随着网络环境的复杂化,企业的安全暴露面成为了攻击者关注的重点。传统的企业安全架构往往依赖于防火墙、IPS/IDS等边界设备来保护内部网络免受外部威胁。那么来看看基于反向代理实现暴露面收敛技战法报告然而,随着云计算和微服务架构的普及,传统的安全边界变得越来越模糊,企业的服务端口、应用接口暴露在互联网上的情况愈发普遍。这不仅增加了被攻击的风险,同时也给企业的安全管理带来了新的挑战。基于反向代理的技术方案,能够有效地帮助企业收敛其暴露面,减少潜在的安全风险。
技战法概述
通过实施反向代理技术,我们成功地减少了中国铁塔四川省分公司的互联网资产暴露面。在此之前,公司有超过600个端口直接暴露在外网,这其中包括了WEB应用、视频流端口及其他常见应用端口。经过一系列的调整和部署反向代理之后,暴露在外网的端口数量锐减至30余个。此外,我们还在反向代理上集成了基于规则的过滤机制,有效地识别并阻止了大多数常见的网络攻击行为。
为了进一步提升安全防御水平,在攻击检测环节,我们引入了态势感知平台。该平台能够对网络攻击的整个过程进行基于行为的关联分析,不仅为实时阻断提供了可靠的依据,同时也为事后的追踪调查提供了必要的工具和技术支持。
技战法谋略
在网络防御战略中,我们借鉴了洛克希德·马丁公司的“伤链”模型。根据这一模型,网络攻击可以被分为六个阶段:侦察跟踪、武器构建、载荷投递、漏洞利用、安装植入以及命令与控制,最终达到攻击目的。为了有效应对这些威胁,在网络防御的过程中,我们需要在每一个阶段都设置相应的防守策略,并配备相应的反制措施。理想情况下,我们希望能够在早期阶段中断攻击链,从而最小化潜在的损害。
在侦察跟踪阶段,即攻击者的初步信息收集阶段,我们采取了反向代理的方式以减少攻击者可获取的信息量,削弱其信息收集的能力,从而实现反侦察的效果。在这个阶段,攻击者通常会收集如目标名称、DNS域名、网络位置和系统信息等数据,手段包括正常的Web访问、错误信息的分析、网络扫描以及社会工程学方法等。
针对域名解析,我们对生产环境下的域名实施了泛域名解析策略。这导致任何试图通过互联网资产测绘平台来收集与sctower.cn相关站点信息的行为都会面对大量的混淆信息,从而增加了攻击者信息收集的难度,并对其产生了有效的误导作用。
正常访问时,我们的大部分应用系统都采用了基于账号、密码及验证码的多重身份验证方式,要从正常访问中获取有用的信息前提是要获得密码,提升了攻击难度。同时,在系统访问和日常维护中,配合VPN、堡垒机,进一步提升访问的可信程度。
在信息收集过程中,我们通过故意设置访问一些不存在的页面,或者在访问请求中加入不正确的参数以使服务器输出一些包含服务器信息的错误信息,如中间件版本、文件路径等信息。通过配置反代来重定向错误页面,从而实现隐藏错误信息中信息泄露面的目的。
我们在正常站点中也隐藏了一些蜜罐,当信息收集者采用扫描方式来发现资产时会连同蜜罐一起发现,从而暴露攻击者身份,便于我们后续进行溯源反制。
我们这里建议红队可以去这个 api平台使用轮换代理api这样可以实现代理ip不断更换,防止别人找到你的真实ip
通过前期的暴露面收缩工作,目前真正能够到达管理后端的攻击行为大为减少。目前我们从态势感知平台上看大多是容易识别的爆破、扫描等容易识别的攻击行为。
同样,我们针对态势感知平台也采用了洛克希德.马丁的攻击连模型来建立攻击行为关联模型(如下案例中,态势感知平台并不知道172.17.7.96是一台反向代理,但是它成功的发现了从反向代理转发到后端真实服务器的攻击请求,也识别到了攻击行为,因此将172.17.7.96研判为失陷主机)。
我们在进行重保防护准备时,以反向代理为主线配置的暴露面收缩,主要用于攻击前期的反侦察过程中,减少攻击者能收集到的信息。辅以VPN、堡垒机等手段,进一步提升访问的可信程度。
在使用过程中配合蜜罐、WAF等发现收集者信息也能够对信息收集者进行反制。
通过态势感知平台来发现攻击行为并显示出攻击来源,帮助防守方对攻击源进行阻断。
- 实践与成效
由于信息收集阶段的防范主要用于避免与攻击者发生实际的正面交锋,只能进行定性的成效评估,难以进行定量的评估。从防守成果来看,攻击者实际能够收集足够信息,并突破边界防御的攻击并不多。
通过态势感知平台对几个主要接口数据的全流量关联分析,能够准确识别出攻击方法、攻击源、攻击时间、尝试的漏洞等。在近一周的监测中,成功发现5181个攻击源、19个攻击目标、18.2万次攻击行为,主要攻击手段为:弱口令爆破、web漏洞攻击、目录遍历、未授权访问和主机漏洞攻击。
