淺談攻防演練
攻防演練簡介
國家級攻防演練從2016年開始,已經走過了6個年頭,它是由公安部組織的,這個網絡安全攻防演練集結了國家頂級的攻防力量,以不限制手段、路徑,進行獲取權限并攻陷指定靶機為目的實戰攻防演練。
通過真實網絡中的攻防演練,可以全面評估目標所在網絡的整體安全防護能力,檢驗防守方安全監測、防護和應急響應機制及措施的有效性,鍛煉應急響應隊伍提升安全事件處置的能力。
攻防演練主要目標涵蓋國家重要行業的關鍵信息基礎設施、每年覆蓋行業、單位、系統都在逐漸擴大。
這個攻防演練時間一般持續2到3周。一般護網演練都是在白天工作日進行,不過攻擊方是不分時間點在嘗試攻擊。
攻防演練的目的:
- 凈化企業或機構的網絡環境、強化網絡安全意識;
- 防攻擊、防破壞、防泄密、防重大網絡安全故障;
- 檢驗企業關鍵基礎設施的安全防護能力;
- 提升關鍵基礎設施的網絡安全防范能力和水平。
防守方和攻擊方
攻防演練的主要的兩個角色就是防守方和攻擊方。
下面就梳理下防守方和攻擊方。
(上圖出自公安部第一研究所的分享會)
防守方它是不限制防御方式、監控全網攻擊、及時發現并處理問題、避免內部系統被攻陷。
防守方的評分規則:發現類、消除類、應急處置類、追蹤溯源類、演習總結類攻擊。
攻擊方是不限制攻擊方式、不限制攻擊手段、不限制攻擊路徑、以獲取權限為目的。
攻擊方的評分規則:獲取權限、突破邊界、入侵分析、攻陷靶標、重大成果。
防守方的防守要點:
1、限制報告數量,注重上報準確度;
2、明確非正常防守扣分要求;
3、設置加分上限;
4、強化追蹤溯源重要性;
5、重視云、大、物、域控等管控權限;強調同等重要系統重要性。
防護方普遍存在的困難點:
- 防御與監測覆蓋不全:防護以邊界為主,內部防護較為薄弱,未覆蓋完整業務場景。
- 資產管理難度大:缺少體系化、全面化資產發現手段,特別是互利網資產的管控不足,攻擊面大、敏感信息泄露未關注,例如github、微信公眾號、網盤、APP、小程序。
- 人員意識技能不足:保障過程要求多樣化安全專業人才,對分析及溯源人員提出更高要求,安全能力不足成為存在被社工風險
- 自動化處置率低:無穩定可靠的保障威脅情報來源,對攻擊威脅情報處置滯后,依托人工分析效率低,事件檢出率低。
- 弱口令存在率高:除了內網的弱口令問題外,防守方對云平臺、大數據、物聯網等弱口令問題重視程度不夠。
攻擊方突破手段
- 利用百度文庫、github、fofa、域名注冊、互聯網暴露資產渠道收集信息;
- 利用網站、系統應用、手機APP、微信小程序后臺漏洞打開互聯網入口;
- 控制內部員工郵箱、辦公終端、配合社工手段獲取vpn賬號密碼進入內網;
- 迂回攻擊下屬單位,進入內網后繞道攻擊總部目標;
- 攻擊供應鏈、挖掘漏洞或利用已分配權限進入內網;
- 利用第三方運維、內部違規員工非常外聯入群專網;
- 使用弱口令、密碼復用、密碼猜測攻擊獲取權限;
- 控制欲控、堡壘機、云平臺、單點登錄、殺毒軟件后臺等系統以點打面;
- 搜索多網卡主機、4A系統、網閘等設備縱向滲透;
10.攻擊核心主機獲取重要系統權限;
11.對內部員工發動水坑、求職APP釣魚郵件、QQ聊天、信用卡賬單等社工手段進入辦公網;
12.攻擊第三方、利用第三方接入網絡攻擊目標單位。
漏洞攻擊
漏洞攻擊類型包括:SQL注入(GET注入、POST注入、HTTP頭注入)、XSS(跨站腳本攻擊)、暴力破解、掃描探測、弱口令、遠程命令執行、反序列化、任意代碼執行、URL重定向、文件包含、任意文件上傳、未授權訪問、目錄穿越、業務邏輯篡改。
(上圖出自公安部第一研究所的分享會)
攻防演練中高頻的漏洞:
1、web漏洞為主:SQL注入、XSS(跨站腳本攻擊)、文件上傳漏洞等等
2、以獲取系統權限漏洞為主
2.1、代碼執行漏洞
2.2、反序列化漏洞
2.3、遠程命令執行漏洞
2.4、任意文件上傳漏洞
3、代碼執行漏洞代表:struts2、spring
4、反序列化執行漏洞代表:shiro、fastjson
攻擊手段和方式
常見的攻擊手段包括:Oday漏洞攻擊、社工釣魚攻擊、多源低頻攻擊、人員和管理漏洞探測、武器化攻擊等等。
(上圖出自公安部第一研究所的分享會)
常見的攻擊方式
- 弱口令攻擊:1.攻擊使用弱口令的終端、vpn、郵箱、設備等;2.內外部賬號密碼復用的用戶。
- 釣魚攻擊:通過偽裝方式進行將木馬或后門程序發給用戶(一般通過冒充群管理員發釣魚郵件、冒充企業發招聘信息、冒充銀行發信用卡賬單信息、冒充淘寶商家發福利信息等進行偽裝的URL、圖片、文件),然后進行后門程序功能開啟和攻擊。
- 用戶系統攻擊:攻擊大量存有用戶信息、人員組織架構的系統、終端(VPN系統、郵件系統、OA系統、統一身份認證等等)
- 集權系統攻擊:攻擊集中類型管理器(堡壘機、統一身份認證);攻擊運維系統,集中監控類型的系統。
- 橫向擴展攻擊:攻擊存在跨網段的辦公、業務終端和設備
攻防演練的階段
(上圖來自奇安信官網)
啟動階段:保障團隊組建、制定保障行動計劃、簽訂保密協議
備戰階段:資產清楚與管理、全面風險自查、防護體系建設、攻防演練實戰賦能
臨戰階段:實戰化流程制定、全員攻防演練宣導、全員社工防范測試、安全演練模擬與總結、風險持續評估優化
實戰階段:安全專家值守、實戰演練能力(包括:情報整合能力、安全監測能力、安全分析能力、聯防聯控能力、威脅溯源反制能力、應急響應能力)、防守成功上報、外部專家支持。
總結階段:攻擊還原分析、防守復盤總結、知識總結與固化、演練總結報告編制、防護能力提升
備戰階段的全面風險自查:資產自查、資產安全評估(漏掃、滲透)、賬號口令檢查(VPN、域控)、入侵痕跡檢查、信息泄露檢查、供應鏈檢查、人員安全意識評估。
備戰階段互聯網暴露資產自查:APP暴露、信息泄露、幽靈資產、失陷資產、高危主機暴露、暴露資產現狀、外聯機構信息、分支機構信息。
互聯網資產的外聯機構信息:github(或開源社區)、APP應用、微信小程序、微信公眾號、賬號泄露、郵箱泄露、百度文庫、各大網盤、未知IP、未知域名、未知系統、未知主機、微信情報標記惡意攻擊源,高危端口暴露、各大應用市場app、子公司或分支結構暴露信息。
小結
攻防演練過程中最關注的是權限和數據這兩個點,基于對這兩個點進行攻防。
通過每年的攻防演練可以促進安全發展:
- 強化安全保障,助力重大會議安保;
- 同業競爭排名,提高耽誤業內聲譽;
- 以賽代練,提升單位信息安全防護水平;
- 真槍實彈攻防,檢驗信息安全防護成效。
攻防演練過程需要涉及的一些流程:
- 明確工作職責、梳理可落地方案
- 資產全面清點,已知、未知資產全管控
- 全面安全自查,整改措施到位、責任層層下發
- 通過演習找準風險點,檢驗組織及運營流程有效性。
- 統籌安排、協同工作、分工有序、共同完成攻防演練的任務。
攻防演練過程中通過協同用戶及相關廠商組件演練保障團隊,共同開展防守工作,通過保障團隊確保監控數據準確、事件處理妥當,威脅溯源有法。
