攻防技术创新探究

1月7日 在ADconf 分享了 攻防创新相关的议题。在公众号归档下。

总体分析和归纳不一定准确,欢迎各位大佬指正。官微链接

整体内容,主要是那几个脑图。文字为精简版。



为什么讲创新

在技术发展的过程中,总会遇到极限出现的那一刻。一项技术在遭遇极限后只能就此停步。令人沮丧的是,极限点是不可避免的。

——《技术的本质》

发展瓶颈点分析:

  1. 个人瓶颈:技术瓶颈点、发展瓶颈点、高阶技术升华
  2. 团队瓶颈:赛道的选择、输出价值、技术认可
  3. 公司瓶颈:客户需求、商业价值、拔高能力

创新的意义:

  1. 解决瓶颈;
  2. 实现价值&创造新价值

关于创新三大误解:

  1. 创新就是发明创造;
  2. 创新是天才们的事情;
  3. 创新是灵光一现,孤立的,很难被学习和复制。

img

攻防场景创新

网络安全的创新动力:政策、场景、业务、理念、技术、模式…

​ 安全是相对万金油的存在,只要场景应用够大,这个场景的安全就会更成体系化,例如云计算的普及对应云安全就很典型;零信任全方面应用后 零信任本身的安全也会比较有价值;车联网的赛道场景强化,进一步增强了车联网安全的应用,甚至基于5G 鸿蒙体系的安全会更加普遍。

整体以攻防技术为内核、赛道场景为驱动(业务逻辑辅助)、应用场景越广泛意味着这个攻防赛道价值越高。

红队实战创新

实战几个问题,算不算创新?

  1. 实战攻防中,在内外网信息收集上花费了多少时间?还有没有提升效率的空间?
  2. 漏洞挖掘-0day储备,在储备的质量和数量,除了投入更多的研究员,还有哪些方法?
  3. 社工钓鱼,除了常规的邮件、社交、功能等形式 还有哪些可以提高准度和效率的点?
  4. 如何让自己的木马免杀持久性更好?而不是成为一个消耗品?(APT的马子)
  5. 内网过程,除了扫描还有没有更精准快速的扩大战果的手段?
  6. 破隔离、拿靶标?如何更高提升效率?
  7. 二进制在攻防实战有哪些更好的应用?

红队创新点

img

红队创新点梳理:

  1. 信息收集,基于业务资产的偏门资产组合拳,例如接口资产自动化、业务虚拟目录+Fuzz;
  2. 代码审计,利用多类型漏洞组合拳组合Getshell链;
  3. 打点,钓鱼自动化+人性化闭环;
  4. 木马&免杀,基于业务流向的泛木马、基于自定义加密算法的魔改;
  5. 内网横向,基于集权的维权与发包、专有协议、业务白名单、基于协议的认证突破;
  6. 隔离突破&靶标,基于集权&边界设备的自动化精准发掘、认证突破

红队vsAPT组织 重点差异-隐匿

img

重点体现下靶标侧:

  1. 隔离突破:重点关注集权设备(AD k8s vcenter …)、边界设备(VPN、FW、SW)、Web应用-跨段(https 隐匿效果更佳)
  2. 漏洞系列:1day&nday(相对比感知明显)、0day储备、临时挖day(基于临时源码&闭源代码),总体来看漏洞打过后尤其RCE效果在端侧还是有动静被监测。(也要看防守人员是否针对告警做处置,例如佯装攻击批量告警后的专项攻击)
  3. 口令系列:密码提取&复用、规律提取、密码&验证码欺骗、基于社工的猜测推理
  4. 认证系列:基于协议、票据、认证类的突破。相对无感,毕竟都是正常行为,管理员也是这个业务流量。
  5. 手工渗透,组合拳。(top10类组合、 web&系统&组件的渗透组合)
  6. 基于社会工程(搞人),二次钓鱼&精准钓鱼,运维管理、业务管理等

攻防业务创新

红队目标(初衷)回顾:

红队的业务目标:帮助企业安全建设;专治嘴硬(不信自己能被攻破,安全建设有效性验证)

红队的技术目标:沉淀行业攻防经验(金融、能源、互联网…),类似老中医望闻问切,然后对症下药。

img

赛道领域非常的多(据不完全统计,2022年投资的细分领域20多个: 工控安全、隐私计算、开发安全、零信任、安全运营、物联网安全、区块链、公共安全、智能网联汽车、身份安全、大数据安全、云安全、密码、API安全、渗透测试、软件安全、安全合规、安全验证、威胁检测、威胁情报、攻击面管理、网络靶场、网络空间测绘、网络安全芯片、异构大数据、IP数据库等),但具体红队攻防赛道哪些可以更好的落地?

  1. 攻防演练类,目前红队检测服务相对比较为成熟,还可以拓展红队专项评估,例如域安全评估、集权类专项评估(k8s、vcenter…)

  2. 入侵与模拟攻击BAS

  3. 云安全专项检测,本身对红队渗透有帮助,且可单独形成服务

  4. 红队中,移动端的暴露面自动化探测

  5. 红队中,借用api进行数据权限的获取,借助业务资产&表单构造寻找偏门资产,助力信息收集的最大化,实现ASM类的增值

  6. 规划建议类,红队攻防咨询、沙盘推演;

    1. 攻防咨询,基于红队检测结果,进行根因挖掘形成有效性检测建议(咨询类公司不一定好做,因为没有实际做,红队类没做总归是概念,做了就能得到验证)
    2. 沙盘推演,企业类不一定好组织,需要的资源相对较多。但的确能够发掘更广泛的风险及影响,进而佐证价值点
    3. 攻防咨询先执行了红队,基于结果来建议并推动;沙盘要假设成分,逻辑可行,不一定真打,重在证明影响和危害。




文中的脑图文件

链接: https://pan.baidu.com/s/1Cl1o37X6w1RgtNScV1Y0Iw 提取码: 2333