新安全基础:告别传统杀毒,拥抱应用白名单与内部防火墙

本文探讨了传统杀毒软件的局限性,并提出了应用白名单、内部防火墙部署、互联网访问控制及差异分析等更有效的安全策略,以提升网络环境的整体安全性。

新安全基础 - 告别传统杀毒

John Strand //
杀毒软件已死,白名单长存。 我们在测试中发现,越来越多的攻击能够轻松绕过杀毒软件控制。迄今为止,尚未看到任何黑名单解决方案或其供应商能够有效防御攻击。行业需要转向白名单方法,这可以通过诸如 Bit9、Lumension 或 Bromium 等产品实现,或者利用现有控制措施,如 Applocker 和/或软件限制策略(SRP)。我们建议组织从 Applocker 开始,逐步过渡到完整的应用程序白名单。

基本上,您可以从明确定义允许运行程序的目录开始。例如,可以将程序锁定为仅从 Windows 和 Program Files 目录运行。尽管存在绕过方法(例如 ISR-Evilgrade 式攻击,利用应用程序并从该目录启动),但整体环境安全性的提升是显著的。

坦率地说,如果必须在 Applocker 和传统杀毒软件之间选择,我会每次都选择 Applocker。此外,这并非特定于某个产品,而是您环境中可能已经具备的功能。关键在于,它无需购买另一个昂贵工具即可实现。

全面部署防火墙

许多成功组织的另一个关键特征是广泛使用内部防火墙。虽然我们在环境边界设置防火墙方面做得不错,但在启用内部防火墙方面仍然非常糟糕。现在,让我明确一点:Windows 内置防火墙非常糟糕,其界面丑陋,且通过组策略在整个环境中启用可能很麻烦。

但无论如何,请启用它。

还可以选择使用各种杀毒产品中内置的防火墙。这些防火墙的好处是已经部署,并且可以从集中位置管理。从策略角度来看,这些防火墙应设置在仅允许通过严格管理的管理员 VPN 和服务器子网访问的工作站上,但工作站之间不能相互通信。完全不能。 没有理由让工作站通过 SMB 相互通信。用户不应以这种方式共享文件。

永远不要。

基本上,您应将内部网络视为敌对网络,因为它确实是。

这有什么作用?首先,它将阻止攻击者使用传递哈希攻击或令牌模拟横向移动到其他工作站。我无法强调这一点的重要性:在测试中,我们从一台机器横向移动到另一台,直到找到具有本地权限提升漏洞或可访问敏感数据的机器。但启用本地防火墙可以有效阻止这种情况发生。

攻击者仍然可以访问文件服务器和关键服务。但是,这些通信路径是已知的,并且比尝试监控每个系统之间的每次通信更容易监控。

互联网白名单

这是本文中最有争议的项目。每当我在一堂课或会议上讨论互联网白名单时,都会引发大量尖叫、哭泣、躲在桌下和酗酒的分会讨论。

主动防御演讲的标准准备

是的,我的演讲可能会很快失控。但在所有干草叉和莫洛托夫鸡尾酒朝我扔来之前,我希望每个人深吸一口气。看,当我讨论互联网白名单时,人们会有一种奇怪的想象:互联网星室法庭召开会议,痛苦地详细辩论用户请求访问的每个网站的利弊。鲜血会流淌……关节会脱臼。

这不是我所说的。相反,让我们玩一个简单的心理游戏。假设您将互联网上前 1000 个网站列入白名单。当然,您会排除色情、赌博和 One Direction 网站。但您会允许所有其他网站。然后,如果用户想要访问不在列表中的网站,您会快速审查,然后允许它。没有流血,没有审讯。见鬼,您甚至可以让用户自动添加网站。

您对互联网的总暴露量会比现在更多还是更少?

答案是它会 dramatically 减少。甚至不到以前的一小部分。是的,您允许的网站可能被用来攻击您的用户。但是,如果您的用户被入侵,产生的 C2 很可能无法通过。请记住,目标不是将风险降低到 0,而是尝试将其降低到可接受的水平。此外,这将进一步减少在几乎任何事件或狩猎团队参与中经常需要消除的白噪声。

差异分析

任何安全团队的核心目标都应该是简单地识别与常态的偏差。然而,与此相反,这也要求我们确切理解“正常”是什么。这比许多人认为的既更难又更容易。例如,尝试清点每个系统可能是一场噩梦。但是,有一些工具可以提供帮助。首先,Security Onion 安装了 Bro,它具有一个非常酷的能力,可以对通过它的所有用户代理字符串进行全面清点。这可以用于快速识别异常的用户代理字符串。为什么这很重要?首先,它对于识别环境中仍然潜伏的旧系统非常有帮助。如果您的所有系统都是 Windows 7-10,而您看到一个 Windows XP 用户代理字符串,那么它可能是恶意软件的 UA 字符串,或者是一个非常过时的系统,需要像白蚁或蟑螂一样根除。

其他一些用于差异分析的出色工具是 Kansa 和 Microsoft Advanced Threat Analytics。这两者都可以用于对大量系统进行基线化,并运行配置、应用程序和网络连接(Kansa)或网络上用户行为(Microsoft Advanced Threat Analytics)的比较。

结论

几年前我开了一个玩笑。我说如果环境简单地移除杀毒软件,它们会更安全。我让一些人生气了。我的观点是:如果我们禁用杀毒软件,我们会更安全。回想起来,我应该在我的分析中更加坚定。

您会更安全!!

为什么?因为那样您会做所有其他事情来保护您的网络。 杀毒软件/入侵检测系统/入侵防御系统都是安全剧场。它们提供了一种从未存在过的安全幻觉。我们需要超越它们。我们需要理解攻击者会绕过它们(因为他们会),然后相应地开始构建我们的网络。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次