x
在线咨询
刷新
您当前的位置: 资讯中心 > 原创文章
增强“源头”防护能力,拥抱HVV新阶段
发布时间:2024.09.06 浏览数量:209人

近年来,网络安全领域风云变幻,HVV(护网行动)已从小规模的临时性攻防演练,逐步成为了以全国范围内的真实网络目标为对象的常态化实战演习。近日,圈内传闻2024年HVV第一阶段已经结束,后续开启0day不定期演练。

逐步深入的护网行动,对于数据运营者来说无疑是每年一次的大考。而不定期演练,则转变为常态化的考试。“断网”和“堆人”的迎考方式,显然无法有效适应这种常考新形态。由于现有的网络安全防护手段在应对0day、供应链、社工等攻击手段时显得力不从心,企业或组织亟待提升“数据源头”防护能力。

 

图片1


1、数据“源头”的防护短板

现在的护网行动更偏重网络边界的防护,而从业务层或者内部发起的攻击,由于攻击者通常拥有合法的身份,能够绕过网络防御措施,使得其行为更加隐秘。这类攻击往往被授予的权限滥用,直接通过应用系统获取数据或者直接攻击数据源头:数据库或者大数据系统。从而造成严重的数据泄露或破坏,给企业或组织带来无法估量的经济和声誉损失。

经我们分析发现,攻击者绕过网络安全防护体系,实现对数据的攻击主要有以下几种形式:

1)利用被授予的权限直接获取数据

攻击者利用被授予的“合法”应用权限,直接对数据进行访问并存储,细水长流般沉淀数据,或者多人协同沉淀数据。

2)获取数据库账密直接访问数据库

攻击者可能通过0day漏洞或者内部便捷途径,夺取应用服务器或接口服务器权限,进一步获得数据库配置文件中的连接信息,包括IP地址和账户密码,直接连接数据库进行访问。

3)夺取数据库服务器权限

通过横向扩展或内部便捷途径,夺取数据库服务器权限,然后用超级账号直接访问数据库或者下载、复制数据库文件。

4)攻击数据存储盘

攻击者通过社工等方式,直接获取硬盘、光盘等数据存储介质,得到数据文件。


2、多种能力提升“源头”安全水平

在这种新形态下,我们建议通过“监测+阻断+加密+诱捕”的方案,补齐安全防护体系的最后一块短板。

图片2

1)监测

通过还原和分析数据访问日志,还原出数据访问和数据流动的全链路,建立用户行为和数据流动的模式画像,识别出异常数据访问行为,尤其是识别出针对数据的复杂攻击,如数据APT攻击。

关联产品:数据库审计、数据接口审计、数据安全态势感知。

 

2)阻断

直接阻断偏离画像基线和白名单规则的数据访问,或者阻断监测到的复杂攻击。

关联产品:数据库防火墙。

 

3)加密

将数据进行加密,并控制解密权限实现对超级权限的解除,即使攻击者能下载或复制数据,或提权到DBA,仍然无法获得明文数据。更进一步,通过进程白名单,排斥勒索病毒对数据库文件的加密操作,防范数据被勒索。

关联产品:数据库透明加密。

 

4)诱捕

在数据库服务器、数据防护产品中放置蜜罐,建立与业务系统类似的数据库和数据访问通道,吸引攻击者入侵,从而实现对攻击的诱捕。

关联产品:上述产品中均自带轻量型蜜罐。

 

3、加固网络安全最后一厘米,迎接HVV新常态

“源头”防护是网络安全纵深防护的最后一厘米,已然成为提升网络安全的重要途径,也必将逐步成为常态化HVV行动中的防守技术基石。