1. 人
因编制限制等问题,人手不够、没有专职网络安全岗位成了部分政府单位的常态,面对演练及重保值守任务,常常“临时抓壮丁做值守”,而没有从体系化、可持续的角度来培养与使用网络安全人员。
2. 管理
网络安全层面的组织架构不清晰、安全职责不明确、安全相关制度无法有效落地等问题,常常对网络安全责任部门带来困扰。多数人一提到网络安全,就矛头直指安全责任处室,未曾考虑网络安全是IT相关业务的附属属性,IT建设、运维、使用的相关人员应共同承担安全职责。如安全职责不能全面落实,在攻防实战过程中会导致管理问题凸显,安全事件监测、预警、分析和处置效率低,整体防护能力不足。
3. 意识
部分政府机构存在员工安全意识薄弱的情况,甚至部分信息化部门专业人员的安全意识也很淡薄,在历年的攻防演练过程中,攻击队通过邮件钓鱼等方式攻击工作人员及IT运维人员办公用机并获取数据及内网权限的案例数不胜数。另外,随着政务系统上云的趋势,一些安全责任的划分也出现了误区,有些系统运营者认为托管至云平台就可以转嫁安全风险,常常忽略运营单位的主体责任,轻视云上系统的安全防护。
- 资产
资产不清是很多政府单位面临的现状。过去因为资产管理不善、轻视边缘业务系统,造成被攻击、被监管机构通报的事件屡有发生。有些单位还有一些老旧业务“年久失修、无开发维护保障”,但又因为业务重要不能下线,成为安全隐患。 - 工具
已有产品的防护能力、安全策略有效性亟待考量。部分政府单位老旧的防护设备,策略配置混乱,安全防护依靠这些系统发挥中坚力量,势必力不从心。流量监测及主机监控工具缺失,仅依靠传统防护设备的告警去判断攻击、甚至依靠人工去翻阅海量的日志,导致“巧妇难为无米之炊”。
二、 攻击方视角的安全弱点
实战攻防演练中,攻击方是有组织的攻击队伍,会针对目标系统执行多角度、混合、对抗性的模拟攻击。以攻击方的视角来看防守方常见的弱点,并列举有组织的攻击所采取的攻击手法。
1. 系统弱点之:弱口令及同口令
弱口令历来都是利用难度最低、危害最大、出现频率最高的脆弱点。实战中通过弱口令获得权限的情况占比高达70%以上。另外,有些系统密码复杂度虽然高,但是所有服务器的密码设置相同或者有规律,这种密码也极易被抓取后来进行猜解、碰撞。
2. 系统弱点之:漏洞
除常规漏洞外,往往在演练前期所暴露出的“新鲜”漏洞,都会成为攻击方重点关注的方向。例如2019年出现的weblogic反序列化漏洞、一些商业化邮件系统、OA系统等暴露出的漏洞。这些系统和组件在许多政府单位的系统中都有运用。
3. 系统弱点之:集权类系统安全隐患
集权类系统一般会成为攻击者在攻击时所打击的主要目标。拿下集权类系统,可以实现对其所属管辖范围内的所有主机控制权。域控服务器、运维管理系统、堡垒机等集成监控维护系统、运维终端、VPN及单点登录入口等。
4. 攻击手法之:旁路攻击渗透
如果正面入侵困难,则攻击方可能通过旁路迂回渗透。例如一个省级政府单位,其业务系统按照行政属性进行省、市、县三级架构部署,只要敲开任意一个防守薄弱的门,就可以通过内网漫游,逐步摸到省中心的核心业务系统。
5. 攻击手法之:社工攻击
当攻击方发现系统侧防护严密,通常会把思路转向到对人的入侵。通过钓鱼邮件等攻击方式来对政府职员进行钓鱼,一旦控制了相关员工计算机,攻击方可直接进入到政府单位内网,以终端为跳板向关键业务系统移动。
6. 攻击手法之:秘密渗透与多点潜伏
攻击方会实施精细化的攻击,甚至编写可以绕过防护设备的代码来实施攻击操作。所以只依靠签名规则告警的监测手段,无法感知到入侵,导致在攻击发生的很长一段时间内,攻击者不仅拿到了主机权限及数据,而且建立多个打通内外网的据点来做权限维持和战果扩大。
三、 该如何做好安全防护工作
首先,最重要的是对自己的系统有掌控力,对于系统的资产情况、安全状态要有明确的认知,并且有针对性的对缺陷做加固和修补。
其次,要有体系化的组织,要全面合理地部署职责明晰、覆盖全面的安全专职队伍,并要有对应能力的人员匹配到相应岗位,技术人员应当具备攻防理论、威胁分析、应急处置等能力。
最后,要解决工具问题,要保证所有流量可见、全量日志可查、有可靠的情报输入,只依靠传统防护设备的被动防护是远远不够的。
下图将安全防护工作与滑动标尺模型进行对应,以阐述安全防护的体系化:
1. 攻击面收敛
“点的突破”会加大以面防守的难度。对外暴露的资产越多,安全工作开展越困难。这就要求系统运营者必须充分了解自己的资产情况,即使一个不起眼的API接口都会成为****。
要定期梳理自己的网络边界、可能被攻击的路径,尤其是有省-市-县多级网络架构的单位和外联接入的单位。如果正面攻击不成,攻击者往往会选择攻击下级单位、供应商等与目标系统有业务连接的机构,通过这些机构绕至目标系统内网。
2. 全面评估和预演练
系统运营者不仅要对自己的资产基础情况有明确的认知,对资产的安全状况也必须有充分的了解,周期性系统渗透测试是必须开展的工作,发现隐患,及时修补。通过自主开展演练工作(以红蓝对抗的模式)来检验安全加固工作的有效性,进行防护体系的动态评价。
3. 防突破和内网横向渗透
一旦外层防线被撕破,攻击者会迅速进行内网横向移动,如果没有纵深防御体系,攻击方将如入无人之境。战争中的纵深防御理论同样适用于网络防护,内外部访问控制(安全域之间,甚至每台机器之间)、主机层防护、重点集权系统防护、无线网络防护甚至物理层面的防护,都需要考虑。同时要加强内部的监测手段,从网络流量,主机日志、进程、文件等层面进行排查。
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。
最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!下面就开始进入正题,如何从一个萌新一步一步进入网络安全行业。
学习路线图
其中最为瞩目也是最为基础的就是网络安全学习路线图,这里我给大家分享一份打磨了3个月,已经更新到4.0版本的网络安全学习路线图。
相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。
网络安全工具箱
当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份我自己整理的网络安全入门工具以及使用教程和实战。
项目实战
最后就是项目实战,这里带来的是SRC资料&HW资料,毕竟实战是检验真理的唯一标准嘛~
面试题
归根结底,我们的最终目的都是为了就业,所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过!
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
512
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
