业务系统不止要有安全中心,还要有反制中心
2020年,我写过 每个业务系统都应当有一个安全中心 ,在里面,我提倡整合业务相关的安全设置,在一级菜单位置给安全留一个入口,就是安全中心。
我看的业务系统不多,我去年真的在某个网站群系统看到了安全中心,非常实用。
在这篇文章里,我将会又乱建议某些业务系统,在攻防演练或者日常检测预警中,不要一直把自己处于被动挨打的状态,是时候,起来反抗了。
想法的由来
我曾经分享过 高校网络安全攻防演练应试解析,姚政茂写了篇解析。
在这次分享里,因为我认为攻防演练是大考,所以我模仿中小学等第制瞎编了一个ABCD的评价体系,接着基于这个评价体系捏造了3个维度进行了分析。为了怕时间不够,我又从另外一个角度拼凑了篇幅。
在谈到“一个系统攻防演练的时候被扣分,是否就一定比其他没被扣分的系统更不安全?”,我举了个例子。因为我发现,有些系统,普通用户的账号密码被攻击队拿下了,然后攻击队穷尽一切办法,用标准渗透测试手法从SQL注入、文件上传、平行权限、越权所有手段都试过了一遍,还是找不到任何漏洞,而且拉到的数据,也就是这个用户自己的数据,攻击队浪费了好多时间,最后提交账号分悻悻走人,系统被扣了账号分。
比较典型的就是邮件系统。这种系统,是经过攻击队认证过的,无比安全的系统。这时候你如果根据考核体系对这个系统的责任单位进行通报,实际上是非常不公平的。其他没被摸到的系统,问题可能更多。
对这种系统,应当通报表扬而不是批评。
这种系统一般都是账户量比较大,系统自身可能已经做了密码防止暴力破解,双因素认证等等防护,然而因为用户自身的问题,导致密码被泄露出去。典型的还有VPN、统一身份认证等等。这些系统也是攻击队撕开防线的关键一步。然则攻击队一般只在于拿到账户,不会对系统自身做什么攻击尝试,只要这个系统不要太弱智。
优秀,但是独善其身就够了么?能不能走得再远一点?为什么我一直都被打,从来没有想过反抗呢?
蜜罐类账号
攻击队这么喜欢拿账号,那就慷慨地送他们一堆吧!
我对蜜罐类账户的定义是,由前面提到的入口账号类的系统,比如VPN、邮件、统一身份认证系统提供的一类虚假,用来定位的账号。
这些入口账号类的系统,可以有个模块,生成一些假的账号,对这些虚假账号进行全生命周期管理,生成,标记,投递,回收,销毁。这些虚假账号,密码是什么无所谓,但是在验证请求时,如果有人提交这个账户和密码来验证,立刻记录并报警。
或者是真实的账号,引入胁迫密码。胁迫密码是什么,就是你在家门口,被人用Q指着头,向你家密码锁输入的一段密码,他可以让你进门,也会自动悄悄报警。
投递有几个方法。
- 扔到GitHub这类公开的平台
- “不小心”写到培训手册里
- 投递到成员邮箱,桌面去
- 写到出错后出现的错误信息里
- 在你收到钓鱼邮件后,不要删除它,不要忽略它,大胆地从蜜罐类账号挑选一个,提交过去,主动中招,然后就等着攻击者来验证,以此来获得攻击者的IP或者其他溯源信息
这样你未来就会有一个表,谁,从哪个渠道转化过来了,用了什么IP或者指纹信息来验证。
这种蜜罐类账号非常隐蔽,因为他跟业务系统足够紧密。如果你起个蜜罐邮件系统,孤零零一个邮件系统部署在那,没有任何意义,没人会去玩。而这个够真实,没有能力,怕被监管部门通报,你就返回密码错误给攻击者好了,有能力,你还可以再把攻击队往某些地方引。
以往蜜罐会混到安全域里,会寄生在服务器、HTTP、数据库蜜标等等,而这个,实际上是业务系统自己做了蜜罐功能。
检测到自身正在被攻击
要不要识别到自身正在被攻击?
这个确实不是业务系统应该考虑的。网络的分布式和分层的架构,很多事情可以在不同位置、不同层级来做。比如安全,因为成本,你可能只在某个地方集中做;为了纵深防御,你可能多个层都做;因为在扯皮,你可能偶尔这边做,偶尔那边做。
让业务不要识别被攻击,可以让业务更简单,专业的事情交由专业的类似外层WAF内层SIEM都可以做。但是有些地方,还不得不业务系统自己才能感知到。
举些例子。
有哪些是开发者更容易能感知到的攻击
有些程序员无法正确区分错误和异常。就算对于异常,他们也无法分清,不知道该失败重启还是清理环境继续。
很多业务系统对出错不处理,一个错误,只会在access.log或者error.log留下一条记录。只要系统不出现故障,不会有人主动去分析错误日志。
我以前遇到一个业务系统,每次遇到500错误,他都会将错误记录下来,写入数据库,并且在前端有个界面可以看到,由哪个用户引起的这个错误。
就这个事情其实很多业务系统都做不到。那个业务系统,借由这个功能,识别到了一次普通用户密码泄露引发的攻击尝试。每次成功的攻击背后,都可能伴随着大量导致程序出错的尝试。
而如果你的业务系统已经引入RASP了,那能漏到RASP的,应该是非常严重级别的告警了,应当直接触发“强制报告”。
还有一种非常常见的场景,比如项目管理系统,你输入合作者的学工号,或者只是姓名的一部分进去模糊搜索,业务系统就会非常贴心地将这个合作者的相关信息(姓名、身份证号、联系方式、院系、银行卡)啥的都帮你代填了。
这个功能你又去不掉,用户很喜欢这个功能。攻击者也很喜欢,写个程序,就可以把全部人信息都枚举下来。
为了防护,你可以部分打码、取得合作者授权同意、控制阈值等等方法。你就很烦,本来我给你设计的路线是这么走的,但是偏偏一些旁门左道的人,脑洞比谁都大,在你这里乱搞,让你加班多写了好多代码。
那就再多写一些,抓出来好了!
希望未来我能遇到这种带刺的业务系统。