Skip to main content

“2023攻防趋势探讨”身份安全仍是巨大挑战

        在重磅圆桌环节,多位甲乙方安全负责人就自身企业属性的不同发表了大量观点,以攻击者日益隐蔽的行为为切入点,聚焦于2023年攻防新趋势的讨论,如当前基于身份的“无漏洞攻击”的看法和应对,以及企业未来的安全投入计划等方向性问题。

圆桌嘉宾精彩观点

左右滑动查看嘉宾介绍

圆桌对话实录

议题嘉宾们都以攻击者角度来思考分享,而本次邀请的圆桌嘉宾们将从防御的角度出发来分享,圆桌嘉宾来自金融、互联网、制造、泛互联网等行业以及网络安全公司。本次主题探讨2023年攻防趋势,重点关注针对隐匿化攻击的有效防范。攻击者开始隐藏痕迹,且存在许多绕过技巧,因此如何有效应对是关键所在。

总结了过去五年攻击趋势的变化,从2018年开始出现了供应链攻击和集群设施攻击。2019到2020之间,出现了更多的人性相关攻击和漏洞,如钓鱼和水坑攻击。2021年出现“0day”计分规则,引发了许多相关0day的攻击,并且攻击越来越困难。2022和2023年发现更多供应链和隐匿攻击,同时也出现了使用杀软和远程控制等方式进行攻击的情况。面对这些挑战,接下来会提出一些问题,请各位参与讨论。

第一个问题:在我们企业防御当中观察到的攻击趋势是怎么样变化的?

李佳峰圆桌主持人

我目前主要负责甲方安全的运营和防御工作。多年来,我们360内部进行了多次实战的攻防演练,包括与政企相关的实战攻防演练。从这些实践情况中,我们发现以下几点攻击趋势:

首先,攻击者采用的是高度分工明细的专业化协作团队,包括专业的钓鱼攻击、核心工具开发、具体攻击战术执行等方面的分工。这些团队通过平台化的高效协作方式展开攻击,增加了企业防御的难度和挑战。

其次,随着企业云原生及云化的发展,攻击者越来越多地往云上延伸,包括基于身份和凭证的攻击,它逐渐的成为了一种主流的突破方法甚至是横向方法,这对企业的风险管控和安全防御提出了更高的要求。

最后,攻防对抗将变得越来越激烈,攻击者会采用各种隐蔽手法使攻击更加难以察觉,这也是攻击者最基本的攻击前提。无论是通过云上的CDN、云函数等云基础设施,还是合法软件的隐蔽手法等,攻击者均采取更隐蔽的手法或白利用的思想,来更好地隐藏攻击行为。

张睿360信息安全中心负责人

我目前负责整个新奥集团的安全工作。之前我在金融行业工作,现在算是在能源加制造业。上一个环节在我们的课题讨论中,主要讲了攻击方面的内容。下面我将结合刚才讲的攻击视角来谈一下防御的角度。

首先,社会工程学是一个很有意思的话题,从防守方的角度来看,攻击者使用的各种手法就像是古玩市场中的造假和眼力比拼一样。对应在社工的攻防对抗中,就像江湖中的设局和解局、做局和破局、入局和救局的过程,既有陷阱也有诱敌。防守方同样有许多手段来制造陷阱,比如主动防御和蜜罐等。然而,攻击者往往比防守方更具优势,总会有一些容易上当的人。这是我听完下午的议题后的第一个感受,我觉得在社会工程学的攻防对抗中更像是江湖厮杀的场景,没有温和、谦虚和礼让,而是你来我往、刀光剑影。

其次,自动化在提高攻击方式效率方面发挥了重要作用,但在防守方面也有自己的优势。防守方通过自动化发现各种攻击行为,增加对抗过程的效率。此外,防守方的自动化还可以跳出局内,思考如何解决对抗中的威胁和风险。相比攻击方,防守方更容易处于劣势,但通过自动化,我可以从局外的角度来看待局内的对抗。因此,我认为防守方在自动化方面还有更多的发展空间。

最后,我想分享一个关于自动化的观点。安全工作中的所有任务都可以通过自动化来完成,如果无法自动化,说明我们的能力还不够。所以在我们进行防守工作时,无论是哪个任务,如果可以,都应该考虑自动化。这样做不仅可以提高效率,更重要的是以一种局外的方式来解决局内的问题。以上是我从防守方的角度对今天下午讨论的几个课题的感受。

刘凯新奥集团首席数智安全总监

我现在一直在制造企业中做事情,目前是安全和IT两手抓。对于今天的议题内容让我很振奋。通过听了各位老师对攻防的讲解,我感觉自己仿佛回到了很多年前,因为我也曾乙方干过安全工作,现在又在甲方从事十多年的安全管理工作。结合这两年我所观察到的变化,我不谈技术本身,我想从另外一个维度给大家分享一些想法。

首先,当我担任IT管理工作后,我们首先要考虑的是服务质量。我需要有同理心去看待这件事情,而不只是尖锐地关注攻与防的本身。其次,虽然我们感受到技术的不断提升,但意识本身的提升并不明显。很多企业并未经历过重大的创伤,如遭受攻击或在攻防事件中成长,因此人员在这方面可能相对薄弱。尤其在实施体系化安全建设时,除了大家口号喊得比较多外,很多时候还相对薄弱。在这个过程中,我在思考作为安全领域负责人,我们应该从哪个角度抓住这个问题。是建立强大的技术手段和全面的堡垒,然后通过审计和自动化提高安全水平呢?还是可以从管理的角度抓住一些核心问题呢?我目前的思路是,从账号管理的角度入手,我们真的了解有哪些真正的管理员账号没有及时更改密码,并且没有发现问题吗?这种问题不容小觑,因为它对公司可能会产生或大或小的影响。最近我感到困惑的是,我审计了许多可疑的账号,包括横向动作,但它们并没有给我造成伤害。那么我应该继续监控它们,还是直接“干掉”它们呢?但我反过来思考了一个问题,即我们在攻防中容易忽略底层逻辑和底层管理。我希望我们能够从新的角度看待自己的安全工作达到何种程度。对我来说,第一个问题是账号管理,第二个则是安全意识管理。

肖寒某制造上市公司IT及安全负责人

作为一个安全从业者,我想就攻击事件谈谈我的观点。从绝对数量来看,最多的还是无脑的扫描,尽管金融领域的会比互联网的相对较少,但总体来说占据了最多的攻击数量。然而,这种攻击的危害程度可能大或小。最近我观察到,特权用户和客服成为了社工攻击的主要目标。攻击者可能通过上传图片或向客服员工提出售后申请等方式来控制员工的终端,这种攻击方式的危害非常大且令人烦恼。

参加今天的会议让我有很大的收获。我没有想到现在的攻击在实战中已经能够这么极端或夸张一点叫“变态”的感觉了。作为甲方,我们肯定需要提前做好储备工作,根据现有的攻击手段提前准备,而不是等到真正的攻击发生时再进行应对。虽然攻击手段繁多,包括各种二进制和免杀技术,但作为甲方,我们需要结合自身企业的实际情况,先假设自己的竞争对手是谁,然后根据竞争对手来确定应该防范到什么程度。

因为安全是没有穷尽的,所以你对防御能力的要求必然会有所不同。此外,我们还需要思考在护网结束之后,当资源有限时,如何在日常工作中达到护网演练阶段的安全防御水平,黑客或攻击组织不会停下来,所以我们需要思考和规划一下的。

王哲嘉实基金安全负责人

我在的这个部门叫身份安全,身份安全部门的出现标志着行业的变化,包括像今天主办方网星安全这样专门从事身份安全的企业。在十几年甚至20年前,如果有人用一个弱口令进入一家企业,可能会被圈内人嘲笑。那时的工具和漏洞都很容易获取,随便搞一个NDAY就可能攻破一大片系统,攻击身份系统或AD是非常困难的。现在大家的安全意识提高了,漏洞修复也更快。同时,漏洞变得非常有价值。在这种情况下,如果再用漏洞去攻击整个系统,性价比就不高了。而直接攻击身份,性价比就会很高,所以一些企业会成立身份安全相关的部门,专门从事身份加固。

身份攻击中最重要的变化之一是合法身份的攻击。比如像潘总和李雷总在分享中提到的,红队在进行社会工程学攻击时,利用合法身份欺骗人们。社会工程学已经发展成规模化、产业化和自动化,所以在这种情况下,身份安全的挑战变得更加复杂。我们有很多解决办法,其中一个重要的点是如何保护家人免受诈骗。一旦你明白了如何保护家人,你就能大致了解在身份安全领域中需要做些什么。其中有很多方面需要考虑,但有一个非常重要的点是,在你完成了一些基本的安全措施,如强密码和验证码之后,你的身份基础设施将暴露在攻击者面前。你必须有一些解决方案来加固你的身份基础设施,例如集权系统和AD等。在过去,甲方固有传统的技术积累和安全从业人员的经验都不是很丰富,因此我们希望有一些新兴企业能提供新的解决方案。

孙秉乾京东集团身份安全架构师

感谢各位的分享,感觉非常受益匪浅,那么最后一个问题。由于我们正在讨论攻防相关的趋势,对于当前和未来一到两年、两到三年的计划和防御重点的看法。例如我们应该优先考虑资产管理、身份管理、集权设施等哪方面的重点建设?

李佳峰圆桌主持人

在我们的实践中,我们发现身份安全问题或者凭证安全问题通常与安全意识或安全习惯有很大的关系。因此,解决安全意识培训或公司的安全基线问题是企业解决此类问题的第一步。例如,一位研发人员对AKSK进行了泄露,可能会导致大量数据的泄露,因此首要任务就是提高研发人员、IT人员或运维人员的安全意识,让他们了解凭证对公司资产和数据的危害。

其次,我们需要提升整个公司的安全架构,如密钥管理和零信任架构等,以提高全面的安全性。在实践中,我们认为架构对于身份体系的防护非常有效。在建立这个架构设计的过程中,需要考虑如何识别身份异常,即如何判断其是否在合法终端、合法网络中,并通过合法设备访问合法资源。因此,我们需要采集更多的终端、网络和应用程序相关数据,以协助架构做出决策,在实时进行相关拦截。

最后,和身份相关的零漏洞、身份漏洞利用的检测和响应是不可或缺的。我们需要调查与公司的认证或凭证体系相关的系统或基础设施,并关注身份行为和安全数据,以有效检测和响应。因此,我们需要在检测和响应方面做好准备,以进行有效的防御。

张睿360信息安全中心负责人

这个话题可能有点广泛,所以我想将其缩小一点。首先,我觉得我们可以从结合我们企业自身情况的角度来谈。作为刚刚进入能源行业的人,我发现与金融行业相比,能源行业的安全水平较低。因此,在未来一两年,我计划解决一些基础安全问题,提升我们的安全能力。这包括网络应用、数据安全和合规性等方面的综合能力。

第二个层面是行业趋势。从我的视角来看,我观察到的趋势是乙方提供全方位的解决方案、产品和服务。他们希望能够解决各个领域的安全问题,比如网络安全、端侧和云侧等。然而,从甲方的角度来看,趋势更多地是将乙方作为工具或单一能力提供方,以满足自身业务场景的需求。我注意到这两个视角完全相反,但我观察到的趋势是乙方希望成为甲方,甲方希望成为乙方,这构成了一个相互转变的发展趋势。

刘凯新奥集团首席数智安全总监

我总结了四个关键维度,首先是识别和梳理,了解核心能力、保护的核心资产和核心团队成员。其次是务实的基础建设,及时处理安全问题。第三是提升认知,不仅仅通过培训和会议,更要通过演练来落地。在多个维度进行演练,包括账号管理、软件系统管理、硬件服务和网络方面。识别和降低风险是重要的,将风险控制在领导接受的范围内。很多企业停留在规划阶段,do和check的工作可能不够,需要在这方面提升。最后一个维度是邀请更多的乙方合作,需要大量优秀的产品,建立完善的供应链体系和合作机制,以便在需要时得到支持。团队和资源的支持至关重要,通过演练和合作,应对突发事件。我相信,不仅仅依靠个人的强大,而是需要有团队和资源的支撑,才能取得成功。

肖寒某制造上市公司IT及安全负责人

不同企业根据所处的阶段和行业,很难制定统一的规划。但是有一些通用的方法可以考虑,例如以攻防视角或合规视角来制定规划。重要的是要有一个三到五年的规划,确保每一步都能知道下一步该做什么,而不是随意跟随热点。金融监管可以提供参考,包括行业面临的威胁和新兴技术手段,如零信任。此外,随着甲方的分工细化和乙方安全产品的成熟,安全托管模式变得更好接受,越来越多的安全厂商提供这样的服务。

王哲嘉实基金安全负责人

在身份安全方面,我谈一些个人实践经验。首先,身份和基础设施部门在同一个体系内合并的重要性。这样做可以降低沟通成本并进行身份基础设施的改造,从而提升应用性和安全能力。我以京东为例,就将基础设施和安全合二为一,沟通的成本低得多,改造的很彻底。

其次,资产管理的重要性。业务都会有新变化及薄弱点产生,所以体现了卡点的重要性,确保在资产变更时能够第一时间了解系统是否需要登录以及是否存在安全问题。这样可以防止在系统上线后才发现存在的漏洞。

第三,推进无密码的重要性,仅依赖账号和密码是不安全的,实现无密码就能尽可能减少密码的使用和可能存在的风险。

此外,加固集权系统的重要性,像把一些开源的或自研的办公系统和客户系统放置在统一的隔离区域中,并通过出口网关进行身份和权限验证。这样的设计可以增加系统的安全性,即使隔离区域中的某个系统存在漏洞,攻击者仍然需要先突破网关才能进一步入侵。这些也都并非是万无一失的解决方案,因为没有一个系统是绝对安全的。我们只能在有限的成本范围内尽可能加固系统,并采用一些攻防对抗的技巧和解决办法。

孙秉乾京东集团身份安全架构师

圆桌环节|嘉宾风采

更多议题内容,快来ADconf安全大会听专家现场详解~

ADconf会后惊喜活动!

关注网星安全,持续解锁ADconf会后资料及视频!

I am text block. Click edit button to change this text. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.