由于攻防两端的不对称性,防守方的防守认知普遍落后于攻击队 的攻击方法。当前攻击队普遍已经正规化、规模化、流程化、武器 化,0day
漏洞储备、安全监控绕过、内存马、日志污染等隐蔽攻击手 段也已经相当成熟。防守方需根据攻击者的思路、想法、打法,结合 各单位实际网络环境、运营管理情况,建立全方位的纵深安全监控、 防护体系,才能在攻防过程中从被动防御转变为溯源反制。本章将要 讲述的内容为奇安信防守经验和技术总结,在具体环节各个单位需要 结合自身的实际管理、运营、网络及业务情况调整,或者增加其他技 术处置环节。
“知己知彼,百战不殆。”政企安全部门只有经历多次实战攻防 的洗礼,在实战中不断加深对攻击队的攻击手段的理解,才能及时发 现自身安全防护能力的缺失。防护手段应随着攻击手段的变化和升级 而进行相应的改变和提升,这将是未来的主流防护思想。
攻击队一般会在前期搜集情报,寻找突破口,建立突破据点;在 中期横向拓展打内网,尽可能多地控制服务器
或直接打击目标系统; 在后期删日志,清工具,写后门,建立持久控制权限。针对攻击队的 常用套路,红队常用的应对策略可总结为收缩战线、纵深防御、守护 核心、协同作战、主动防御、应急处突和溯源反制等。
信息清理:互联网
敏感信息
攻击队会采用社工、工具等多种技术手段,搜集目标单位可能暴 露在互联网上的敏感信息,为后期攻击做好充分的准备。而防守队除 了定期对全员进行安全意识培训,严禁将带有敏感信息的文件上传至 公共信息
平台外,还可以通过定期搜集泄露的敏感信息,及时发现已 经在互联网上暴露的本单位敏感信息并进行清理,以降低本单位敏感 信息暴露的风险,同时增加攻击队搜集敏感信息的时间成本,提高其 后续攻击的难度。
收缩战线:收敛互联网暴露面
攻击队会通过各种渠道搜集目标单位的各种信息,搜集的情报越 详细,攻击就会越隐蔽,越快速。此外,攻击队往往不会正面攻击防 护较好的系统,而是找一些可能连防守队自己都不知道的薄弱环节下 手。这就要求防守队充分了解自己暴露在互联网上的系统、端口、后 台管理系统
、与外单位互联的网络路径等信息。哪方面考虑不到位, 哪方面往往就会成为被攻陷的点。互联网暴露面越多,防守队越容易 被攻击队声东击西,最终顾此失彼,眼看着被攻击却无能为力。结合 多年的防守经验,我们建议从如下几方面收敛互联网暴露面。
攻击路径梳理
知晓攻击队有可能从哪些地方发起攻击,对防守队部署防守力量 起关键作用。政企机构的网络不断变化,系统不断增加,往往会产生 新的网络边界。防守队一定要定期梳理自己的网络边界、可能被攻击 的路径,尽可能梳理并绘制出每个业务系统,包括对互联网开放的系 统、内部访问系统(含测试系统)的网络访问路径。内部系统全国联 网的单位尤其要注重此项梳理工作。
互联网攻击入口收敛
一些系统维护者为了方便,往往会把维护的后台、测试系统和高 危端口私自开放在互联网上,而这在方便维护的同时也方便了攻击 队。攻击队最喜欢攻击的Web服务就是网站后台以及安全状况较差的测 试系统。红队可通过开展互联网资产发现服务工作,发现并梳理本单 位开放在互联网上的管理后台、测试系统、无人维护的僵尸系统(含 域名)、拟下线未下线的系统、高危服务端口、疏漏的未纳入防护范 围的互联网开放系统以及其他重要资
最低0.47元/天 解锁文章
489
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
