二是网络攻防演练活动不是一次性保障活动,其最终目的是单位通过演习发现网络安全建设存在的不足,改进和提升整体安全防御能力,通过相对独立的安全运营思路,以数据为中心建立整体网络安全防护体系,进而发挥出最有效的安全能力。因此单位通过网络攻防演练积累的经验,沿用演习期间形成的安全运营机制、安全监测技术和应急响应策略等,在日常安全工作中提供持续安全运营能力,使网络安全防护措施持续发挥成效,进而真实有效地提升安全防护的能力。同时,单位还需加快整改演习发现的网络安全体系建设的不足,以替代演习后保障队伍力量缩减,而导致的整体安全防御降低的能力。
最后,单位参与和自我组织网络攻防演练活动,充分积累演练活动经验,锻炼安全保障队伍,不断完善整体网络安全体系和持续提高安全运营能力。
第四章 红队应对攻击的常用策略
知己知彼,百战不殆。政企安全部门只有在多次经历实战攻防的洗礼,通过实战对攻击队的攻击手法不断深入了解,才能不断发现自身安全防护能力的缺失,防护手段应随着攻击手段的变化升级而进行相应的改变和提升,将是未来的主流防护思想。
攻击者一般会在前期搜集情报,寻找突破口、建立突破据点;中期横向移动打内网,尽可能多地控制服务器或直接打击目标系统;后期会删日志、清工具、写后门、建立持久控制权限。针对攻击队的常用套路,红队应对攻击的常用策略可总结为收缩战线、纵深防御、守护核心、协同作战、主动防御、应急处突和溯源反制等。
一、 收缩战线:缩小攻击暴露面攻击队首先会通过各种渠道收集目标单位的各种信息,收集的情报越详细,攻击则会越隐蔽,越快速。此外,攻击队往往不会正面攻击防护较好的系统,而是找一些可能连防守者自己都不知道的薄弱环节下手。这就要求防守者一定要充分了解自己暴露在互联网的系统、端口、后台管理系统、与外单位互联的网络路径等信息。哪方面考虑不到位、哪方面往往就是被攻陷的点。互联网暴露面越多,越容易被攻击队“声东击西”,最终导致防守者顾此失彼,眼看着被攻击却无能为力。结合多年的防守经验,可从如下几方面收敛暴露面。
1) 敏感信息收集
攻击队会采用社工、工具等多种技术手段,对目标单位可能暴露在互联网上的敏感信息进行搜集,为后期攻击做充分准备。防守队除了定期对全员进行安全意识培训,不准将带有敏感信息的文件上传至公共信息平台外,针对漏网之鱼还可以通过定期开展敏感信息泄露搜集服务,能够及时发现在互联网上已暴露的本单位敏感信息,提前采取应对措施,降低本单位敏感信息暴露的风险,增加攻击队搜集敏感信息的时间成本,为后续攻击抬高难度。
2) 攻击路径梳理
知晓攻击队有可能从哪些地方攻击进来,对防守力量如何部署起关键作用。由于政企机构的网络不断变化、系统不断增加,往往会增加新的系统和产生新的网络边界。防守队一定要定期梳理没每个业务系统的网络访问路径,包括对互联网开放的系统、内部访问系统(含测试系统),尤其是内部系统全国联网的单位更要注重此项梳理工作。
3) 互联网攻击面收敛
一些系统维护者为了方便,往往会把维护的后台、测试系统和高危端口私自开放在互联网上,方便维护的同时也方便了攻击队。攻击队最喜欢攻击的Web服务就是网站后台,以及安全状况比较差的测试系统。红队可通过开展互联网资产发现服务,对本单位开放在互联网上的管理后台、测试系统、无人维护的僵尸系统(含域名)、拟下线未下线的系统、高危服务端口、疏漏的未纳入防护范围的互联网开放系统以及其他重要资产信息(中间件、数据库等)进行发现和梳理,提前进行整改处理,不断降低互联网侧攻击入手的暴露。
4) 外部接入网络梳理
如果正面攻击不成,攻击队往往会选择攻击供应商、下级单位、业务合作单位等与目标单位有业务连接的其他单位,通过这些单位直接绕到目标系统内网。防守队应对这些外部的接入网络进行梳理,尤其是未经过安全防护设备就直接连进来的单位,应先连接防护设备,再接入内网。防守队还应建立起本单位内部网络与其他单位进行对接的联络沟通机制,发现从其他单位过来的网络行为异常时,能及时反馈到其他单位,协同排查,尽快查明原因,以便后续协同处置。
5) 隐蔽入口梳理