网络隔离在网络安全建设中十分常用,无论在金融、能源,还是工业、政府行业都很常见。保证数据安全和业务连续性是企业的安全需求,但只要把网络隔离,就可以做到零失陷吗?我们先来看一个真实的客户案例。
我们在为一家大型公司的隔离网络部署威胁情报检测平台(TDP)时,检测出的隔离网络中的威胁统计详情如下:
失陷主机:170余台
相关威胁情报IOC数量:近900条
产生的总报警数:230余万次
而这些被检测出的威胁,也称得上是五毒俱全:
有Nitol、Ramnit、Ricbot、飞客家族等僵尸网络家族,这些僵尸网络大多通过系统漏洞进行传播,感染了内网主机以后,会利用失陷主机组成庞大的僵尸网络,占用大量的网络带宽;
还有臭名昭著的暗云木马,迄今为止经历了三代,完全基于内核,可以通过直接关闭杀毒软件来躲避查杀,被称为最复杂、最难清除的木马,也在这个隔离网络内;
MyKing团伙,通过DDoS攻击和挖矿盈利,国内较大的黑产团伙,攻陷了该隔离网络的多台主机;
WannaCry(永恒之蓝),通过Windows漏洞传播,加密了多台主机硬盘勒索比特币;
更重要的是,通过威胁情报和未知威胁分析模型的关联分析,我们还发现了两个高价值的定向攻击和木马!
说好的隔离就没事呢?为什么隔离网络里仍然有这么多威胁?
对于攻击者而言,如果一个网络已经重要到不惜隔离也要保护的程度,那么这个网络本身的价值,就足以让他们挤破头也想攻进去;而相反地,对于安全人员来说,当他们意识不到网络隔离会有风险的时候,就是他们的防范意识最松懈、整个网络环境最危险的时候。因为,能够攻进隔离网络的的手段简直太多了:
一、钓鱼邮件。即使在完全隔离的办公网中,攻击者也可以选择使用钓鱼邮件的方式,给用户发送恶意软件或者使用欺诈邮件的方式获得用户的用户名密码。通过攻陷一台机器,进而从而在内网中横向移动,以获得更高权限机器的控制权。攻击者甚至可以进一步以此为跳板,渗透进入企业的生产网络——窃取企业数据、挖矿,甚至是搞破坏,都在攻击者的可操作范围内了。这听起来有些难以置信,但是2017年的著名工控恶意软件Triton,就是通过鱼叉式钓鱼攻击攻入了中东一家大型机构的OA网络,然后从 OA网络横向移动攻入了DMZ区域,最后以DMZ网络为支点,最终攻陷了网络隔离更为严密的DCS和SIS工控系统网络,万幸最后攻击者因为不够深入了解工控系统,意外触发了紧急关闭系统,这才被安全人员发现,否则该机构可能会爆发严重的生产事故。
二、带有病毒的USB设备、打印机或其他专用设备的驱动光盘等。以U盘为例,U盘容易带上病毒,当病毒把自己伪装成autorun等程序时,往往就很难被识别和清除,从而进入到电脑中,这就成为了隔离网络的隐患之一。一旦有攻击者引入社会工程手段,故意在目标网络附近的公共场所掉落U盘,那就会更具有指向性,也更难防御。2010年前后的Stuxnet(震网)就是一个通过U盘传播恶意软件的案例,震网最终攻击了伊朗的铀浓缩设备,让德黑兰的核计划至少推迟了两年。
三、BYOD。BYOD=Bring your own device(携带个人设备),当公司的网络中接入越来越多的员工电脑和手机时,这些每天带来带走的设备就会给企业带来新的安全隐患。最典型的当属WannaCry事件,当WannaCry病毒爆发的时候,正值中国时区的周末,因此风平浪静两日,但等到周一上班以后,就开始大规模爆发。究其原因,是周末很多员工都把自己的个人电脑带回了家,连入了家中的无线网络并感染了WannaCry,而且没有被发现,等到周一电脑又被带回来,接进了办公网甚至生产网……
四、系统不及时打补丁,攻击者从漏洞中攻入。很多安全从业者认为,既然网络已经被隔离了,那么从理论上来讲网络就是安全的,系统补丁可以不用更新,其他方面的安全策略也会出现不足,甚至安全人员的意识都会变得迟钝,而这一切的后果就是恶意软件真的来临时,在隔离网络中可以畅通无阻。在WannaCry爆发时,我们就遇到了大量因没有打补丁而爆发和感染的客户案例。此外,由于网络从内部隔离,内鬼作案的成功率也会提升。
五、私搭无线网络。被隔离的日子是枯燥的,外面的世界总是精彩的,于是就会有内网员工禁不住诱惑,偷偷搭建无线网络进行上网等行为,殊不知这样一来就给自己的内网开了一个口子,如果再遇到水坑攻击,下载了伪装成软件、工具包甚至电影资源的内容,那么隔离效果就会“谈笑间,樯橹灰飞烟灭”。
这些问题涉及到人员、技术和制度。因此,想要减轻隔离网络的风险,我们建议从这几个方面去着手:
第一,建立严格的内网管理制度,在需要隔离的网络环境中,严禁私搭无线网络,按时更新系统版本,打好补丁,能够接触到隔离网络的人员要加强对三方设备的管理,禁止使用来历不明的USB设备;
第二,提高人员的意识,定期对安全人员进行检查、培训,促进安全人员对于先进网安知识的学习,严防内鬼;
第三,技术上不要再追求单纯的防御,应当以“随时检测、随时响应”为目标,缩短MTTD(平均检测时长)和MTTR(平均响应时长),在做好主机、内网防护的同时,引入威胁情报等外部安全大数据,利用基于全流量分析的威胁情报检测系统(TDP)对隔离网络进行全面的威胁监控,随时掌握主机失陷情况。此外,还应当建立起企业自身的威胁情报平台(TIP),如白名单、可疑IP记录、有攻击历史的黑客组织名单与画像等。
回到文章开头的案例,隔离网络失陷是由多方面因素所造成的,企业或组织必须意识到,一味进行防御,永远无法做到完美,因为世界上只有两种企业,一种知道自己被入侵了,一种不知道自己被入侵了。人无远虑,必有近忧,被攻击并不可怕,可怕的是意识已经失陷。
