《HW:红队眼中的防守弱点与蓝队应对攻击的常用策略.docx》由会员分享,可在线阅读,更多相关《HW:红队眼中的防守弱点与蓝队应对攻击的常用策略.docx(10页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、HW红队眼中的防守弱点一、资产混乱、隔离策略不严格除了大型银行之外,很多行业对自身资产情况比较混乱,没有严格的访问控 制ACL策略,且办公网和互联网之间大部分相通,可以直接使远程控制程序上线。除了大型银行与互联网行业外,其他很多行业在DMZ区和办公网之间不做或 很少做隔离,网络区域划分也不严格,给了红队很多可乘之机。止匕外,几乎所有行业的下级单位和上级单位的业务网都可以互通。而除了大 型银行之外,其他很多行业的办公网也大部分完全相通,缺少必要的分区隔离。 所以,红队往往可以轻易地实现实施从子公司入侵母公司,从一个部门入侵其他 部门的策略。二、通用中间件未修复漏洞较多通过中间件来看,Weblog
2、ic、WebSphere Tomcat、Apache nginx IIS 都有 使用。Weblogic应用比较广泛,因存在反序列化漏洞,所以常常会被作为打点和 内网渗透的突破点。所有行业基本上都有对外开放的邮件系统,可以针对邮件系 统漏洞,譬如跨站漏洞、COreMail漏洞、XXE漏洞来针对性开展攻击,也可以通 过钓鱼邮件和鱼叉邮件攻击来开展社工工作.均是比较好的突破点。三、边界设备成为进入内网的缺口从边界设备来看,大部分行业都会搭建VPN设备,可以利用VPN设备的一些 SQL注入、加账号、远程命令执行等漏洞开展攻击,亦可以采取钓鱼、爆破、弱 口令等方式来取得账号权限,最终绕过外网打点环节,直
3、接接入内网实施横向渗 透。、内网管理设备成扩大战果突破点从内网系统和防护设备来看,大部分行业都有堡垒机、自动化运维、虚拟化、 邮件系统和域环境,虽然这些是安全防护的集中管理设备,但往往由于缺乏定期 的维护升级,反而都可以作为开展权限扩大的突破点。HW蓝队应对攻击的常用策略未知攻焉知防。如果企业安全部门不了解攻击者的攻击思路、常用手段,有 效的防守将无从谈起。从攻击者实战视角去加强自身防护能力,将是未来的主流 防护思想。攻击者一般会在前期搜集情报,寻找突破口、建立突破据点;中期横向移动 打内网,尽可能多地控制服务器或直接打击目标系统;后期会删日志、清工具、 写后门建立持久控制权限。针对攻击者或红
4、队的常用套路,蓝队应对攻击的常用 策略可总结为:防微杜渐、收缩战线、纵深防御、核心防护、洞若观火等。一、防微杜渐:防范被踩点攻击者首先会通过各种渠道收集目标单位的各种信息,收集的情报越详细, 攻击则会越隐蔽,越快速。前期防踩点,首先要尽量防止本单位敏感信息泄露在 公共信息平台,加强人员安全意识,不准将带有敏感信息的文件上传至公共信息 平台。社工也是攻击者进行信息收集和前期踩点的重要手段,定期对信息部门重要 人员进行安全意识培训,来路不明的邮件附件不要随便点开,聊天软件未经身份 确认不要随便添加。止匕外,安全管理和安全意识培训难免也会有漏网之鱼,安全 运营部门应定期在一些信息披露平台搜索本单位敏
5、感词,查看是否存在敏感文件 泄露情况。二、收缩战线:收敛攻击面门用于防盗,窗户没关严也会被小偷得逞。攻击者往往不会正面攻击防护较 好的系统,而是找一些可能连防守者自己都不知道的薄弱环节下手。这就要求防 守者一定要充分了解自己暴露在互联网的系统、端口、后台管理系统、与外单位 互联的网络路径等信息。哪方面考虑不到位、哪方面往往就是被攻陷的点。互联 网暴露面越多,越容易被攻击者“声东击西”,最终导致防守者顾此失彼,眼看 着被攻击却无能为力。结合多年的防守经验,可从如下几方面收敛互联网暴露 面。1 .攻击路径梳理由于网络不断变化、系统不断增加,往往会产生新的网络边界和新的系统。蓝队防守单位一定要定期梳
6、理自己的网络边界、可能被攻击的路径,尤其是内部 系统全国联网的单位更要注重此项梳理工作。2 .互联网攻击面收敛一些系统维护者为了方便,往往会把维护的后台、测试系统和端口私自开放 在互联网上,方便维护的同时也方便了攻击者。攻击者最喜欢攻击的WEB服务就 是网站后台,以及安全状况比较差的测试系统。蓝队须定期检测如下内容:开放 在互联网的管理后台、开放在互联网上的测试系统、无人维护的僵尸系统、拟下 线未下线的系统、疏漏的未纳入防护范围的互联网开放系统。3 .外部接入网络梳理如果正面攻击不成,红队或攻击者往往会选择攻击供应商、下级单位、业务 合作单位等与目标单位有业务连接的其他单位,通过这些单位直接绕
7、到目标系统 内网。防守单位应对这些外部的接入网络进行梳理,尤其是未经过安全防护设备 就直接连进来的单位,应先连接防护设备,再接入内网。4 .隐蔽人口梳理由于API接口、VPN、WIFI这些入口往往会被安全人员忽略,这往往是攻击者 最喜欢打的入口,一旦搞定则畅通无阻。安全人员一定要梳理WEB服务的API隐 藏接口、不用的VPN、WIFI账号等,便于重点防守。三、纵深防御;立体防渗透前期工作做完后,真正的防守考验来了。防守单位在互联网上的冠名网站、 接口、VPN等对外服务必然会成为攻击者的首要目标。一旦一个点突破后,攻击 者会迅速进行横向突破,争取控制更多的生机,同时试图建立多条隐蔽隧道,巩 固成
8、果,使防守者顾此失彼。此时,战争中的纵深防御理论就很适用于网络防守。互联网端防护、内外部 访问控制(安全域间甚至每台机器之间)、主机层防护、重点集权系统防护、无 线网络防护、外部网络接入防护甚至物理层面的防护,都需要考虑进去。通过层 层防护,尽量拖慢攻击者扩大战果的时间,将损失降至最小。1 .互联网端防护互联网作为防护单位最外部的接口,是重点防护区域。互联网端的防护工作 可通过部署网络防护设备和开展攻击检测两方面开展。需部署的网络防护设备包 括:下一代防火墙、防病毒网关、全流量分析设备、防垃圾邮件网关、WAF(云WAF)、 IPS等。攻击检测方面,如果有条件可以事先对互联网系统进行一次完整的渗
9、透, 检测互联网系统安全状况,查找存在的漏洞。2 .访问控制措施互联网及内部系统、网段和主机的访问控制措施,是阻止攻击者打点、内部 横向渗透的最简单有效的防护手段。防守者应依照“必须原则”,只给必须使用 的用户开放访问权限,按此原则梳理访问控制策略,禁止私自开放服务或者内部 全通的情况出现,通过合理的访问控制措施尽可能地为攻击者制造障碍。3 .主机防护当攻击者从突破点进入内网后,首先做的就是攻击同网段主机。主机防护强 度直接决定了攻击者内网攻击成果的大小。防守者应从以下几个方面对主机进行 防护:关闭没用的服务;修改主机弱口令;高危漏洞必须打补丁包括装在系统上 的软件高危漏洞;安装主机和服务器安
10、全软件;开启日志审计。4 .集权系统集权系统是攻击者最喜欢打的内部系统,一旦被拿下,则集权系统所控制的 主机可同样视为已被拿下,杀伤力巨大。集权系统是内部防护的重中之重。蓝队或防守者一般可从以下方面做好防护:集权系统的主机安全;集权系统 访问控制;集权系统配置安全;集权系统安全测试;集权系统己知漏洞加固或打 补丁;集权系统的弱口令等。5 .无线网络不安全的开放无线网络也有可能成为攻击者利用的攻击点。无线开放网络 与业务网络应分开。一般建议无线网接入采用强认证和强加密。6 .外部接入网络如果存在外部业务系统接入,建议接入的系统按照互联网防护思路,部署安 全设备,并对接入的外部业务系统进行安全检测
11、,确保接入系统的安全性,防止 攻击者通过这些外部业务系统进行旁路攻击。守护核心:找到关维点核心目标系统是攻击者的重点攻击目标,也应重点防护。上述所有工作都做 完后,还需要重点梳理:目标系统和哪些业务系统有联系?目标系统的哪些服务 或接口是开放的?传输方式如何?梳理得越细越好。同时还须针对重点目标系统 做一次交叉渗透测试,充分检验目标系统的安全性,协调目标系统技术人员及专 职安全人员,专门对目标系统的进出流量,中间件日志进行安全监控和分析。五、洞若观火:全方位监控任何攻击都会留下痕迹。攻击者会尽量隐藏痕迹、防止被发现;而防守者恰 好相反,需要尽早发现攻击痕迹,并通过分析攻击痕迹,调整防守策略、溯
12、源攻 击路径、甚至对可疑攻击源进行反制。建立全方位的安全监控体系是防守者最有 力的武器,总结多年实战经验,有效的安全监控体系需在如下几方面开展:L全流量网络监控任何攻击都要通过网络,并产生网络流量。攻击数据和正常数据肯定是不同 的,通过全网络流量去捕获攻击行为是目前最有效的安全监控方式。蓝队或防守 者通过全流量安全监控设备,结合安全人员的分析,可快速发现攻击行为,并提 前做出针对性防守动作。2 .主机监控任何攻击最终都会落到主机服务器或终端上。通过部署合理的主机安全软件, 结合网络全流量监控措施,可以更清晰、准确、快速地找到攻击者的真实目标主 机。3 .日志监控对系统和软件的日志监控同样必不可
13、少。日志信息是帮助防守者分析攻击路 径的一种有效手段。攻击者攻击成功后,打扫战场的首要任务就是删除日志,或 者切断主机日志的外发,以防止防守者追踪。防守者应建立一套独立的日志分析和存储机制,重要目标系统可派专人对目标系统日志和中间件日志进行恶意行为 监控分析。4 .情报监控高端攻击者会用Oday或Nday漏洞来打击目标系统、穿透所有防守和监控设 备,防守者对此往往无能为力。防守单位可通过与更专业的安全厂商合作,建立 漏洞通报机制,安全厂商应将检测到的与防守单位信息资产相关的Oday或Nday 漏洞快速通报给防守单位。防守单位根据获得的情报,参考安全厂商提供的解决 方案,迅速自查处置,将损失减到最少。