淺談攻防演練

攻防演練簡(jiǎn)介

國(guó)家級(jí)攻防演練從2016年開(kāi)始,已經(jīng)走過(guò)了6個(gè)年頭,它是由公安部組織的,這個(gè)網(wǎng)絡(luò)安全攻防演練集結(jié)了國(guó)家頂級(jí)的攻防力量,以不限制手段、路徑,進(jìn)行獲取權(quán)限并攻陷指定靶機(jī)為目的實(shí)戰(zhàn)攻防演練。

通過(guò)真實(shí)網(wǎng)絡(luò)中的攻防演練,可以全面評(píng)估目標(biāo)所在網(wǎng)絡(luò)的整體安全防護(hù)能力,檢驗(yàn)防守方安全監(jiān)測(cè)、防護(hù)和應(yīng)急響應(yīng)機(jī)制及措施的有效性,鍛煉應(yīng)急響應(yīng)隊(duì)伍提升安全事件處置的能力。

攻防演練主要目標(biāo)涵蓋國(guó)家重要行業(yè)的關(guān)鍵信息基礎(chǔ)設(shè)施、每年覆蓋行業(yè)、單位、系統(tǒng)都在逐漸擴(kuò)大。

這個(gè)攻防演練時(shí)間一般持續(xù)2到3周。一般護(hù)網(wǎng)演練都是在白天工作日進(jìn)行,不過(guò)攻擊方是不分時(shí)間點(diǎn)在嘗試攻擊。

攻防演練的目的:

凈化企業(yè)或機(jī)構(gòu)的網(wǎng)絡(luò)環(huán)境、強(qiáng)化網(wǎng)絡(luò)安全意識(shí);

防攻擊、防破壞、防泄密、防重大網(wǎng)絡(luò)安全故障;

檢驗(yàn)企業(yè)關(guān)鍵基礎(chǔ)設(shè)施的安全防護(hù)能力;

提升關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全防范能力和水平。

防守方和攻擊方

攻防演練的主要的兩個(gè)角色就是防守方和攻擊方。

下面就梳理下防守方和攻擊方。



(上圖出自公安部第一研究所的分享會(huì))

防守方它是不限制防御方式、監(jiān)控全網(wǎng)攻擊、及時(shí)發(fā)現(xiàn)并處理問(wèn)題、避免內(nèi)部系統(tǒng)被攻陷。

防守方的評(píng)分規(guī)則:發(fā)現(xiàn)類(lèi)、消除類(lèi)、應(yīng)急處置類(lèi)、追蹤溯源類(lèi)、演習(xí)總結(jié)類(lèi)攻擊。

攻擊方是不限制攻擊方式、不限制攻擊手段、不限制攻擊路徑、以獲取權(quán)限為目的。

攻擊方的評(píng)分規(guī)則:獲取權(quán)限、突破邊界、入侵分析、攻陷靶標(biāo)、重大成果。

防守方的防守要點(diǎn):

1、限制報(bào)告數(shù)量,注重上報(bào)準(zhǔn)確度;

2、明確非正常防守扣分要求;

3、設(shè)置加分上限;

4、強(qiáng)化追蹤溯源重要性;

5、重視云、大、物、域控等管控權(quán)限;強(qiáng)調(diào)同等重要系統(tǒng)重要性。

防護(hù)方普遍存在的困難點(diǎn):

防御與監(jiān)測(cè)覆蓋不全:防護(hù)以邊界為主,內(nèi)部防護(hù)較為薄弱,未覆蓋完整業(yè)務(wù)場(chǎng)景。

資產(chǎn)管理難度大:缺少體系化、全面化資產(chǎn)發(fā)現(xiàn)手段,特別是互利網(wǎng)資產(chǎn)的管控不足,攻擊面大、敏感信息泄露未關(guān)注,例如github、微信公眾號(hào)、網(wǎng)盤(pán)、APP、小程序。

人員意識(shí)技能不足:保障過(guò)程要求多樣化安全專(zhuān)業(yè)人才,對(duì)分析及溯源人員提出更高要求,安全能力不足成為存在被社工風(fēng)險(xiǎn)

自動(dòng)化處置率低:無(wú)穩(wěn)定可靠的保障威脅情報(bào)來(lái)源,對(duì)攻擊威脅情報(bào)處置滯后,依托人工分析效率低,事件檢出率低。

弱口令存在率高:除了內(nèi)網(wǎng)的弱口令問(wèn)題外,防守方對(duì)云平臺(tái)、大數(shù)據(jù)、物聯(lián)網(wǎng)等弱口令問(wèn)題重視程度不夠。

攻擊方突破手段

利用百度文庫(kù)、github、fofa、域名注冊(cè)、互聯(lián)網(wǎng)暴露資產(chǎn)渠道收集信息;

利用網(wǎng)站、系統(tǒng)應(yīng)用、手機(jī)APP、微信小程序后臺(tái)漏洞打開(kāi)互聯(lián)網(wǎng)入口;

控制內(nèi)部員工郵箱、辦公終端、配合社工手段獲取vpn賬號(hào)密碼進(jìn)入內(nèi)網(wǎng);

迂回攻擊下屬單位,進(jìn)入內(nèi)網(wǎng)后繞道攻擊總部目標(biāo);

攻擊供應(yīng)鏈、挖掘漏洞或利用已分配權(quán)限進(jìn)入內(nèi)網(wǎng);

利用第三方運(yùn)維、內(nèi)部違規(guī)員工非常外聯(lián)入群專(zhuān)網(wǎng);

使用弱口令、密碼復(fù)用、密碼猜測(cè)攻擊獲取權(quán)限;

控制欲控、堡壘機(jī)、云平臺(tái)、單點(diǎn)登錄、殺毒軟件后臺(tái)等系統(tǒng)以點(diǎn)打面;

搜索多網(wǎng)卡主機(jī)、4A系統(tǒng)、網(wǎng)閘等設(shè)備縱向滲透;

10.攻擊核心主機(jī)獲取重要系統(tǒng)權(quán)限;

11.對(duì)內(nèi)部員工發(fā)動(dòng)水坑、求職APP釣魚(yú)郵件、QQ聊天、信用卡賬單等社工手段進(jìn)入辦公網(wǎng);

12.攻擊第三方、利用第三方接入網(wǎng)絡(luò)攻擊目標(biāo)單位。

漏洞攻擊

漏洞攻擊類(lèi)型包括:SQL注入(GET注入、POST注入、HTTP頭注入)、XSS(跨站腳本攻擊)、暴力破解、掃描探測(cè)、弱口令、遠(yuǎn)程命令執(zhí)行、反序列化、任意代碼執(zhí)行、URL重定向、文件包含、任意文件上傳、未授權(quán)訪問(wèn)、目錄穿越、業(yè)務(wù)邏輯篡改。



(上圖出自公安部第一研究所的分享會(huì))

攻防演練中高頻的漏洞:

1、web漏洞為主:SQL注入、XSS(跨站腳本攻擊)、文件上傳漏洞等等

2、以獲取系統(tǒng)權(quán)限漏洞為主

        2.1、代碼執(zhí)行漏洞

        2.2、反序列化漏洞

        2.3、遠(yuǎn)程命令執(zhí)行漏洞

        2.4、任意文件上傳漏洞






3、代碼執(zhí)行漏洞代表:struts2、spring

4、反序列化執(zhí)行漏洞代表:shiro、fastjson

攻擊手段和方式

常見(jiàn)的攻擊手段包括:Oday漏洞攻擊、社工釣魚(yú)攻擊、多源低頻攻擊、人員和管理漏洞探測(cè)、武器化攻擊等等。



(上圖出自公安部第一研究所的分享會(huì))

常見(jiàn)的攻擊方式

弱口令攻擊:1.攻擊使用弱口令的終端、vpn、郵箱、設(shè)備等;2.內(nèi)外部賬號(hào)密碼復(fù)用的用戶。

釣魚(yú)攻擊:通過(guò)偽裝方式進(jìn)行將木馬或后門(mén)程序發(fā)給用戶(一般通過(guò)冒充群管理員發(fā)釣魚(yú)郵件、冒充企業(yè)發(fā)招聘信息、冒充銀行發(fā)信用卡賬單信息、冒充淘寶商家發(fā)福利信息等進(jìn)行偽裝的URL、圖片、文件),然后進(jìn)行后門(mén)程序功能開(kāi)啟和攻擊。

用戶系統(tǒng)攻擊:攻擊大量存有用戶信息、人員組織架構(gòu)的系統(tǒng)、終端(VPN系統(tǒng)、郵件系統(tǒng)、OA系統(tǒng)、統(tǒng)一身份認(rèn)證等等)

集權(quán)系統(tǒng)攻擊:攻擊集中類(lèi)型管理器(堡壘機(jī)、統(tǒng)一身份認(rèn)證);攻擊運(yùn)維系統(tǒng),集中監(jiān)控類(lèi)型的系統(tǒng)。

橫向擴(kuò)展攻擊:攻擊存在跨網(wǎng)段的辦公、業(yè)務(wù)終端和設(shè)備

攻防演練的階段



(上圖來(lái)自奇安信官網(wǎng))

啟動(dòng)階段:保障團(tuán)隊(duì)組建、制定保障行動(dòng)計(jì)劃、簽訂保密協(xié)議

備戰(zhàn)階段:資產(chǎn)清楚與管理、全面風(fēng)險(xiǎn)自查、防護(hù)體系建設(shè)、攻防演練實(shí)戰(zhàn)賦能

臨戰(zhàn)階段:實(shí)戰(zhàn)化流程制定、全員攻防演練宣導(dǎo)、全員社工防范測(cè)試、安全演練模擬與總結(jié)、風(fēng)險(xiǎn)持續(xù)評(píng)估優(yōu)化

實(shí)戰(zhàn)階段:安全專(zhuān)家值守、實(shí)戰(zhàn)演練能力(包括:情報(bào)整合能力、安全監(jiān)測(cè)能力、安全分析能力、聯(lián)防聯(lián)控能力、威脅溯源反制能力、應(yīng)急響應(yīng)能力)、防守成功上報(bào)、外部專(zhuān)家支持。

總結(jié)階段:攻擊還原分析、防守復(fù)盤(pán)總結(jié)、知識(shí)總結(jié)與固化、演練總結(jié)報(bào)告編制、防護(hù)能力提升

備戰(zhàn)階段的全面風(fēng)險(xiǎn)自查:資產(chǎn)自查、資產(chǎn)安全評(píng)估(漏掃、滲透)、賬號(hào)口令檢查(VPN、域控)、入侵痕跡檢查、信息泄露檢查、供應(yīng)鏈檢查、人員安全意識(shí)評(píng)估。

備戰(zhàn)階段互聯(lián)網(wǎng)暴露資產(chǎn)自查:APP暴露、信息泄露、幽靈資產(chǎn)、失陷資產(chǎn)、高危主機(jī)暴露、暴露資產(chǎn)現(xiàn)狀、外聯(lián)機(jī)構(gòu)信息、分支機(jī)構(gòu)信息。

互聯(lián)網(wǎng)資產(chǎn)的外聯(lián)機(jī)構(gòu)信息:github(或開(kāi)源社區(qū))、APP應(yīng)用、微信小程序、微信公眾號(hào)、賬號(hào)泄露、郵箱泄露、百度文庫(kù)、各大網(wǎng)盤(pán)、未知IP、未知域名、未知系統(tǒng)、未知主機(jī)、微信情報(bào)標(biāo)記惡意攻擊源,高危端口暴露、各大應(yīng)用市場(chǎng)app、子公司或分支結(jié)構(gòu)暴露信息。

小結(jié)

攻防演練過(guò)程中最關(guān)注的是權(quán)限和數(shù)據(jù)這兩個(gè)點(diǎn),基于對(duì)這兩個(gè)點(diǎn)進(jìn)行攻防。

通過(guò)每年的攻防演練可以促進(jìn)安全發(fā)展:

強(qiáng)化安全保障,助力重大會(huì)議安保;

同業(yè)競(jìng)爭(zhēng)排名,提高耽誤業(yè)內(nèi)聲譽(yù);

以賽代練,提升單位信息安全防護(hù)水平;

真槍實(shí)彈攻防,檢驗(yàn)信息安全防護(hù)成效。

攻防演練過(guò)程需要涉及的一些流程:

明確工作職責(zé)、梳理可落地方案

資產(chǎn)全面清點(diǎn),已知、未知資產(chǎn)全管控

全面安全自查,整改措施到位、責(zé)任層層下發(fā)

通過(guò)演習(xí)找準(zhǔn)風(fēng)險(xiǎn)點(diǎn),檢驗(yàn)組織及運(yùn)營(yíng)流程有效性。

統(tǒng)籌安排、協(xié)同工作、分工有序、共同完成攻防演練的任務(wù)。

攻防演練過(guò)程中通過(guò)協(xié)同用戶及相關(guān)廠商組件演練保障團(tuán)隊(duì),共同開(kāi)展防守工作,通過(guò)保障團(tuán)隊(duì)確保監(jiān)控?cái)?shù)據(jù)準(zhǔn)確、事件處理妥當(dāng),威脅溯源有法。

作者:小道安全


歡迎關(guān)注微信公眾號(hào) :小道安全