颠覆传统安全:告别杀毒软件,拥抱应用白名单与网络隔离新策略

本文探讨了传统杀毒软件的局限性,并提出应用白名单、内部防火墙部署、互联网白名单及差异分析等更有效的安全基础策略,旨在帮助组织构建更强大的防御体系。

新安全基础——告别杀毒软件

John Strand //
杀毒软件已死,白名单永存。我们在测试中发现,越来越多的攻击能够轻松绕过杀毒软件控制。迄今为止,尚未看到任何黑名单解决方案或其供应商能够有效预防攻击。行业需要转向白名单方法,这可以通过诸如Bit9、Lumension或Bromium等产品实现,或者利用现有控制措施,如Applocker和/或软件限制策略(SRP)。我们建议组织从Applocker开始,逐步升级到完整的应用程序白名单。

基本上,您可以从精确定义允许运行各种程序的目录开始。例如,我们可以锁定程序仅从Windows和Program Files目录运行。尽管存在绕过方法(例如ISR-Evilgrade式攻击、利用应用程序并从该目录启动),但整体环境安全性的提升是显著的。

坦率地说,如果必须在Applocker和传统杀毒软件之间选择,我会每次都选择Applocker。此外,这并非特定于某个产品,而是您环境中可能已经具备的功能。关键点在于,它无需购买另一个昂贵工具即可实现。

全面部署防火墙

许多成功组织的另一个关键特征是大量使用内部防火墙。虽然我们在环境边界设置防火墙方面做得不错,但在启用内部防火墙方面仍然糟糕。现在,让我明确一点:Windows内置防火墙非常糟糕,其登录界面丑陋,且通过组策略在整个环境中启用可能很麻烦。

但无论如何,请启用它。

还可以选择使用各种杀毒产品内置的防火墙。这些防火墙的好处是已经部署,并可以从集中位置管理。从策略角度,这些应设置在仅能从严格管理的管理员VPN和服务器子网访问的工作站上,但工作站之间完全不能通信。根本没有理由让工作站通过SMB相互通信。用户不应以这种方式共享文件。

永远不要。

基本上,您应将内部网络视为敌对网络,因为它确实是。

这有什么作用?首先,它将阻止攻击者使用传递哈希攻击或令牌模拟横向移动到其他工作站。我无法强调这一点:在测试中,我们从一个机器横向移动到另一个,直到找到具有本地权限提升漏洞或可访问敏感数据的机器。但启用本地防火墙可以有效阻止这种情况发生。

攻击者仍然可以访问文件服务器和关键服务。但是,这些通信路径是已知的,并且比尝试监控每个系统之间的每次通信更容易监控。

互联网白名单

这无疑是本文中最有争议的项目。每当我在课程或会议上讨论互联网白名单时,都会引发大量尖叫、哭泣、躲在桌下和酗酒 breakout 会议。

标准准备进行主动防御讨论

是的,我的演示可能很快失控。但在所有干草叉和莫洛托夫鸡尾酒扔向我之前,我希望每个人深吸一口气。看,当我讨论互联网白名单时,人们有一种奇怪的愿景,即互联网星室法庭召开会议,痛苦地详细辩论用户请求访问的每个网站的利弊。鲜血将洒出……关节将从插座中拔出。

这不是我所说的。相反,让我们玩一个简单的心理游戏。假设您白名单了互联网上前1000个站点。当然,您会排除色情、赌博和One Direction站点。但您会允许所有其他站点。然后,如果用户想要访问不在列表中的站点,您会快速审查,然后允许它。没有鲜血,没有审讯。见鬼,您甚至可以让用户自动添加站点。

您对互联网的总暴露会比现在更多还是更少?

答案是它会 dramatically 减少。甚至不到以前的一小部分。是的,您允许的站点可能被用来攻击您的用户。但是,如果您的用户被入侵,产生的C2很可能无法通过。记住,目标不是将风险降低到0,而是试图将其达到可接受的水平。此外,这将进一步减少在几乎任何事件或狩猎团队参与中需要穿透的白噪声。

差异分析

任何安全团队的核心目标应该是简单识别与常态的偏差。然而,与此相反,这也要求我们牢固理解“正常”究竟是什么。这比许多人认为的既更难又更容易。例如,尝试对每个系统进行清点可能是一场噩梦。但是,有一些工具可以提供帮助。首先,Security Onion安装了Bro,它具有很酷的能力,可以对通过它的所有用户代理字符串进行全面清点。这可用于快速识别异常的用户代理字符串。为什么这很重要?首先,它可以帮助识别仍然潜伏在您环境中的旧系统。如果您的所有系统都是Windows 7-10,而您看到Windows XP用户代理字符串,那么它可能是恶意软件的UA字符串,或者可能是需要像白蚁或蟑螂一样根除的非常过时的系统。

其他一些出色的差异分析工具包括Kansa和Microsoft Advanced Threat analytics。这两者都可用于基线大量系统,并运行配置、应用程序和网络连接(Kansa)或网络上用户行为(Microsoft Advanced Threat Analytics)的比较。

结论

多年前我开了一个玩笑。我说如果环境简单地移除杀毒软件,它们会安全得多。我让一些人生气了。我的观点是:如果我们禁用杀毒软件,我们会更安全。回顾过去,我应该在我的分析中更加坚定。

您会更安全!!

为什么?因为然后您会做所有其他事情来保护您的网络。 杀毒软件/IDS/IPS都是安全剧场。它们提供了一种从未存在过的安全幻觉。我们需要超越它们。我们需要理解攻击者会绕过它们(因为它们会),然后相应地开始构建我们的网络。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次