网络安全“矛”与“盾”的较量正在全国各个城市激烈上演。从2016年起,我国每年都会举办大大小小的攻防演练,上到国家级,下到行业级,对于攻防技术人员来说,参与一次演练就好像“打了一场仗”,在有限的时间里,浸入到真实网络环境,实践攻击与防御方法。
攻防演练“战场”高手云集,每一场都是“神仙打架”,攻击方想要打赢,不仅要依靠精湛的技术,还需要具备把控全局的能力,打出一套“稳准狠”的组合拳,才能够取得最终的胜利。
赛宁TechTalk第二期,和您聊聊攻防演练攻击方的那些事儿。
攻城棋局 落子无悔
中国人喜欢下围棋,初学者执念于吃子的快感,往往因小失大,落得满盘皆输的下场。高手过招,讲究的是战略思维,走一步前先想百步,强调全局观,注重组合拳。
攻防演练中攻击方的招式也带有着相似的思维,人员排布分为前方突破和后方支援,前方软硬兼施,后方排兵布阵,指挥前方精准“落子”,迅速掌控全盘。
-
前方:攻城掠地 多点渗透
正面强攻-WEB渗透
对目标对象公司网站、应用程序等外网资产进行摸排,寻找系统弱点、技术缺陷、漏洞等,再通过输入恶意代码、上传恶意脚本等方法拿下服务器控制权。
常见漏洞攻击:SQLi、RCE、弱口令、文件上传、反序列化、0day
侧面迂回-社工渗透
攻防演练已经连续开展6年,各单位在IT安全建设上逐年加强,利用WEB渗透手段正面取得突破通常需要花费很长的时间,强攻不下,如何破局?这时候就需要“侧面迂回”攻关。
社工渗透是通过社会工程学的方式对目标进行网络诈骗,本质上是一种利用人性弱点达到攻击目的的“心理欺诈”手段,主要分为两步:
信息刺探:社工渗透人员首先会搜集公司股权结构、规章制度、人员信息等目标情报,事先做足“功课”,避免攻击时被目标对象识破。
心理利用:根据收集到的微信、邮箱等个人联系方式,确定攻击目标,通过发送招标文件、招聘信息、礼品奖励等包含诱导性链接的内容,吸引目标对象点击,从而入侵主机。
常见渗透方法:邮件钓鱼、短信钓鱼、水坑攻击
横向夺权-内网渗透
社工和Web渗透人员作为“先头部队”攻破外网城墙,接下来由内网渗透人员接棒,针对目标供应链,也就是涉及第三方供应商的IT架构发起攻击,最终拿下整体网络的控制权。
常见攻击方法:抓密码hash、弱口令、域漏洞
-
后方:前方人员的策略“百宝箱”
前方人员能够快速成功渗透目标网络,取得最终控制权,离不开后方对于目标网络薄弱点的精准捕捉。
火眼金睛-代码审计
借助安全工具,对目标对象源代码进行审计,从中发现安全漏洞,锁定目标薄弱点,帮助前方人员精准渗透。
深度勘探-漏洞研究
根据收集到的漏洞信息,验证分析漏洞的可利用方式和难度,提高前方人员成功渗透目标网络的可能性。
趁手兵刃-武器库
通过渗透工具包、自动化漏洞扫描工具等帮助前方人员快速、批量锁定目标网络薄弱点位的“尖刀利刃”。
大家看到这里可能会有疑问:攻击方的行为是否会对真实业务系统造成破坏?会不会有人“监守自盗”?
实时大屏监控,不留死角:攻击方人员的确会运用模拟黑客的手段,不过为了避免上述操作对目标真实业务系统造成破坏性威胁,防止演练过程中预留后门等不良行为,赛宁网安红方管控平台能够对所有攻击进行监控,识别、制止并通报攻击方的违规行为,通过大屏呈现的形式,确保攻防演练全过程透明可视。
网络安全管理“智库”:在历次的应用案例中,红方管控平台不仅能够扮演裁判的角色,也可以作为网络安全管理“智库”,发挥更高的价值。平台内置的堡垒机和流量分析系统能够对攻防实战进行全面分析,允许扩展集成第三方审计类产品,在演练结束后生成分析报告,帮助防守方单位了解自身网络的“脆弱地带”,进而调整运维思路,更新网络安全保护策略,为日后管理做背书。
7169
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
