解决方案-攻防演练2021网络安全-零开始黑客教学

解决方案-攻防演练2021网络安全-零开始黑客教学

随着《网络安全法》和《等级保护制度条例2.0》的颁布，国内企业的网络安全建设需与时俱进，要更加注重业务场景的安全性并合理部署网络安全硬件产品，严防死守“网络安全”底线。

云计算、移动互联网、大数据、物联网等新技术的持续演进，网络安全形势变得尤为复杂严峻。网络攻击“道高一尺，魔高一丈”，网络安全问题层出不穷，给政府、企事业单位带来风险威胁级别升高，挑战前所未有。

“攻防演练行动”是国家应对网络安全问题所做的重要布局之一。加强网络安全意识，是所有单位有序地完成“攻防演练行动”必不可少的一项基础和必须做扎实的工作。

整体来讲，防守方都是从“事前排查”、“事中监控”、“事后溯源”三个方面进行防御的。

问

防守方在攻防演练行动中及日常安全工作中需要注意哪几个方面？

事前加固、排查有遗漏

·

越是大型的企业，在公网暴露的信息和资产就越是复杂，攻击面也越大。常有防守方由于一个很久以前暴露在公网的，自己都不太清除，没有防护的应用被攻击者发现，导致全线失守。倘若防守方自己没法清晰梳理公网暴露面，演练前的加固就很难起到预期效果——红队总是会找防御最薄弱的地方发起攻击。

·

电科数字旗下华讯网络通过外部攻击面管理服务帮助客户发现视线外资产，及时将孤岛资产纳入安全防护体系。外部攻击面管理帮助组织识别和理解其公开可见的攻击面。这包括识别组织的互联网暴露的系统、应用程序、网络服务、公共信息等。通过了解自己的攻击面，组织可以更好地评估可能的风险和威胁。避免在攻防演练过程中被攻击队发现连自己也不清楚的脆弱资产，被趁虚而入。

重边界、轻内网的防御策略

·

大多防守方普遍是重边界、轻内网防御，造成了一旦边界被破，内网就有整体垮掉的风险。对于内网的防护和监控也同样需要重视。

·

尤其在各企业普遍使用微软域服务（AD）进行组织管理的当下，AD自身羸弱的安全属性不仅无法为企业提供安全保障，更由于其重要性成为了红队或者恶意黑客重点进攻的对象。若是没有一套行之有效的方法对内网进行监控和防护，企业整个域无疑会非常危险。

·

电科数字旗下华讯网络提供企业安全体系建设咨询服务和企业安全体系建设服务。协助客户梳理当前安全架构，提供完整安全防护体系建设方案，针对域安全能够提出完整有效的加固方案。协助客户将安全防护建设从边界部分继续推进，从外到内都能完整纳入安全防护范围之中，全面保卫企业网络信息安全。

演练期间海量日志难以分析

·

无论是在攻防演练行动还是日常安全运维中，各类安全设备往往会产生大量告警日志。即使将不同安全设备的告警日志统一收到日志服务器上，庞大的日志量往往也会让安全运维人员手足无措。

·

电科数字旗下华讯网络安全团队拥有深厚的技术沉淀和积累，拥有针对各类场景不同，能够整合各类安全日志，减少单一告警来源误报，将所有安全告警联合分析，使防守方安全运维人员能够集中在有限的重要的事件上。

·

另外，华讯网络还提供托管安全运营服务（MSS），为客户提供智能化、自动化网络安全风险分析和挖掘能力，由经验丰富的安全事件分析和处置团队支撑。做到在攻防演练期间7*24小时及时发现、迅速响应、妥善处理。

漏洞修复进程落后

·

企业漏洞修复工作的进度往往落后于新漏洞的不断出现，许多1day、2day漏洞被公布后往往会在企业的下一个漏洞修复周期才被修复。然而攻防演练期间这些尚未被修复的1day漏洞很容易变成突破口，不仅影响攻防演练中的成绩，也会影响日常漏洞修复工作的成绩。

·

电科数字旗下华讯网络提供渗透测试、漏洞扫描服务，为企业发现各项资产已有的漏洞风险点，并提供整改修复方案，控制已知风险。同时为客户提供漏洞分析服务，根据客户已有漏洞清单或华讯漏洞扫描得到的清单，筛选高危漏洞。为客户提供攻防演练前漏洞修复优先级清单，使客户能在在短时间内集中精力完成高危漏洞的修复。

今年新增高危漏洞盘点

*可作为攻防演练行动前重点加固的漏洞风险项

ICMP远程代码执行漏洞

目前漏洞细节和测试代码虽暂未公开，但恶意攻击者可以通过对比补丁分析出漏洞触发点，建议受影响用户及时升级到安全版本。

Linux ksmbd 远程代码执行漏洞

官方修复方案: 升级内核版本到6.3.2版本

临时修复方案: 关闭ksmbd

远程代码执行漏洞（CVE-2023-21931）

官方建议：

目前官方已发布安全补丁，建议受影响的用户及时更新补丁。

临时缓解措施：

针对T3协议的临时缓解加固措施：

使用连接筛选器临时阻止外部访问7001端口的T3/T3s协议：

连接筛选器：

..net.

命令注入漏洞(CVE-2023-33246)

厂商已发布了漏洞修复程序，建议用户升级到如下版本： 5.1.1或 4.9.6

微软6月安全更新补丁和多个高危漏洞

微软官方发布了6月安全更新公告，包含了微软家族多个软件的安全更新补丁。其中含有多个RCE、特权提升漏洞。

身份验证绕过漏洞(CVE-2023-20860)

官方建议：目前官方已发布安全版本修复上述漏洞，建议受影响的用户升级至安全版本。

Shiro身份验证绕过漏洞（CVE-2023-22602）

目前漏洞细节和测试代码暂未公开，但是恶意攻击者可以通过补丁对比方式分析出漏洞触发点，建议受影响用户及时更新至安全版本。

华讯网络能够在攻防演练各阶段提供各项安全能力，助力客户在攻防演练期间增强自身防护能力，取得优异成绩。

~

网络安全学习，我们一起交流

~