声明
本文是学习实战攻防之红队视角下的防御体系突破. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
红队眼中的防守弱点
奇安信通过对政府、央企、银行、证券、民生、运营商、互联网等行业的红队实战工作,发现各行业安全防护具备如下特点:
资产混乱、隔离策略不严格
除了大型银行之外,很多行业对自身资产情况比较混乱,没有严格的访问控制(ACL)策略,且办公网和互联网之间大部分相通,可以直接使远程控制程序上线。
除了大型银行与互联网行业外,其他很多行业在DMZ区和办公网之间不做或很少做隔离,网络区域划分也不严格,给了红队很多可乘之机。
此外,几乎所有行业的下级单位和上级单位的业务网都可以互通。而除了大型银行之外,其他很多行业的办公网也大部分完全相通,缺少必要的分区隔离。所以,红队往往可以轻易地实现实施从子公司入侵母公司,从一个部门入侵其他部门的策略。
通用中间件未修复漏洞较多
通过中间件来看,Weblogic、Websphere、Tomcat、Apache、Nginx、IIS都有使用。Weblogic应用比较广泛,因存在反序列化漏洞,所以常常会被作为打点和内网渗透的突破点。所有行业基本上都有对外开放的邮件系统,可以针对邮件系统漏洞,譬如跨站漏洞、XXE漏洞等来针对性开展攻击,也可以通过钓鱼邮件和鱼叉邮件攻击来开展社工工作,均是比较好的突破点。
边界设备成为进入内网的缺口
从边界设备来看,大部分行业都会搭建VPN设备,可以利用VPN设备的一些SQL注入、加账号、远程命令执行等漏洞开展攻击,亦可以采取钓鱼、爆破、弱口令等方式来取得账号权限,最终绕过外网打点环节,直接接入内网实施横向渗透。
内网管理设备成扩大战果突破点
从内网系统和防护设备来看,大部分行业都有堡垒机、自动化运维、虚拟化、邮件系统和域环境,虽然这些是安全防护的集中管理设备,但往往由于缺乏定期的维护升级,反而都可以作为开展权限扩大的突破点。
奇安信红队能力及攻防实践
自2016年奇安信集团协助相关部委首次承办网络实战攻防演习以来,这种新的网络安全检验模式已经有了长足的发展。
仅2019年上半年,奇安信就参与了全国范围内60多场实战攻防演习的红队活动,攻破了200余个目标系统。累计派出红队85支次、投入红队专家246人次、投入工作量1793人天。项目涵盖党政机关、公安、政企单位、民生、医疗、教育、金融、交通、电力、银行、保险、能源、传媒、生态、水利、旅游等各个行业。在实战演习过程中,奇安信集团派遣最优秀的红队高手全力参与工作,并在所有行业化的实战攻防演习排名中均列前2位,其中排名第1的次数高达75%,是业内公认的红队王者。
在协助国家主管机关的工作中,针对等级保护重要信息系统以及国家关键基础设施,深入开展实战攻防工作,使得国家相关重点信息系统的整体安全性有了显著提高和可靠保障;在协助央、国企单位工作中,对企业本级以及下级单位的重点网络信息系统、敏感系统、工控系统,进行全面的红队渗透攻击,极大地提升了各级单位应对网络安全突发事件能力,大幅度提高了相关网络及系统的防护水平。
如今,奇安信集团已组建起10余支技术高强、能力突出的网络红队,聘请具备APT高级渗透实战经验的专职攻防专家30余人,是目前国内规模最大、人数最多的红队队伍。
实战攻防是个对抗的过程,无论对抗中的攻还是防,其目的都是为了提升网络的安全防护能力,加强安全应急的响应处置能力。奇安信集团将肩负“让网络更安全、让世界更美好”的使命,以攻促防,为提升网络安全水平贡献力量。
延伸阅读
更多内容 可以 实战攻防之红队视角下的防御体系突破. 进一步学习