、終端管理軟件,。這時,員工就很容易中招,。

  案例中,小黑通過釣魚,,很容易就讓小明中招,,入侵了小明的設(shè)備。

  再比如,,有人的電腦經(jīng)常不鎖屏,。之前碰到過一個案例是攻擊方從地下車庫混進(jìn)了公司大廈,跟著其他員工混過了門禁,。在辦公區(qū)看到?jīng)]鎖屏的電腦,,就插上帶毒的U盤,直接植入木馬。

 ?。?)內(nèi)網(wǎng)權(quán)限疏于管理,,威脅進(jìn)來就會快速傳播

  一般企業(yè)網(wǎng)絡(luò)會對外部徹底隔離,但是對已經(jīng)接入內(nèi)網(wǎng)的人限制很少,。這就給攻擊者提供了極大的便利,。

  案例中,小黑入侵小明的設(shè)備之后,,可以隨意掃描內(nèi)網(wǎng),,并且很快就找到了有漏洞的系統(tǒng)。

  系統(tǒng)漏洞沒法避免,,但是權(quán)限過度的問題可以避免,。

  小明可以使用文件共享服務(wù),但是管理端口應(yīng)該完全不對小明暴露才對,。對小明暴露,,就相當(dāng)于對小黑暴露了。

 ?。?)身份泄露后,,黑客以“合法身份”竊取數(shù)據(jù),難以攔截

  除了黑客直接盜號之外,,員工常常會互相“借用”賬號,,“共享”賬號,造成身份信息泄露,。加上各種弱密碼,、社會上的密碼泄露事件等等,對于安全人員來說,,基本可以默認(rèn)用戶的賬號密碼肯定會被泄露,。

  有些公司會記錄一些網(wǎng)絡(luò)數(shù)據(jù),審計分析用戶行為,。但這些系統(tǒng)通常是“外掛式”的,,很少能夠做到貼合業(yè)務(wù),及時發(fā)現(xiàn)并攔截異常行為,。

  案例中的小黑是非常狡猾的,,利用合法的身份作掩護(hù),還會通過一些技巧,,如慢掃描,、無文件攻擊、切割文件后分批傳走等等方式躲避安全人員的監(jiān)控,。所以,,小黑的非法行為很難察覺,。

  

  3、解決方案:通過安全框架克服人的不可靠性

  攻擊的核心是“人”,,所以防御的核心必須也是“人”,。防御小黑這類攻擊的關(guān)鍵就是通過建立一套“安全框架”,去克服“人”的不可靠性,。

  零信任就是一種聚合了很多實用的技術(shù),,針對“人”做全面防御的安全框架。

 ?。?)人的安全意識比較低,,但是零信任可以強制要求人去提高

  零信任可以收集終端設(shè)備的安全狀態(tài),并制定限制條件,,如果達(dá)不到要求,,就不讓訪問。

  比如,,為了避免病毒的傳播,,“零信任客戶端”可以檢測用戶電腦上是否裝了殺毒軟件和終端管理軟件。零信任網(wǎng)關(guān)守護(hù)在內(nèi)網(wǎng)入口,,只有客戶端檢測成功,,并且上報給網(wǎng)關(guān),零信任網(wǎng)關(guān)才會放行,。

  這樣,,不安全的設(shè)備就沒法接入內(nèi)網(wǎng),避免了因為用戶安全意識不足而引入風(fēng)險,。(為了防御一些高級威脅,,零信任還可以與EDR產(chǎn)品聯(lián)動)

  為了實現(xiàn)數(shù)據(jù)防泄密,可以要求客戶端檢測用戶是否正在使用云桌面,,如果沒有,,則不讓該用戶訪問一些重要的資源,避免源代碼,、客戶名單等敏感信息的泄露,。

  為了避免攻擊者買通內(nèi)鬼或者自己混入辦公室傳播風(fēng)險,可以要求客戶端檢測用戶是否設(shè)置了鎖屏密碼,,如果沒有則不讓接入內(nèi)網(wǎng),。

  為了避免攻擊者遠(yuǎn)程控制用戶設(shè)備,可以要求客戶端檢測用戶是否關(guān)閉了遠(yuǎn)程服務(wù),、遠(yuǎn)程共享,如果沒有則不讓接入內(nèi)網(wǎng),。

  

 ?。?)零信任網(wǎng)絡(luò)中,,人和資源天然就是隔離的,威脅不會快速傳播

  零信任網(wǎng)絡(luò)中,,零信任網(wǎng)關(guān)處于整個內(nèi)網(wǎng)的入口位置,,隔離了人和資源。

  攻擊者即便竊取了賬號和設(shè)備,,也不能直接進(jìn)入內(nèi)網(wǎng),。攻擊者能做的事情非常有限。

  首先,,攻擊者掃不出幾個端口了,。

  零信任的SPA隱身技術(shù)能攔截掉未授權(quán)的端口掃描。用戶如果沒有訪問權(quán)限的話,,那么相應(yīng)的服務(wù)器端口不會對其開放,。攻擊者發(fā)出的端口探測請求會被零信任網(wǎng)關(guān)中的防火墻直接丟棄。(具體可以參考我的文章《揭秘零信任里的“隱身”黑科技》)

  這樣的話,,案例中的小黑只能掃到小明有權(quán)訪問的服務(wù)器,,不能在整個內(nèi)網(wǎng)大范圍掃描。

  其次,,攻擊者沒法直連服務(wù)器了,。

  零信任網(wǎng)關(guān)可以限制只做應(yīng)用層的代理和準(zhǔn)入。

  此時,,小黑會發(fā)現(xiàn)與他直連的只有零信任網(wǎng)關(guān),,對于真實的業(yè)務(wù)服務(wù)器則只能通過零信任網(wǎng)關(guān)的轉(zhuǎn)發(fā),進(jìn)行HTTPS協(xié)議的通信,。

  

  再次,,成熟的零信任還會包括數(shù)據(jù)級的統(tǒng)一權(quán)限管理。小黑會發(fā)現(xiàn)web頁面中也不是所有數(shù)據(jù)都能訪問,。

  最后,,即便攻擊者入侵了一臺服務(wù)器,他也沒法以此為跳板繼續(xù)橫向攻擊,。

  零信任的微隔離技術(shù)可以做服務(wù)器之間的訪問控制,。攻擊者入侵了一個服務(wù)器之后,掃描同一網(wǎng)段的其他服務(wù)器,,是掃不到的,。其他服務(wù)器上的微隔離agent會攔截掉探測流量。(具體可以參考我的文章《用微隔離技術(shù)實現(xiàn)零信任》)

  

 ?。?)密碼會泄露,,但是零信任還會驗證設(shè)備、人臉,、行為

  首先,,設(shè)備綁定和多因子認(rèn)證是零信任必備的功能,。

  攻擊者盜號之后,零信任客戶端會檢測設(shè)備是否在可信名單中,,用新設(shè)備登錄會被視為一種可疑事件,,觸發(fā)一次多因子認(rèn)證。

  案例中,,小黑沒有Alpha公司發(fā)給員工的可信設(shè)備,,是沒法直接登錄VPN接入內(nèi)網(wǎng)的。

  一些特別重要的應(yīng)用,,可以要求首次登錄時必須做一次多因子認(rèn)證,,比如人臉識別之后才能進(jìn)入。

  有些特別重要的系統(tǒng)甚至可以要求客戶端全程開啟人臉識別,,用戶離開座位或者有人在后面圍觀就自動斷開連接,。

  

  其次,即使身份蒙混過關(guān),,異常行為也會讓他露餡,。

  零信任框架包含識別“異常行為”的能力,并且跟業(yè)務(wù)層結(jié)合的很緊,。通過客戶端和網(wǎng)關(guān)的配合,,可以在發(fā)生異常情況時,觸發(fā)二次認(rèn)證,,驗證用戶短信或人臉識別后才允許繼續(xù)通信,。

  比如用戶10分鐘前還在北京,10分鐘后登錄位置突然變成了上海,。這種異常的位置變化代表賬號可能被盜了,。

  這時,零信任平臺會命令客戶端和網(wǎng)關(guān)暫時中斷通信,,提示讓用戶驗證一下短信,,通過之后,再恢復(fù)正常通信,。

  案例中,,小黑的所有行為都會被持續(xù)監(jiān)控,很多攻擊行為都會被視為可疑事件,,比如入侵小明的電腦后留下了可疑的進(jìn)程,,掃描內(nèi)網(wǎng)時訪問行為具有強烈的規(guī)律性,短時間內(nèi)大量下載源碼文件的行為等等,,都會觸發(fā)二次認(rèn)證,,阻止小黑繼續(xù)干壞事,同時引起小明的警覺,。

  

  4,、有零信任之后,,案例變成什么樣子

 ?。?)釣魚階段:愛玩的小明還是會被釣魚,,下載木馬。但是小明進(jìn)入內(nèi)網(wǎng)前,,零信任客戶端會主動檢測設(shè)備的安全能力是否開啟,,設(shè)備是否處于安全狀態(tài),木馬很快會被發(fā)現(xiàn)和處理,。

 ?。?)傳播階段:零信任會通過隱身和隔離技術(shù)限制風(fēng)險的傳播,讓小黑探測不到有價值的目標(biāo),。零信任還會持續(xù)檢測傳播風(fēng)險的異常行為,,觸發(fā)多因子認(rèn)證,封鎖小黑的下一步行動,。

 ?。?)盜號階段:小黑可以盜取賬號密碼,但是小黑沒法通過設(shè)備認(rèn)證和多因子認(rèn)證,,所以盜了也沒用,。

  (4)竊取階段:小黑在前幾個階段沒法突破零信任對身份認(rèn)證,、設(shè)備認(rèn)證,、行為檢測、網(wǎng)絡(luò)授權(quán)等方面的限制,,最終還是沒法竊取到數(shù)據(jù),。

  

  5、一句話總結(jié):零信任到底能干嘛,?

  黑客攻防中,,人是最大的漏洞。零信任就是不相信任何人,,通過安全框架彌補人的不可靠性,,綜合各類檢測、認(rèn)證和限制,,讓原本來去自如的攻擊者寸步難行,。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]