在第十届互联网安全大会(ISC 2022)金融数字安全建设论坛上,悬镜安全华南区技术合伙人李浩应主办方的特别邀请,发表了主题为“从BAS视角看积极防御体系实践”的演讲。
图1 悬镜李浩在ISC 2022金融数字安全建设论坛发表演讲
以下为演讲实录:
我是悬镜安全的李浩,很荣幸参加ISC 2022金融数字安全建设论坛,分享我们悬镜在BAS领域的研究成果和实践经验,并与大家一起从BAS的视角探讨积极防御体系建设。
BAS概念是Gartner在2021年发布的八大安全和风险管理趋势中的第七个,即入侵和攻击模拟。
攻击模拟的概念早已为行业内所熟识,以黑盒技术为主,包括通过渗透测试、红蓝对抗的方式去模拟真实攻击,从而验证企业组织安全体系的有效性。
企业进行安全建设包括构建防御体系、信任体系等,究竟能防御多少有效攻击;采买的安全设备或者实施的安全策略是否生效;漏洞是否真实被修复,潜在的风险是否会被发现。基于上述种种,企业可通过入侵和攻击模拟方案,对自身进行常态化安全验证,度量安全运营的效果。这也正是BAS的核心意义和建设目标。
对攻击技术进行溯源会发现,早期是以黑盒检测技术为主。第一代黑盒检测技术也被称为爬虫扫描技术。互联网之初更多的是Web单页面框架的应用系统开发,例如PHP、ASP等。爬虫扫描技术主要通过解析HTML标签中的URL使之进行重放,并修改其中部分必要参数,添加用于payload的攻击语句,然后发送给服务端,待服务端响应再去匹配其中的内容是否存在异常反馈,从而判断应用是否存在漏洞。
但是随着Web2.0的到来,B/S架构应用系统的开发模式和技术成熟度的提高,App小程序、相对复杂的单页面框架、前后端分离的架构等越来越多地出现,使得爬虫技术的的覆盖度和检出率都大大降低了。于是引入流量检测技术,通过代理或者流量镜像的引流来采集信息,再进行重放攻击、发送POC、修改参数、payload等一系列操作,观察是否出现异常响应。这类工具应用也比较广泛,有国外的AWVS、AppScan等。
而随着企业数字化转型,以及云原生、微服务架构的出现,应用资产变得越来越复杂,包含防火墙、WAF、DLP等安全设备在内的整个安全体系被引入,需要对整体的安全进行度量。黑盒技术因而演进到了第三代渗透模拟技术,以自动化的方式模拟人工渗透过程,进一步发现企业的安全风险。它不止以单个网站应用或者域名为目标,更多以一个组织为目标,从入口到边界去发现是否有暴露资产,接着选择资产的某一点或者端口、IP进行入侵,去发现是否存在真实风险。
BAS技术的目的是为了模拟攻击入侵的行为,主要分为两种:一种是以目标为导向,通过黑盒的方式,借助流量由外而内进行攻击,一旦实施成果可以精准地暴露风险,因而在攻防演练过程中能起到很好的辅助作用,但劣势在于攻击生效条件严苛;另一种是引入了AI能力,通过将Agent传感器部署在体系的任何位置,比如放在WAF设备前后就能检测WAF的有效性,因而准确性高、实施灵活,但是其发现的风险并不是真实风险,只是潜在的问题,仍需要进一步的评估和分析。
悬镜将两种技术优势进行融合,使BAS既具备黑盒从外部渗透的能力,又可以和Agent结合来模拟真实攻击,以综合的方式去评估安全有效性,既降低实施攻击的门槛,又能保障最终的成果。
悬镜BAS的AI黑客自动化渗透过程是以MITRE ATT&CK框架这种通用的有效攻击集为基础,针对渗透目标发起攻击模拟,描绘攻击路径,从而发现业务中存在的安全缺陷。一共分为三个阶段:预渗透阶段、利用阶段和后渗透阶段。
常规的黑盒检测更多是在预渗透阶段进行漏洞扫描和风险发现。人工渗透除了发现和进一步利用漏洞外,还会在后渗透阶段,利用漏洞进行横向移动,即将当前设备作为跳板去发现内部其他应用资产是否存在漏洞,扩大攻击范围,甚至可以进行持久化控制,比如植入后门Webshell,便于后续访问。
AI黑客自动化渗透的方式会更注重后渗透阶段的横向移动和持久化利用,因而会用到节点管理、Webshell管理等功能。
我们悬镜在实践时经常会被用户问到自动化渗透工具和黑盒工具的区别。区别就在于,自动化渗透会覆盖人工渗透的各个阶段,并重点提供后渗透阶段的能力,达到提权目的,展示攻击路径。
悬镜BAS的第二个功能,就是对当前整个安全体系包括安全设备、安全策略的有效性验证。具体操作过程是在体系的不同位置部署Agent端,通过网络层面、主机层面和应用层面这些不同层面的Agent,就可以对应地去验证防火墙、EDR、应用防护的有效性。
举例来说,比如其中一个WAF采取的是阻断策略。可以在WAF的前端部署一个Agent作为攻击端,在后端部署一个Agent作为模拟的受害端。通过攻击端向受害端发送一次攻击请求或者流量,如果WAF能阻拦,则受害端无法收到,反之则会收到。通过这种方式从而判定该WAF的策略是否生效。当然如果有些防火墙只采取告警策略,受害端能收到所有攻击请求,这时就需要和它的日志对接进而分析它所响应的攻击。
这种方式是一种无害攻击,在模拟真实攻击的同时又不会对实际业务应用系统造成损害,因为实际攻击目标是模拟的受害端。虽然Agent的部署有一定实施周期,但是在部署同时相当于进行了架构梳理和资产清点,便于制定对应设备的验证策略,从而可以任意地发起攻击,描绘攻击路径并发现路径中防御薄弱的点,即所谓风险面管理。这里包含几个应用场景:渗透或者上线前的安全验证;云原生环境,IP或者资产发生变更,安全策略没变,需要重新去验证有效性;在持续发布过程中需要及时的策略变更验证。
接下来要与大家探讨的是如何从BAS视角看积极防御体系的建立。
什么是积极防御?传统情况下,安全的提升往往是在攻击事件发生之后。企业组织关注安全开发,也会采买许多防御设备,但是一旦应用自身出现漏洞,还是会被攻击者利用,所以首先需要“安全左移”,确保开发一款安全的应用。因而积极防御体系一定会具备IAST能力,在应用早期开发测试阶段就能提前自动化地发现绝大部分威胁,并在应用发布上线前完成修复工作,防止应用带病上线。在应用上线后,再利用单探针提供RASP能力,通过热补丁方式对0day、1day漏洞进行修复,即通过应用运行时的防御能力使应用实现出厂免疫。这两种能力的结合就是悬镜一直提倡的代码疫苗技术。
整个积极防御体系是建立在应用全生命周期的链条上。IAST和RASP解决的是开发阶段的安全问题,而在运营阶段则需要“敏捷右移”,通过BAS模拟攻击并持续验证安全体系的有效性,基于木桶原理发现体系的薄弱面和脆弱点。
所以覆盖应用开发安全和常态化运营安全验证,并形成攻防对立面的安全体系就是DevSecOps积极检测防御体系。
图2 DevSecOps积极检测防御体系
整个体系是从研运一体化角度去考虑安全提升的方向,并能给DevSecOps自适应提供建议,也是悬镜长期聚焦之处。体系中所包含的第三方组件检测、软件供应链SBOM、API安全、数据安全等,都是当下乃至未来值得探讨的内容。当然这中间自然也少不了BAS的实践和能力扩展。
最后与大家分享悬镜在DevSecOps敏捷安全方向的思考成果。DevSecOps 敏捷安全技术金字塔 v2.0版是悬镜安全创始人兼CEO子芽对DevSecOps技术演进方向的高度前瞻。
据悬镜统计,当前企业建设的重点主要是在应用实践层,BAS就位于这一层上。一开始我们悬镜在思考,通过以攻促防的方式验证安全体系建设效果,形成防御对立面的能力,这将产生怎样的价值?这种安全运营效果的体现,其价值是巨大的。
企业采购了许多设备,引入了非常多的安全体系,以期强化安全建设。但是当安全事件未发生时,不免担心自己的安全体系是否对于某类未知攻击不产生防御效果;当安全事件发生时,又会质疑防御的效果。在这样的场景下,BAS应运而生。
BAS是通过自动化模拟全量攻击来常态化验证体系真实的防御能力,从而带给安全管理者以思考,帮助确定体系完善的方向。
此外,BAS是一个新兴的技术,正处于技术边界探索阶段,除了当下赋予它的能力以外,在实践过程中,它还能适合哪些传统的安全服务比如等保评估、风险评估等,是否还能被赋予新的能力?还有BAS方案实施后产生的攻击日志等数据,是否提供更多的安全运营参考?这些都是值得去探讨的。
总而言之,BAS不止能做到风险面管理,更多的是对安全策略演进的促进,为DevSecOps体系中的最后一步自适应即安全能力持续提升提供数据支撑。我们悬镜也正在不断地探索BAS,预判其未来有非常大的空间,能帮助安全运营提升至一个新的水平,从以往未曾思考过的维度去考虑安全能力的提升和安全体系的建设。