近日,Apache Log4j 2漏洞成为了业内爆火的高频词,该漏洞因其触发简单、攻击难度低、影响面广泛等特点,引发了安全行业和各界的极高重视。从网络中流传的针对苹果设备的攻击演示中可以看到,攻击者仅需一段代码就可远程控制受害者服务器,拿下最高权限。
漏洞爆发后,在媒体惊呼又一“核弹级”漏洞诞生了的时候,全球的黑客与安全人员们也展开了又一次拼手速竞赛,前者试图利用该漏洞潜伏进更多服务器,而后者则深夜被召唤至公司争分夺秒修Bug、打补丁,为此付出了连续数个不眠夜。
在笔者的认知中,上一次让整个安全行业这样“炸锅”的漏洞事件还是发生在2014年的“心脏滴血”漏洞,当年的“心脏滴血”与今日的很多相似之处。Heartbleed漏洞存在于加密程序库OpenSSL中,全球范围内的服务器和客户端,只要使用了OpenSSL就存在攻击风险,超过三分之二的企业Web服务器暴露在了攻击者面前。
6年后的今天,除了再次重申开源应用组件的安全重要性外,我们还能讨论些什么?企业究竟应该如何提升安全能力,方能在频发的重大安全事件中置身事外?这一次安全419找到了业内一家专注于网络安全仿真、网络攻防靶场领域的厂商丈八网安,邀请丈八网安蛇矛实验室负责人闫俊跟我们分享了自己的一些看法和观点。
安全服务只能解决一时之需 安全建设需要“授人以渔”
安全419注意到,在Apache Log4j 2漏洞爆发后的第一天,安全厂商们纷纷发布了安全提醒,在分享官方补丁地址的同时,也给出了一些具体的临时性解决方案和安全建议。但这也引起我们的一些疑惑,既然漏洞影响面如此广泛,那么对于没有成熟安全团队建制的中小规模企业来说,是否只能眼看着安全厂商一遍遍发布安全警示却不知如何修复“干着急”?是否只能求助于安全厂商,让他们派出安全服务团队来协助打补丁?
蛇矛实验室负责人闫俊告诉我们,我们提出的这个疑问正是丈八网安和蛇矛实验室致力于解决的安全问题。蛇矛实验室在注意到Apache Log4j 2漏洞爆发后,第一时间在其打造的火天系列靶场中完成了真实业务场景的复现和验证工作并率先发布了远程利用危害的相关视频,通过靶场的模拟仿真技术与威胁检测防护方案相结合,在漏洞应急场景下,给予用户快速验证漏洞攻击、检测、防护方案的服务。
通过视频演示以及模拟仿真的靶场环境演练,用户就可以得到一次快速且集中的培训,第一时间了解该漏洞的成因、网络拓扑、攻击路径以及全部攻击流程,并在靶场环境中对该漏洞进行测试,并根据蛇矛实验室给出的防护方案进行操作演练,最终再将其应用于真实环境中。
闫俊表示,这样一来虽然许多中小企业在安全方面有所欠缺,但在这套兼学习、测试、验证和演习的网络靶场环境的帮助下,一些IT、运维人员也能快速掌握相关技能,承担起安全应急响应的工作。
“安全人员跑断腿”背后 表现出企业防御型安全人才的稀缺
蛇矛实验室负责人闫俊谈到,近几年国内不断举行的实战网络攻防演练有效的提升了各个行业网络安全的防护和应急响应能力,但攻防演练活动也让很多安全问题暴露了出来。行业的火热让白帽子群体不断壮大,但企业侧的防御型人才依然十分稀缺。
“每到攻防演练活动期间,业内的大型安全厂商都会特别忙,他们一边忙着派出红队攻击方参与演练,另一边也要忙着派出蓝队防守方为甲方客户提供驻场安全服务应对集中的攻击试探。但是大家可以发现,实际上这些老牌安全厂商自己的攻防团队很难支撑这样的大规模行动,尤其是蓝方驻场人员都需要从外面招进来。”
这在侧面暴露出来了一个现象:虽然攻防演练越发常态化,但无论是红队还是蓝队,最终参加攻防演练活动的人群总是不变的,乍一看皆大欢喜,大家的攻防能力在演练活动中得到了提升和进步,但实际上,在驻场安服人员离开后,企业除了采购了越来越多的安全设备外,人的攻防能力却没有得到很好的训练和提升。
“其实每年攻防演练活动中的防御方,除了驻场安服团队外,企业自身参与的还是以运维人员为主。面对这样的问题,我们如何才能让这些运维人员承担起一定的安全防御责任成为了我们团队主要思考的问题。如果运维人员的安全能力得到提高,就能很好的支撑起攻防演练活动中的一些基础安全工作。回到我们今天的话题上,如果运维人员能够顶上来,再发生Apache Log4j 2漏洞这样的安全事件时,也不会再出现‘安全团队跑断腿’的情形。”
因此蛇矛实验室提出,要通过场景化安全交流,利用虚拟化平台,模拟实战化场景,搭建模拟仿真的网络靶场为企业打造一个接近真实的“练兵场”,以帮助企业培养优秀的网络安全防护岗位人员,有效提升发现和处置多种网络攻击的防护能力。
通过实战化的靶场攻防演练 培育企业IT运维人员的安全思维
蛇矛实验室负责人闫俊表示,网络安全讲一万遍不如实践一遍,在为用户做网络安全培训的时候,仅仅提供一些判断题和选择题远远无法解决安全痛点。只有在真实的场景下,用真实的攻击案例让用户实际操作一次,才能够感知到为什么会存在安全风险,要使用哪些技能来进行对抗攻击。作为一个聚焦在实网攻防与仿真领域的安全团队,丈八网安希望通过网络安全靶场向企业用户输送实战思路和更真实化的防御训练,为用户提供一个体系化提升安全能力的解决方案。
他介绍,蛇矛实验室是当前国内少有的专注于靶场场景领域研究的安全团队,团队主要由长期研究虚拟化仿真技术、长期参与大型攻防演练和竞赛支撑的安全研究员组成,具备充足的一线应急响应、漏洞挖掘、渗透测试、安全加固、攻击追溯、漏洞复现、实网攻防、靶场场景复现等能力。实验室致力于红蓝对抗、渗透测试、逆向破解、病毒分析、工控安全以及免杀等相关领域方向的钻研,并将研究成果用于支撑对靶场平台的开发和优化。
蛇矛实验室基于对网络空间对抗趋势的研判和自身的能力积累,已打造出能够满足各行各业对于网络安全模拟仿真的多种应用需求的网络靶场平台。
据他介绍,当一个企业接入到靶场中后,蛇矛实验室会将这家企业网络场景模拟复刻到靶场环境中,根据企业现实存在的安全问题,做出一系列的攻击和防御路径规划,帮助企业打造一套适配企业实际发展阶段和安全真实情况的体系化训练模型。
随后蛇矛实验室会进一步将企业自身真实的防火墙以及安全防护设备等集成到靶场中,以实际案例和演训来指导企业IT人员、运维人员练习防火墙、安全设备的配置策略,通过平台发出模拟的攻击行为让他们进行应急响应。
“我们注重于为企业IT、运维团队训练出实战思维,在攻击事件面前建立起防御的模型和思路。比如企业有可能会遇到什么样的问题,如何找出攻击者在哪、他的IP是什么、攻击方式是什么,发生问题后我们应该怎样迅速应对。”
提升“人”的安全能力 才能实质性的解决企业的真实安全问题
蛇矛实验室负责人闫俊表示,当前网络安全靶场已经成为了网络空间安全研究、学习、测试、验证、演习的重要基础设施,愈加受到各国政府和企业的重视,为提高网络空间的实战能力,国外军事强国纷纷建设网络靶场,组织多国、多部门、多情景的网络演习,以检验网络部队作战水平、发展攻防战术。
在这样的背景下,网络安全靶场在国内也正在成为一个新生安全细分市场,但国内的网络安全靶场发展仍处于早期阶段,未来还需要漫长的时间沉淀。丈八网安蛇矛实验室团队是国内最早一批涉猎网络靶场研究的“老兵”,作为一个专业的靶场搭建团队,蛇矛实验室实际上是实网与虚拟靶场之间的桥梁,把真实网络中的环境和场景复现到靶场中,再用从靶场中锤炼出来的安全能力反哺企业真实的安全建设。以自身的技术能力,帮助客户在几近真实的靶场环境中检验测试新型的攻击方式、验证装备工具的性能、锻炼人员的安全技能,最终提升网络安全风险的应对能力。
他最后谈到,“提升企业网络安全的最核心手段是提升‘人’的能力,而非堆砌安全设备,只有让人的安全能力得到提升,企业的真实安全问题才能实质性的解决,而不是说等到安全事件发生后,再去向外部安全团队或是安全专家求助寻找外援,我们想让大家真正通过网络安全靶场去成长,以更务实的态度和方式让企业IT运维人员真正学习技术、掌握技术,身临其境的感知企业的安全问题,思考安全问题的解决之道。”