隨著《網(wǎng)絡(luò)安全法》和《等級保護(hù)制度條例2.0》的頒布,國內(nèi)企業(yè)的網(wǎng)絡(luò)安全建設(shè)需與時俱進(jìn),要更加注重業(yè)務(wù)場景的安全性并合理部署網(wǎng)絡(luò)安全硬件產(chǎn)品,嚴(yán)防死守“網(wǎng)絡(luò)安全”底線。“HW行動”大幕開啟,國聯(lián)易安誓為政府、企事業(yè)單位網(wǎng)絡(luò)安全護(hù)航!
云計算、移動互聯(lián)網(wǎng)、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)的持續(xù)演進(jìn),網(wǎng)絡(luò)安全形勢變得尤為復(fù)雜嚴(yán)峻。網(wǎng)絡(luò)攻擊“道高一尺,魔高一丈”,網(wǎng)絡(luò)安全問題層出不窮,給政府、企事業(yè)單位帶來風(fēng)險威脅級別升高,挑戰(zhàn)前所未有。
“HW行動”是國家應(yīng)對網(wǎng)絡(luò)安全問題所做的重要布局之一。加強(qiáng)網(wǎng)絡(luò)安全意識,是所有單位有序地完成“HW行動”必不可少的一項基礎(chǔ)和必須做扎實(shí)的工作。
目前灰產(chǎn)、黑產(chǎn)環(huán)境比較復(fù)雜,很多攻擊手段已經(jīng)向云和SaaS服務(wù)方面發(fā)展,暗網(wǎng)已經(jīng)存在專業(yè)提供RaaS(勒索即服務(wù))的服務(wù)模式,另外很多勒索攻擊軟件已經(jīng)開源,易用性得到了極大的提高,同時也大大降低了網(wǎng)絡(luò)攻擊的技術(shù)門檻。
HW行動要“立足基礎(chǔ) 靠前一步 全面開展”
為切實(shí)履行公安機(jī)關(guān)網(wǎng)絡(luò)安全監(jiān)管職責(zé),提高重點(diǎn)單位網(wǎng)絡(luò)安全防護(hù)意識,提升關(guān)鍵信息基礎(chǔ)設(shè)施、重要信息系統(tǒng)防護(hù)水平。近日,多個省、直轄市、自治區(qū)的公安部門按照突出重點(diǎn)、分類檢查的原則,對信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全執(zhí)法專項檢查,全面開展HW專項行動。
日前,國內(nèi)專注于保密與非密領(lǐng)域的分級保護(hù)、等級保護(hù)、業(yè)務(wù)連續(xù)性安全和大數(shù)據(jù)安全產(chǎn)品解決方案與相關(guān)技術(shù)研究開發(fā)的領(lǐng)軍企業(yè)——國聯(lián)易安董事長門嘉平博士接受媒體采訪時表示:HW專項行動要做到“立足基礎(chǔ)、靠前一步、全面開展”。
立足基礎(chǔ),提高安全意識。公安機(jī)關(guān)網(wǎng)絡(luò)安全監(jiān)管部門要重點(diǎn)核查政府、企事業(yè)單位的重要信息系統(tǒng)運(yùn)行情況以及網(wǎng)站管理制度等。被檢查單位要以國家關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)為中心,深化網(wǎng)絡(luò)安全工作,重點(diǎn)加強(qiáng)大數(shù)據(jù)安全;要提高單位內(nèi)部員工的網(wǎng)絡(luò)安全意識,開展大數(shù)據(jù)安全等業(yè)務(wù)培訓(xùn),全面提升整體網(wǎng)絡(luò)安全防護(hù)水平。尤其要針對未按要求落實(shí)等級保護(hù)等問題的單位,要下發(fā)限期整改通知。
靠前一步,預(yù)防隱患確安全。公安機(jī)關(guān)網(wǎng)絡(luò)安全監(jiān)管部門要嚴(yán)格按照網(wǎng)絡(luò)安全執(zhí)法檢查要求,逐個單位進(jìn)行檢查,對重點(diǎn)信息系統(tǒng)等級保護(hù)、機(jī)房網(wǎng)絡(luò)安全設(shè)施和數(shù)據(jù)保全設(shè)備的運(yùn)營及應(yīng)急措施進(jìn)行細(xì)致的檢查,以確保網(wǎng)絡(luò)安全管理制度、公民個人信息保護(hù)制度、網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案等制度落實(shí)到位。對檢查中發(fā)現(xiàn)的問題門戶網(wǎng)站要堅決關(guān)停注銷,問題信息系統(tǒng)要嚴(yán)格按照《網(wǎng)絡(luò)安全法》和等保2.0要求給予通報和懲處。
全面開展,建立綠色通道。針對監(jiān)督檢查過程中發(fā)現(xiàn)的安全隱患,公安機(jī)關(guān)網(wǎng)絡(luò)安全監(jiān)管部門要向相關(guān)單位進(jìn)行詳盡講解,并就如何強(qiáng)化重點(diǎn)網(wǎng)站和信息系統(tǒng)的安全措施提出整改意見和要求。同時根據(jù)工作的實(shí)際情況,盡可能開通綠色通道,在符合相關(guān)規(guī)定的前提下,簡化流程,在最短的時間內(nèi)對需要等保定級、備案、建設(shè)、測評、檢查完成整改的單位給予審核。
“網(wǎng)絡(luò)安全同擔(dān),網(wǎng)絡(luò)生活共享”。在目前信息化社會中,社會對計算機(jī)和網(wǎng)絡(luò)的依賴越來越緊密。計算機(jī)和網(wǎng)絡(luò)在軍事、政治、經(jīng)濟(jì)和生活工作等方方面面的應(yīng)用越來越廣泛。如果網(wǎng)絡(luò)安全得不到保障,將給國家各個行業(yè)的生產(chǎn)經(jīng)營、個人資產(chǎn)和隱私等方面帶來嚴(yán)重?fù)p失,從而使得關(guān)系國計民生的關(guān)鍵基礎(chǔ)信息系統(tǒng),甚至國家國防安全、網(wǎng)絡(luò)空間安全面臨嚴(yán)峻挑戰(zhàn)。
對此,筆者建議:針對云安全、應(yīng)用安全構(gòu)建全方位的立體防護(hù),盡快部署云安全高級防御平臺(云防平臺)。該平臺基于云服務(wù)架構(gòu)的安全防御理念設(shè)計,實(shí)現(xiàn)了多租戶管理和統(tǒng)一安全防護(hù)。可以為企業(yè)提供全方位、立體安全防護(hù)。
HW行動預(yù)備工作敘述
HW攻擊隊(紅藍(lán)雙方進(jìn)行精彩對決)最煩的事情:
1)防守方的密碼復(fù)雜、無復(fù)用并且保密工作較好,攻擊隊進(jìn)入內(nèi)網(wǎng)后橫向的時候,發(fā)現(xiàn)甲方有一堆強(qiáng)密碼但是都沒規(guī)律,這種情況橫向起來比較惡心。當(dāng)然了,甲方不能把密碼直接放到excel中,被攻擊隊發(fā)現(xiàn)后直接就是功虧一簣。而厲害的公司還能部署用戶硬件key,這種搞起來就麻煩了。
2)目標(biāo)內(nèi)網(wǎng)一大堆蜜罐 ,你懂的 :-)
3)還有就是無腦斷網(wǎng)、斷電大法。防守方們7*24小時的看監(jiān)控(武器庫很重要,不解釋)還是比較無奈的。
紅隊攻擊的重點(diǎn)內(nèi)網(wǎng)系統(tǒng):
1、OA:(重點(diǎn))
泛微、致遠(yuǎn),金蝶,藍(lán)凌、萬戶,金和,或者自研發(fā)系統(tǒng)OA、財務(wù)系統(tǒng)
2、ERP:(重點(diǎn))
Microsoft Dynamics GP
Oracle JD Edwards EnterpriseOne
金蝶-U9
用友-K/3
神舟數(shù)碼-易助
SAP ERP
Infor M3
3、重要信息節(jié)點(diǎn):
email:(重點(diǎn))
exchange
office 365
DC:(重點(diǎn))
DC2012R2
DC2008 R2
3、web中間件:(重點(diǎn))
IIS/apache/tomcat/weblogic/jboss/websphere/Nginx/FastCGI/PHPCGI/haproxy
4、編程語言:
5、firewall:
華為/H3C/深信服/juniper/飛塔/思科/sonicwall/paloalto
6、交換機(jī):
華為(重點(diǎn))/H3C(重點(diǎn))/CISCO/TP-LINK/D-LINK/ruijie等
7、堡壘機(jī):
jumpserver(重點(diǎn))/安恒堡壘機(jī)/綠盟/啟明星辰等
8、數(shù)據(jù)庫:
mysql(重點(diǎn))
sqlserver(重點(diǎn))
Oracle(重點(diǎn))
以及Redis/Hbase/MongodDB/Neo4j/SQLite/Postgresql/esasticsearch
9、docker倉庫管理:
harbor
10、源代碼管理:(重點(diǎn))
gitlab/SVN
11、vpn:
sanfor vpn/sonicwall/H3C/華為等
12、高性能的分布式內(nèi)存對象緩存系統(tǒng):
memcached/Redis
13、高級消息隊列:
rabbitmq
14、開源運(yùn)維監(jiān)控:
15、大數(shù)據(jù)平臺:
hadoop/Spark/Zookeeper/OpenStack/Flink
16、代碼質(zhì)量管理:
rebview board/sonarqube
17、企業(yè)內(nèi)網(wǎng)文檔系統(tǒng):(重點(diǎn))
conflunece
18、項目管理系統(tǒng):(重點(diǎn))
禪道/jira
19、統(tǒng)一單獨(dú)登錄:(重點(diǎn))
adfs/ldap
20、容器管理:
K8S/nexus/rancher
21、虛擬化管理:
exis/Citrix XenDesktop
22、IPS/IDS繞過:(重點(diǎn))
23、防病毒繞過:(重點(diǎn))
奇安信/360/趨勢科技/卡巴斯基/賽門鐵克等
24、WAF繞過:(重點(diǎn))
綠盟/深信服/啟明星辰/360/阿里云WAF/安全狗等
通過以上信息的校對,其實(shí)很多時候我們可以發(fā)現(xiàn),很多資產(chǎn)都會增加攻擊面,能關(guān)停的還是要狠狠心關(guān)閉掉。尤其是內(nèi)網(wǎng)的系統(tǒng)根據(jù)我的經(jīng)驗(yàn),大都是千瘡百孔的,密碼基本不是弱口令就是高度復(fù)用,十幾個系統(tǒng)管理員密碼都是一模一樣的情況十分頻繁。所以內(nèi)網(wǎng)的合規(guī)性漏掃和手工滲透測試是必須要做好的。配合上一定量的蜜罐可以很好地降低安全風(fēng)險,今年1月份win7停止進(jìn)行安全補(bǔ)丁推送了,估計今年會出現(xiàn)很多秒win7的0day,哈哈哈。
網(wǎng)絡(luò)安全攻防演習(xí)解決方案
方案背景
方案概述
方案整體思路
目標(biāo)收益
關(guān)鍵能力
方案優(yōu)勢
2020護(hù)網(wǎng)行動在即,新基建背景下業(yè)務(wù)安全的危與機(jī)
“護(hù)網(wǎng)行動”是國家應(yīng)對網(wǎng)絡(luò)安全問題所做的重要布局之一。“護(hù)網(wǎng)行動”從2016年開始,隨著我國對網(wǎng)絡(luò)安全的重視,涉及單位不斷擴(kuò)大,越來越多都加入到“護(hù)網(wǎng)2019”行動中,網(wǎng)絡(luò)安全對抗演練越來越貼近實(shí)際情況,各機(jī)構(gòu)對待網(wǎng)絡(luò)安全需求也從被動構(gòu)建,升級為業(yè)務(wù)保障剛需。
流量黑產(chǎn)蔓延成互聯(lián)網(wǎng)“毒瘤”
2020年,新冠疫情席卷全球,傳統(tǒng)企業(yè)悄然完成了一次“線上獲客方式”對“傳統(tǒng)獲客方式”的加速替代。線上獲客和營銷的本質(zhì),是通過內(nèi)容和價值獲客。隨著用戶數(shù)字化訴求逐漸強(qiáng)烈、企業(yè)商業(yè)模式趨向平臺化場景,以數(shù)據(jù)驅(qū)動的流量評估成為企業(yè)健康增長的核心能力。未來,線上獲客平臺和營銷方式越來越開放,新基建浪潮也帶來網(wǎng)絡(luò)黑產(chǎn)的繁榮,面對更復(fù)雜的網(wǎng)絡(luò)環(huán)境,除了擁有持續(xù)的線上營銷及獲客能力、有效的黑產(chǎn)防御手段才是保障業(yè)務(wù)持續(xù)有效增長的關(guān)鍵。
流量少、流量貴的問題成為企業(yè)業(yè)務(wù)增長難題,然而在供需關(guān)系不平衡的情況下,牟取暴利的野心也在暗中滋生。企業(yè)一面要想盡辦法提高流量增速,一面還要應(yīng)對各種不斷翻新的流量欺詐。數(shù)據(jù)顯示,2019年國內(nèi)互聯(lián)網(wǎng)廣告流量欺詐高達(dá)35.3%,而這一數(shù)據(jù)仍在不斷攀升。世界廣告主聯(lián)合會( World Federation of Advertisers)預(yù)計,在未來10年內(nèi),流量欺詐將會成為犯罪組織的第二大市場,僅次于毒品販賣。
流量黑產(chǎn)產(chǎn)業(yè)鏈
無效流量作為流量欺詐的主要來源,對于企業(yè)的業(yè)務(wù)風(fēng)險表現(xiàn)在一下幾個方面。在獲取線上流量的過程中,黑產(chǎn)通過自動腳本、模擬器、設(shè)備農(nóng)場等作弊工具,偽裝成真實(shí)用戶進(jìn)行激活,帶來大量偽造流量、虛假流量,使得機(jī)構(gòu)蒙受推廣費(fèi)用損失,以及其他衍生成本的損失。而在線上活動營銷場景中,黑產(chǎn)為拿到紅包、返現(xiàn)等營銷優(yōu)惠,使用批量假用戶冒充真實(shí)用戶,薅取活動優(yōu)惠并非法套現(xiàn),導(dǎo)致運(yùn)營方的活動無法觸達(dá)到真實(shí)的用戶,造成直接經(jīng)濟(jì)損失及企業(yè)聲譽(yù)下降。
惡意流量對于企業(yè)的危害還在于黑產(chǎn)利用爬蟲對企業(yè)重要數(shù)據(jù)資產(chǎn)進(jìn)行惡意爬取,競爭對手刻意爬取產(chǎn)品信息、羊毛黨搜尋低價商品信息或在營銷大促前提前獲取情報尋找套利的可能、僵尸用戶對推廣的惡意點(diǎn)擊、為欺詐行為做賬號儲備的垃圾注冊……大量爬蟲集中訪問,會消耗大量的計算資源和帶寬,造成網(wǎng)絡(luò)應(yīng)用大面積阻塞或癱瘓,并嚴(yán)重影響真實(shí)用戶的正常使用。根據(jù)年度惡意機(jī)器流量報告,世界互聯(lián)網(wǎng)流量只有57.8%是來自真人用戶,而剩余都是來自機(jī)器流量。
某某軟件方案,基于數(shù)據(jù)科學(xué)的渠道反欺詐技術(shù),為企業(yè)提供了一套全流程、全自動監(jiān)控的業(yè)務(wù)反欺詐系統(tǒng)。在渠道營銷環(huán)節(jié),渠道質(zhì)量評估系統(tǒng)結(jié)合各行業(yè)線上營銷各類業(yè)務(wù)場景,科學(xué)、精準(zhǔn)的選擇評估維度,實(shí)時監(jiān)測第三方流量推廣平臺,幫助企業(yè)識別虛假流量、低質(zhì)量流量,甄別優(yōu)質(zhì)渠道,節(jié)省推廣費(fèi)用、降本增效。在惡意爬蟲防治方面,人人云圖爬蟲管理系統(tǒng)基于數(shù)據(jù)科學(xué)能力,深入學(xué)習(xí)各行業(yè)業(yè)務(wù)現(xiàn)狀,構(gòu)建了一套基于負(fù)反饋的動態(tài)爬蟲管理系統(tǒng),在不影響良性爬蟲業(yè)務(wù)的前提下,對惡意爬蟲進(jìn)行識別與阻斷,降低惡意爬蟲帶來的業(yè)務(wù)欺詐行為,從而有效降低運(yùn)營成本和提升競爭力。
新基建 新賽道 業(yè)務(wù)安全防護(hù)勢在必行
后疫情時代,“新基建”被廣泛視為經(jīng)濟(jì)增長新動力。面對復(fù)雜的網(wǎng)絡(luò)環(huán)境及新技術(shù)應(yīng)用帶來的機(jī)遇與挑戰(zhàn),傳統(tǒng)行業(yè)該如何構(gòu)建深度融合的技術(shù)創(chuàng)新體系,打造行業(yè)科技新標(biāo)桿?伴隨銷售場景的智能化、運(yùn)營管理的數(shù)字化,如何在數(shù)字化轉(zhuǎn)型過程中,做好業(yè)務(wù)安全風(fēng)險應(yīng)對?
作者呼吁,面對快速走向產(chǎn)業(yè)化、專業(yè)化的網(wǎng)絡(luò)黑產(chǎn),在新基建浪潮下,企業(yè)在追求新技術(shù)應(yīng)用帶來的機(jī)遇同時,更應(yīng)該注意新技術(shù)應(yīng)用背景下,手段不斷翻新、規(guī)模不斷壯大、技術(shù)不斷更新的網(wǎng)絡(luò)黑產(chǎn)對企業(yè)業(yè)務(wù)增長帶來的安全隱患。
HW護(hù)網(wǎng)行動總結(jié)
1.HW行動
我們把整個HW行動包括前期準(zhǔn)備分為三個部分:備戰(zhàn)期、臨戰(zhàn)期、決戰(zhàn)期。
備戰(zhàn)期:
在備戰(zhàn)期間,我們主要做了兩件事情,一是減小攻擊面,二是排查風(fēng)險點(diǎn)。
減小攻擊面就是縮小暴露面。在這過程,客戶進(jìn)行多輪的暴露面排查。首先,我們通過收集到的客戶資產(chǎn)進(jìn)行爬取相關(guān)鏈接,確認(rèn)是否無用頁面、無用系統(tǒng)下掛關(guān)鍵系統(tǒng)域名下,接著對于一些已經(jīng)業(yè)務(wù)需求不那么高的、無用的系統(tǒng)、閑置的服務(wù)器進(jìn)行下電處理,最后對于有一定的業(yè)務(wù)需求但用戶較少的系統(tǒng)直接遷入內(nèi)網(wǎng),通過VPN進(jìn)行業(yè)務(wù)操作。通過一系列的縮小暴露面,最終客戶對外僅開放幾個端口,大大降低了攻擊面。?
在排查風(fēng)險點(diǎn)這塊,我們主要做了兩件事,一是人工滲透測試,二是webshell排查。人工滲透測試這塊,倒是沒發(fā)現(xiàn)大的問題,就是有個系統(tǒng)的某個功能模塊存在權(quán)限漏洞,主要還是在功能提出需求的時候沒有考慮到安全問題,整個功能模塊的權(quán)限均存在問題。除了滲透測試,我們還對關(guān)鍵系統(tǒng)的服務(wù)器使用webshell排查工具進(jìn)行后門排查,排查了14臺服務(wù)器,發(fā)現(xiàn)并清除2232個后門文件及10個疑似后門文件,排查發(fā)現(xiàn)的木馬文件發(fā)現(xiàn)非常多都是不可執(zhí)行的圖片馬以及攻擊者攻擊的語句被應(yīng)用日志記錄的日志文件,暫無發(fā)現(xiàn)可執(zhí)行的木馬文件,應(yīng)該都是早期黑客攻擊留下的文件。
臨戰(zhàn)期:
在臨戰(zhàn)初期,客戶舉行了兩場攻防演練,通過公司內(nèi)分隊對攻到從上往下發(fā)起的攻擊。這次演練發(fā)現(xiàn)了在備戰(zhàn)期所忽略的地方:在備戰(zhàn)期對風(fēng)險點(diǎn)進(jìn)行排查的時候側(cè)重于WEB漏洞而忽視了其他漏洞的滲透及驗(yàn)證,導(dǎo)致在演練的時候被攻擊方通過中間件漏洞攻破;還有就是在備戰(zhàn)期對VPN沒有做好嚴(yán)格的把控,以致于VPN的用戶名及密碼明文存儲在APP中,被攻擊方成功反編譯出密碼,直接進(jìn)入內(nèi)網(wǎng)。對于演練中發(fā)現(xiàn)的問題,我們進(jìn)行以下處置:對于中間件漏洞及時升級補(bǔ)丁并且刪除相關(guān)被利用的war包,對中間打補(bǔ)丁及刪除war包的過程進(jìn)行嚴(yán)格把控,對于進(jìn)行的每個操作進(jìn)行截圖記錄,確保每個過程都進(jìn)行到位;對于VPN賬號泄露問題,賬號密碼不寫死在APP中,通過驗(yàn)證碼進(jìn)行VPN登錄,且將APP進(jìn)行混淆,防止攻擊者通過反編譯獲取敏感信息。
客戶在臨戰(zhàn)期陸續(xù)將安全設(shè)備進(jìn)行部署。針對這次HW行動,客戶對原本已有的一些安全設(shè)備進(jìn)行策略優(yōu)化,同時也新增了一些安全設(shè)備。主要的類型有防御設(shè)備、監(jiān)控設(shè)備等。防御設(shè)備還是最常見的WAF、IPS,對WAF、IPS的策略進(jìn)行優(yōu)化,增強(qiáng)設(shè)備的防御能力;監(jiān)控設(shè)備這塊就是我們自主研發(fā)了一個主機(jī)探針,主要作用就是對主機(jī)進(jìn)程進(jìn)行審計、webshell監(jiān)控;除了主機(jī)監(jiān)控還有就是網(wǎng)絡(luò)流量監(jiān)控設(shè)備,對監(jiān)測的流量進(jìn)行分析。
決戰(zhàn)期:
在決戰(zhàn)期,最關(guān)鍵的就是應(yīng)對每個安全事件的處置。
組織架構(gòu):
我們將所有的人員進(jìn)行分工,主要有統(tǒng)籌組、監(jiān)控組、研判組、網(wǎng)絡(luò)處置組、應(yīng)用處置組。統(tǒng)籌組主要就是對一些重大決定進(jìn)行決策,統(tǒng)籌整個HW防守工作;監(jiān)控組主要就是對WAF、IPS等安全設(shè)備進(jìn)行7*24小時監(jiān)控、派發(fā)、跟蹤、反饋安全威脅;研判組主要是技術(shù)支撐,對于監(jiān)控組發(fā)現(xiàn)的攻擊行為進(jìn)行技術(shù)研判;網(wǎng)絡(luò)處置組主要職責(zé)就是發(fā)現(xiàn)攻擊時在防火墻上對攻擊方進(jìn)行IP封鎖;應(yīng)用處置組主要就是對發(fā)現(xiàn)的攻擊和漏洞進(jìn)行風(fēng)險處置、安全加固。
風(fēng)險處置流程:
根據(jù)監(jiān)控設(shè)備告警劃分風(fēng)險等級,主機(jī)探針告警高于其他安全設(shè)備告警,主機(jī)探針作為防守的最后一道防線,若主機(jī)探針發(fā)出告警,則攻擊已經(jīng)進(jìn)入內(nèi)網(wǎng),因此風(fēng)險等級最高。根據(jù)風(fēng)險等級不同,我們制定了兩個風(fēng)險處置流程:
當(dāng)收到主機(jī)探針告警,監(jiān)控人員告知應(yīng)用處置人員進(jìn)行風(fēng)險排查確認(rèn),同時通知網(wǎng)絡(luò)處置組進(jìn)行攻擊IP封鎖。應(yīng)用處置組確認(rèn)風(fēng)險存在后,監(jiān)控組立即通知機(jī)房管理員進(jìn)行斷網(wǎng)處置,隨后,由應(yīng)用處置組協(xié)助監(jiān)控組進(jìn)行溯源取證,并且對風(fēng)險進(jìn)行處置,刪除shell腳本或木馬程序。應(yīng)用組處理后將結(jié)果反饋給監(jiān)控組,監(jiān)控組通知機(jī)房管理員將受攻擊服務(wù)器進(jìn)行下電處理,并且將事件記錄在防御工作列表中。
當(dāng)其他安全設(shè)備監(jiān)測到攻擊時,監(jiān)控組會將發(fā)起攻擊源IP告知網(wǎng)絡(luò)處置組進(jìn)行封堵,同時將發(fā)現(xiàn)的告警信息發(fā)送給研判組進(jìn)行研判,監(jiān)控組根據(jù)研判結(jié)果通知應(yīng)用處置組進(jìn)行風(fēng)險排查,應(yīng)用處置組將加固結(jié)果反饋給監(jiān)控組,監(jiān)控組將事件記錄在防御工作列表中。
2.總結(jié)
其實(shí)整個過程下來的話,對于斗哥來說還是頗有收獲,有些小總結(jié)和大家分享一下:?
1.明確客戶的所有開放資產(chǎn),雖然這已經(jīng)是老話長談,但是確實(shí)也是最關(guān)鍵的,攻防從外到內(nèi),再從外圍到靶機(jī),還是要鎖好每個入口,因此應(yīng)和客戶對于所開放的外網(wǎng)系統(tǒng)進(jìn)行仔細(xì)梳理,縮小暴露面。?
2.每個環(huán)節(jié)都應(yīng)進(jìn)行閉環(huán)管理,不管是漏洞整改還是資產(chǎn)梳理,對于完成的每一個環(huán)節(jié)都要進(jìn)行有效的管控。?
3.應(yīng)急演練的重要性,對人員進(jìn)行分工,提前演練真實(shí)攻防場景,明確對安全事件的處置流程,在應(yīng)對安全事件發(fā)生時不會過于慌亂。
【寫在最后】
1. 整體攻防的思考
本次攻防,從規(guī)則到各方實(shí)力,都是絕無僅有的。經(jīng)常有人問,是攻擊隊厲害還是防守隊厲害?經(jīng)過我這些年的思考,還是沒有得出一個確切的結(jié)論。有時候覺得攻擊隊厲害,因?yàn)楣艨梢栽诜翘囟〞r間隨意發(fā)起,出其不意攻其不備,甚至手持0day指哪打哪,畢竟木桶原理決定著攻破一處即可內(nèi)部突襲;有時候又覺得防守方厲害,因?yàn)榉朗胤綋碛腥吭L問流量,隨時洞察攻擊者的探測并封堵IP,也可以在主機(jī)層監(jiān)控攻擊者一舉一動,甚至部署蜜罐玩弄黑客于鼓掌之中。總之,這么些年的摸爬滾打經(jīng)驗(yàn)告訴我,攻防就是這樣,道高一尺魔高一丈,一如黑客防線中說的“在攻于防的對立統(tǒng)一中尋求突破”。
2. 從攻擊方思考
在真實(shí)的攻擊行動中,一般一個目標(biāo)要搞到核心系統(tǒng)根據(jù)防御程度不同,也需要1個月到半年的樣子,甚至APT要潛伏一到兩年才能拿到自己想要的數(shù)據(jù)。而此次總共給攻擊方的時間只有3個周,并且每個隊伍據(jù)說10多個目標(biāo),這也就決定了攻擊要快速、要自動化。
a) 分布式掃描器
要說快速,還是得上掃描器,但是一個掃描器速度肯定不行,再者,被發(fā)現(xiàn)攻擊行為,立馬IP被ban掉,后續(xù)就無法進(jìn)行。所以,分布式掃描器在這種情況下一定是個趨勢。首先對全部目標(biāo)的全端口進(jìn)行一次掃描+端口識別,根據(jù)Banner快速收割一輪;
在這個過程中就會有個陷阱,比如在收集二級域名時,經(jīng)常采用字典爆破,而防守方會設(shè)置一個誘餌二級域名,把流量引入蜜罐之中,坐等攻擊方上鉤。這時就需要攻擊方們機(jī)靈一點(diǎn),時刻反思這個是不是蜜罐。
對于AWVS的掃描器,還需升級到最新版,別被防御方反制,畢竟老版本掃描器自身就存在一個RCE。
b) 菜刀?蟻劍?冰蝎?
對于所有的黑客來說,菜刀肯定是一個傳奇,一直是最穩(wěn)定、最牛逼的webshell管理工具之一,但同時,菜刀也是一個最容易被發(fā)現(xiàn)的攻擊工具,畢竟流量特征太明顯了,而且一旦發(fā)現(xiàn)就100%意味著服務(wù)器已淪陷,防守方會里面下線進(jìn)行深入分析。記得當(dāng)初第一次見到菜刀這工具時的感覺,總結(jié)起來就是“厲害”。因?yàn)樵诓说吨埃覀儗W(xué)習(xí)的都是先小馬后大馬的姿勢。而用了菜刀之后,我深刻理解了什么大馬小馬都無所謂,能執(zhí)行命令搞定目標(biāo)的都是好馬。然后經(jīng)過了幾年的迭代,中國菜刀在國內(nèi)安全圈也是經(jīng)歷了各種風(fēng)風(fēng)雨雨,各種后門版滿天飛。最后鑒于其加密性能較弱,陸續(xù)出現(xiàn)了幾個替代版本,蟻劍就是很優(yōu)秀的一個項目。講真,我開發(fā)水平相對較弱,見到蟻劍才發(fā)現(xiàn)原來js也可以寫出優(yōu)秀的跨平臺客戶端應(yīng)用。可是正式由于其nodejs寫的,才導(dǎo)致其跟AWVS一樣,存在一個本地nodejs解析的RCE,很可能被防御方反制。再之后給我“厲害”感覺的就是冰蝎了,其雙向通信加解密的管理方式,讓諸多基于黑名單正則的防御產(chǎn)品廠商直接歇菜。可是很奇怪的時,還是有很多大量攻擊方采用菜刀、jspspy之類的原始webshell,結(jié)果被防御方輕松發(fā)現(xiàn)并清除。
不過說到最后,我有一個疑惑,為什么大家非得用webshell這種方式搞服務(wù)器呢?比如存在weblogic反序列化或者Struts2 RCE漏洞時,黑客們寫的工具還是一鍵寫入webshell這種。安全發(fā)展到今天,防御手段越來越多,各位白帽子是時候改變了。正如我之前說的,不管用什么shell工具,只要能在服務(wù)器端執(zhí)行命令,下面就肯定有更好的解決方案。我一般會使用命令方式加載自己的二進(jìn)制版遠(yuǎn)控來操作。現(xiàn)在的二進(jìn)制遠(yuǎn)控不像以前還要生成exe用菜刀上傳,在命令行下執(zhí)行,現(xiàn)在基本都可以做到類似mshta或者powershell的一句話直接動態(tài)上線,并且基于TCP/UDP協(xié)議的命令執(zhí)行、文件管理。這樣的好處:一是穩(wěn)定,二是完全繞過那些基于黑名單的流量分析設(shè)備。類似metasploit的腳本payload反彈的meterpreter,但是msf特征明顯,也容易被殺,所以我個人估計后面攻防還是會發(fā)展到類似cobalt strike之類的工具對抗上。
c) 水坑&魚叉
針對水坑或者魚叉攻擊來講,可以想象到肯定大量的攻擊隊伍采用這種方法進(jìn)行攻擊,攻擊手法多基于郵件進(jìn)行。現(xiàn)在假想成攻擊隊伍,我會首先在github上搜索一波,舉個例子:https://github.com/search?q="4dogs.cn"+password&type=Code,注意域名要加上雙引號進(jìn)行精準(zhǔn)匹配。在翻到一個可登陸的郵箱后,去通信錄導(dǎo)出所有聯(lián)系人方式,進(jìn)而進(jìn)行簡單的口令爆破;在這些操作還沒拿到有用密碼的情況下,就可以根據(jù)組織結(jié)構(gòu)進(jìn)行定點(diǎn)攻擊了。高級點(diǎn)的用瀏覽器0day,沒有0day的也可以直接發(fā)宏病毒,注意要編個理由并且加密發(fā)送,防止被沙箱抓樣本。
假如沒有有用的郵箱賬號,也可以用搜索引擎收集郵箱,再根據(jù)規(guī)則,加載中國姓名top500字典進(jìn)行組合,總歸能抓到一兩個用弱口令的。
如果還是什么都沒有,也可以使用swaks一類直接偽造成admin發(fā)送釣魚郵件。
對于防御方來講,最厲害的莫過于直接關(guān)停外網(wǎng)郵箱了。次之,可以派人隨時查看登錄日志,及時發(fā)現(xiàn)異地登錄爆破情況。對于有錢的甲方,可以通過流量鏡像,對附件進(jìn)行沙箱判定。
d) 內(nèi)網(wǎng)滲透,還是要了解業(yè)務(wù)
在突破邊界進(jìn)入內(nèi)網(wǎng)后,剩下的主要是內(nèi)網(wǎng)滲透了。內(nèi)網(wǎng)滲透可以簡單分為橫向滲透和縱向滲透。內(nèi)網(wǎng)滲透的實(shí)質(zhì)和關(guān)鍵是信息收集,通過不停的突破系統(tǒng)拿到更多的權(quán)限,而更多的權(quán)限帶來更多的信息,最終在信息和權(quán)限的螺旋迭代下,拿到目標(biāo)的最高權(quán)限。
對于有域的環(huán)境,一般目標(biāo)時拿下域控,而在本次攻擊中卻恰好爆發(fā)了一個直接打域控的0day,這就容易多了。但是即使一鍵拿下域控權(quán)限,還是要回到信息收集的本質(zhì)上,要在海量的終端里篩選出自己的目標(biāo)數(shù)據(jù)在哪臺機(jī)器里,還是需要一些技巧的。
而不管是什么環(huán)境,我個人感覺阻礙攻擊隊伍進(jìn)行內(nèi)網(wǎng)滲透的主要原因還是對目標(biāo)業(yè)務(wù)的了解程度。比如電力行業(yè)的16字方針,很多時候搞到邊界系統(tǒng)后,ipconfig一看是10段的,以為進(jìn)了個大內(nèi)網(wǎng),而實(shí)際情況是那只是冰山一角而已。縱向突破還有很長很長的路要走。再者,假如對電信行業(yè)、金融行業(yè)不了解,進(jìn)到內(nèi)網(wǎng)肯定也是一臉懵。這也是內(nèi)網(wǎng)滲透耗費(fèi)精力的原因。
e) 0day的優(yōu)劣勢
在本次演習(xí)中,陸續(xù)發(fā)現(xiàn)了大量的0day,印象里有七八個,0day具體細(xì)節(jié)可以參考各大公眾號之前的報到。這里只討論下針對0day的問題。
從0day的內(nèi)容和數(shù)量上來講,護(hù)網(wǎng)結(jié)束后我感覺什么系統(tǒng)都有漏洞,并且有一種想去挖幾個留著的沖動,奈何工作雜事太多,先擱置一下吧。
對于攻擊方來講,手握0day是指哪打哪的一個有效支撐。從漏洞類型上,基本覆蓋web、網(wǎng)絡(luò)、操作系統(tǒng)等等方面。針對國內(nèi)的網(wǎng)絡(luò)安全現(xiàn)狀,講真,我對那些商業(yè)應(yīng)用真的不報任何安全的奢望。對于國企和政府來講,自有系統(tǒng)大都是外包廠商開發(fā),而這些外包開發(fā)者,大部分不懂安全,甚至sql注入是啥都不知道,更別說防御框架漏洞了。所以對于攻擊者來講,去攻擊一個客戶廣泛的廠商,拿到一個0day即可攻下其相關(guān)的所有目標(biāo),收益非常高。但同時也要明白,現(xiàn)在0day的生存期非常之短。10年前,我們一個0day可以用半年都沒被人發(fā)現(xiàn),而在這次演習(xí)中,0day的生存期可能只有半個小時,因?yàn)榉朗胤桨l(fā)現(xiàn)shell就會溯源,進(jìn)而預(yù)警。不過排除這次防守方7*24小時的有效監(jiān)控,在真實(shí)情況下,0day的生存周期可能不超過一周。所以我認(rèn)為,當(dāng)前網(wǎng)絡(luò)環(huán)境中,0day大量存在,但使用非常謹(jǐn)慎。至于防守方怎么防御0day,請看后面的內(nèi)容。
3. 從防守方考慮
整體來講,防守方都是從“事前排查”、“事中監(jiān)控”、“事后溯源”三個方面進(jìn)行防御的。根據(jù)我的觀察,國企安全防御能力一般弱于互聯(lián)網(wǎng)公司;而國企和政府單位的投入普遍高于互聯(lián)網(wǎng)公司。導(dǎo)致了演習(xí)前大量的“人販子”到處求人駐場的問題,一度炒到每人每天上萬元。下面從幾個方面分析這次防守方的經(jīng)驗(yàn)和教訓(xùn)。
a) 防御過度問題
這次演習(xí)的意義和重要性,甲方自己應(yīng)該更明白,這里不再描述。而正是由于防御方的重視,出現(xiàn)了大量的防御過度現(xiàn)象:一是在開始前的大量系統(tǒng)關(guān)停,二是對于互聯(lián)網(wǎng)IP的大量封禁。大量的關(guān)停本質(zhì)上是掩耳盜鈴,在護(hù)網(wǎng)結(jié)束后依舊面臨各類外部攻擊者的威脅。希望存在這類情況的廠商,還是能從根源上排查漏洞,加固系統(tǒng),對系統(tǒng)采取必要的防護(hù)措施。
針對惡意封禁IP的情況,雖然體現(xiàn)了防守方及時發(fā)現(xiàn)攻擊的能力,但同時,也影響了正常業(yè)務(wù)的運(yùn)行,特別是一封一個B段的情況。各位甲方還是考慮下從根源解決問題。
b) 應(yīng)急排查
對于事前的應(yīng)急排查,甲方大都采用臨時購買人工滲透服務(wù)的方式進(jìn)行,毫不客氣地說,他們買到的一部分是在校大學(xué)生,或者培訓(xùn)機(jī)構(gòu)的實(shí)習(xí)生。即使錢給夠了,去的是個滲透大師,也會因?yàn)閮?nèi)網(wǎng)漏洞太多,無法完全覆蓋。舉個例子:假如給我一個系統(tǒng),我大概需要一上午分析每個端口,每個業(yè)務(wù)接口的安全性,進(jìn)而給出一個完整的測試報告。我基本上可以保證我測試過的系統(tǒng)短時間內(nèi)不會出大問題。但是假如給我一個B段,告訴我3天完成,那我就只能模擬橫向內(nèi)網(wǎng)滲透,masscan先來一些端口,wvs掃描一輪,然后一批一批的去看。這種模式就決定了無法完全覆蓋全部業(yè)務(wù)系統(tǒng)。即使時間夠,那對于新增的業(yè)務(wù)又怎么辦?
那針對這種情況該怎么辦?我一直給我的客戶普及的一個想法:內(nèi)網(wǎng)漏洞不要指望短時間內(nèi)購買一次服務(wù)就完全解決了。針對漏洞隱患的工作必須常態(tài)化開展:一是上資產(chǎn)管控手段,對內(nèi)網(wǎng)所有的服務(wù)器,通過主動掃描、被動流量分析等手段進(jìn)行搜集,實(shí)時監(jiān)控內(nèi)網(wǎng)到底開了多少端口,每個端口運(yùn)行什么服務(wù),應(yīng)用是什么版本;二是解決遺留問題,對內(nèi)網(wǎng)既有的框架漏洞、弱口令漏洞,進(jìn)行專項整治。相信通過本次護(hù)網(wǎng),原來沒搞過安全的防守方,在部署安全設(shè)備后發(fā)現(xiàn)了大量的永恒之藍(lán)、木馬受控等遺留問題。建議大家用幾周時間集中解決一類問題,循環(huán)下去即可解決遺留的全部問題;三是建立新業(yè)務(wù)上線審查流程,對于新上線的業(yè)務(wù)系統(tǒng),必須通過第三方安全測評,只有拿到安全測評報告的才允許上線。
c) 重邊界、輕內(nèi)網(wǎng)的防御策略
這次的防守方普遍是重邊界、輕內(nèi)網(wǎng)防御,造成了一旦邊界被破,內(nèi)網(wǎng)整體垮掉的風(fēng)險。而這個情況在我入行時就普遍存在。安全發(fā)展到今天,實(shí)在是說不過去。去年看到了Google提出的0信任網(wǎng)絡(luò),感覺是個趨勢,一度想轉(zhuǎn)行做0信任網(wǎng)絡(luò)的布道者,雖然普及還有一段路,但是我還是希望大家可以轉(zhuǎn)變思維,一定不要認(rèn)為我在內(nèi)網(wǎng)就是安全的。萬一哪天被黑,可能影響的就是國家利益,帶來的就是社會動蕩。
d) 威脅情報系統(tǒng)的意義
首先,針對這次攻擊,各種原有IOC情報基本無效,比如惡意域名庫、惡意IP庫等,因?yàn)楣舴绞褂玫亩际切碌挠蛎虸P,這也是黑名單做安全的尷尬。但是同時要感謝安全廠商們的威脅情報庫,讓更多的國企、政府單位認(rèn)識到了自己內(nèi)網(wǎng)辦公電腦有很多已經(jīng)被控制。
e) 面對0day攻擊的無力感
面對0day攻擊,理論上誰都扛不住,但是實(shí)際是這樣么?仔細(xì)想想并非如此,首先,面對0day真正扛不住的是以黑名單為基礎(chǔ)的安全設(shè)備,包括waf類、態(tài)勢感知類、IDS類等。而這些安全設(shè)備,又確確實(shí)實(shí)是各大廠商的首選安全監(jiān)控設(shè)備,一旦這些設(shè)備沒報警,那基本啥都干不了,這也是防守方們7*24小時防守但其實(shí)大部分時間無所事事的原因。
首先,對于web 0day的防御,完全可以采用openrasp類防御方法,從根源上防止各類web漏洞攻擊。如果有想購買商業(yè)版rasp方案的同學(xué),可以勾兌下我哦。
其次,對于網(wǎng)絡(luò)0day和系統(tǒng)0day,我們可以采用EDR手段進(jìn)行防御,在終端上裝上agent,在agent上采用白名單策略,對于無關(guān)的進(jìn)程啟動和危險命令直接報警或阻斷。想起來我們四年前做過的一個產(chǎn)品叫麒麟衛(wèi)士,可以說是國內(nèi)首款EDR雛形了,可是去賣的時候發(fā)現(xiàn)大家對于需要安裝agent的做法都耿耿于懷,不敢裝。四年過去了,相信后面會有更多的人接受EDR帶來的安全改變。
f) 蜜罐
這次演習(xí)的一大亮點(diǎn)就是很多防御方采用了蜜罐的方式進(jìn)行誘捕和攻擊引流。要說蜜罐做得好,那是真的很有用。我理想中的蜜罐應(yīng)當(dāng)是完全仿真,而不是動態(tài)針對部分服務(wù)的仿真。同時可以具備反制的功能,一是可溯源攻擊者真實(shí)身份,二是可利用AWVS或者蟻劍這類黑客工具自己的漏洞反向攻擊攻擊者。相信后面會有大量的優(yōu)秀產(chǎn)品脫穎而出。不過防守方真的真實(shí)部署后,可能半年也捕獲不到一次有效攻擊,畢竟這次是演習(xí),平時黑客攻擊還是少。不過安全就是如此,防患于未然。
編輯:黃飛
?
評論
查看更多