红队眼中的防守弱点

声明

本文是学习实战攻防之红队视角下的防御体系突破. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

红队眼中的防守弱点

奇安信通过对政府、央企、银行、证券、民生、运营商、互联网等行业的红队实战工作，发现各行业安全防护具备如下特点：

资产混乱、隔离策略不严格

除了大型银行之外，很多行业对自身资产情况比较混乱，没有严格的访问控制（ACL）策略，且办公网和互联网之间大部分相通，可以直接使远程控制程序上线。

除了大型银行与互联网行业外，其他很多行业在DMZ区和办公网之间不做或很少做隔离，网络区域划分也不严格，给了红队很多可乘之机。

此外，几乎所有行业的下级单位和上级单位的业务网都可以互通。而除了大型银行之外，其他很多行业的办公网也大部分完全相通，缺少必要的分区隔离。所以，红队往往可以轻易地实现实施从子公司入侵母公司，从一个部门入侵其他部门的策略。

通用中间件未修复漏洞较多

通过中间件来看，Weblogic、Websphere、Tomcat、Apache、Nginx、IIS都有使用。Weblogic应用比较广泛，因存在反序列化漏洞，所以常常会被作为打点和内网渗透的突破点。所有行业基本上都有对外开放的邮件系统，可以针对邮件系统漏洞，譬如跨站漏洞、XXE漏洞等来针对性开展攻击，也可以通过钓鱼邮件和鱼叉邮件攻击来开展社工工作，均是比较好的突破点。

边界设备成为进入内网的缺口

从边界设备来看，大部分行业都会搭建VPN设备，可以利用VPN设备的一些SQL注入、加账号、远程命令执行等漏洞开展攻击，亦可以采取钓鱼、爆破、弱口令等方式来取得账号权限，最终绕过外网打点环节，直接接入内网实施横向渗透。

内网管理设备成扩大战果突破点

从内网系统和防护设备来看，大部分行业都有堡垒机、自动化运维、虚拟化、邮件系统和域环境，虽然这些是安全防护的集中管理设备，但往往由于缺乏定期的维护升级，反而都可以作为开展权限扩大的突破点。

奇安信红队能力及攻防实践

自2016年奇安信集团协助相关部委首次承办网络实战攻防演习以来，这种新的网络安全检验模式已经有了长足的发展。

仅2019年上半年，奇安信就参与了全国范围内60多场实战攻防演习的红队活动，攻破了200余个目标系统。累计派出红队85支次、投入红队专家246人次、投入工作量1793人天。项目涵盖党政机关、公安、政企单位、民生、医疗、教育、金融、交通、电力、银行、保险、能源、传媒、生态、水利、旅游等各个行业。在实战演习过程中，奇安信集团派遣最优秀的红队高手全力参与工作，并在所有行业化的实战攻防演习排名中均列前2位，其中排名第1的次数高达75%，是业内公认的红队王者。

在协助国家主管机关的工作中，针对等级保护重要信息系统以及国家关键基础设施，深入开展实战攻防工作，使得国家相关重点信息系统的整体安全性有了显著提高和可靠保障；在协助央、国企单位工作中，对企业本级以及下级单位的重点网络信息系统、敏感系统、工控系统，进行全面的红队渗透攻击，极大地提升了各级单位应对网络安全突发事件能力，大幅度提高了相关网络及系统的防护水平。

如今，奇安信集团已组建起10余支技术高强、能力突出的网络红队，聘请具备APT高级渗透实战经验的专职攻防专家30余人，是目前国内规模最大、人数最多的红队队伍。

实战攻防是个对抗的过程，无论对抗中的攻还是防，其目的都是为了提升网络的安全防护能力，加强安全应急的响应处置能力。奇安信集团将肩负“让网络更安全、让世界更美好”的使命，以攻促防，为提升网络安全水平贡献力量。

延伸阅读

更多内容 可以 实战攻防之红队视角下的防御体系突破. 进一步学习

联系我们

DB64-T 1758-2020 儿童福利机构突发传染病疫情防控规范 宁夏回族自治区.pdf