护网背景
一、什么是护网?
网络安全的态势之严峻,迫切需要我们在网络安全领域具备能打硬仗的能力,“护网行动”应运而生。
护网目标
通过防守工作与技术方案,做好“护网”前期准备、安全自查整改、攻防演练和演练总结等各阶段相关工作。
保证护网期间,与相关服务机构联合作战,充分利用现有安全检测与防御手段,结合安全监测与分析经验,实时检测与分析攻击行为,快速响应处置,抑制攻击事件,顺利完成监管部门安排的“护网”工作任务。
防守方案
演练效果
作为攻防演练的参演单位,将通过网络安全攻防演练,进一步检验网络安全防护能力、监测发现能力、应急处置能力,发现可能在网络安全防护、监测和处置措施中存在的短板,积累有效应对网络安全攻击和威胁的经验,促进网络安全积极防御、协同处置的体系建设,促进网络安全队伍建设,在实战中有效提升网络安全保障能力。
护网各阶段工作
为充分做好攻防演练相关工作,按照监管部门攻防演练的工作安排,结合自身安全工作实际情况,建议将攻防演练防护工作分成五个阶段,分别是:
- 准备阶段
- 自查整改阶段
- 攻防预演练阶段(有条件时间充裕)
- 正式演练阶段
- 演练总结阶段
防守工作任务内容
第一阶段:准备阶段
1、防守方案编制
2、防守工作启动会及保密协议签订
3、资产梳理
4、网络架构检查
5、安全设备部署、厂商梳理了解
6、流量威胁分析、态势感知等安全监测设备梳理了解
7、安全意识培训
8、团队组建
9、应急流程
HW期间角色组织架构
明确协同部门
根据攻防演练确定的目标系统情况,明确需配合演练防守的相关部门,梳理清晰与其他部门需要进行配合的工作内容,包括:信息共享、溯源分析、应急处置等,参演部门一般包括业务、应用、网络和安全等相关主管和运维公司:
- 业务主管部门位、业务维护部门;
- 应用系统开发、运维部门和第三方支持厂商;
- 网络运维单位和第三方支持厂商;
- 安全运维单位和第三方支持厂商。
明确防守工作角色和职责
根据现场工作分工情况明确各方的具体工作角色和职责,确定为总体负责牵头开展现场护网相关工作,或负责其中一种类型工作,例如:安全监测分析、应急响应处置。
- 负责确认演练使用的安全设备(流量威胁分析系统、蜜罐系统、主机加固等)运行状态和性能稳定;
- 通过使用安全监测设备进行安全监测分析、漏洞验证,提出加固及整改建议;
- 协助进行WAF、IPS、IDS、蜜罐系统等告警日志分析,漏洞验证,提出整改建议;
- 协助进行应急响应处置工作;
- 组织各技术支持单位开展技术分析、研判工作,提出下一步工作建议;
- 针对各项工作进行记录和阶段总结。
第二阶段:安全自查和整改阶段(极其重要)
1、互联网资产梳理
2、漏洞扫描
3、渗透测试
4、安全风险检查(集权类系统、安全域、网络攻击风险等检查)
5、安全基线/配置检查
6、策略检查及优化
7、日志审计情况检查
8、重大活动或之前进行的安全评估结果复查
9、安全监测、防护设备完善
10、安全整改加固
安全自查
在护网工作开展前期将现有应用系统资产清单梳理完成,内容包括系统名称、访问地址、IP地址、开发语言、操作系统版本、数据库类型、中间件版本,特别是集权类系统(OA、邮件、堡垒机),便于攻防演练进行安全监测与分析工作,方便快速判断为是否为有效攻击事件。
应根据漏洞扫描、渗透测试、风险评估等报告进行安全风险排查,包括:
1、互联网入口攻击:应用网站安全漏洞、弱口令和默认口令、应用和中间件管理后台暴露、服务器互联网暴露、服务器外联风险;高危端口暴露在互联网(远程、数据库等);
2、内部网络横向攻击:弱口令和默认口令、设备使用相同口令、操作系统和中间件漏洞、内部系统安全漏洞;
3、集权类系统风险和要求:邮件服务器、域控制器服务器/DNS服务器/备份服务器、ITSM运维管理系统/Zabbix/Nagios/堡垒机等集成监控维护系统、研发服务器/SVN/Git/研发个人终端/运维个人终端。
- 弱口令、默认口令
互联网可以访问的网站系统、应用系统或管理后台等,如果其用户使用弱口令或默认口令(厂商初始化口令),可以轻易被攻击者猜测、破解,进而上传后门、获取权限,获得互联网攻击入口。
所有用户的弱口令和默认口令都存在风险,包括系统业务用户、管理员用户以及后台管理用户、中间件用户等。 - 账户密码及重要文件的保存
重要文件加密保存,密码文件禁止直接放置在服务器桌面。 - 应用和中间件管理后台暴露
网站应用系统后台或中间件管理后台对互联网开放,攻击者可对其进行攻击,利用漏洞或破解口令,获取后台权限,进而上传后门、获取权限,获得互联网攻击入口。 - 内网服务器禁止安装远控软件
近年来的护网,远控软件成为最大的突破口,向日葵、teamviewer、anydesk等。
第三阶段:攻防预演练阶段(内部应急演练,条件和时间充裕的情况下)
攻防预演练是为了在正式演练前,检验安全自查和整改阶段的工作效果以及防护小组否能顺利开展防守工作,而组织攻击小组对目标系统开展真实的攻击。
通过攻防预演练结果,及时发现目标系统还存在的安全风险,并对遗留(漏)风险进行分析和整改,确保目标系统在正式演练时,所有发现的安全问题均已得到有效的整改和处置。
第四阶段:正式护网阶段
在正式防护阶段,重点加强防护过程中的安全保障工作,各岗位人员各司其职,从攻击监测、攻击分析、攻击阻断、漏洞修复和追踪溯源等方面全面加强演练过程的安全防护效果。
1、安全事件实时监测
安全部门组织其他部门人员借助安全防护设备(全流量分析设备、Web防火墙、IDS、IPS、数据库审计等)开展攻击安全事件实时监测,对发现的攻击行为进行确认,详细记录攻击相关数据,为后续处置工作开展提供信息。
2、事件分析与处置
防护小组根据监测到安全事件,协同进行分析和确认。如有必要可通过主机日志、网络设备日志、入侵检测设备日志等信息对攻击行为进行分析,以找到攻击者的源IP地址、攻击服务器IP地址、邮件地址等信息,并对攻击方法、攻击方式、攻击路径和工具等进行分析研判。
安全防护的建议思路
事件监测、初步处置、攻击行为反查、应用及主机处置;
1) 事件监测:通过WAF、IPS、FW、云监测等各类、各厂商的监测设备对安全事件进行监测(梳理客户的安全设备:天眼、waf、IPS等安全设备),发现攻击行为或疑似攻击行为;
2) 初步处置:在发现疑似攻击行为时,不管是否已经攻击成功,直接协调FW或WAF维护人员,进行IP(端口)封堵处理,避免进一步攻击行为发生;(发现攻击IP及时群里发出,验证后就“先封禁”再上报给监管部门。如果监管部门确认该IP为攻击队IP,要求不允许封IP,安全拦截措施转为通过WAF 建立特殊IP组建立高防护策略并按照攻击情况进行人工添加策略如特定路径禁止访问策略。)
3) 攻击行为反查:在初步处置的同时,我方人员利用态势感知系统对攻击行为进行反查,确认攻击事件及影响范围,以协调进一步处理线索,并协调人员将事件上报监管部门;
4) 应用及主机处置:如通过反查确认有主机或应用被攻击,第一时间应用和主机下线,通常采用人员分析或失陷监测工具分析的方式确认系统被攻击的情况,协调相关责任人进行进一步处置;
事件分析
事件分析可以通过各安全厂商的告警信息,关注重点目标网站的攻击告警信息,同时利用各个安全厂商提供的线索进行流量威胁溯源分析,排查所有受攻击地址。例如:WAF告警webshell,蜜罐告警的攻击IP地址,应用系统厂商告知的异常登录IP地址,存在垃圾数据等;
护网期间,安全监测分析不同于日常的分析。首先,日常安全监测分析要对流量进行全面分析,包括终端分析和服务器方面的分析,而护网期间,因为主要面对的威胁来自攻击队的网络攻击,主要形式为通过攻陷目标服务器达到攻击的目的,本质为web攻击,所以我们在护网期间需要重点关注web攻击和web漏洞利用来开展护网防守工作。
SQL注入、跨站脚本攻击、任意文件上传攻击、文件包含、命令执行、敏感信息泄露、爆破攻击、钓鱼邮件等。
事件处置
1、 封堵攻击源IP
客户安全运维组和网络运维组根据攻击事件报告,封禁攻击源IP。
注:如攻击者地址为代理地址(确认为护网攻击者,属于违规演练行为),如果是CDN节点地址,请协调CDN厂商进行封堵。
2、 处置安全事件
各运维组和安全厂商人员根据攻击事件报告,处置安全事件,处置方式包括:安全设备策略调整、系统下线、服务器排查、应用排查、加固整改、系统上线。
3、 上报安全事件
护网上报接口人根据攻击行为报告和处置报告,对攻击事件、威胁处置上报“演练系统上报平台”
第五阶段:总结阶段
全面总结本次攻防演练各阶段的工作情况,包括组织队伍、攻击情况、防守情况、安全防护措施、监测手段、响应和协同处置等,形成总结报告并向有关单位汇报。
针对演练结果,对在演练过程中还存在的脆弱点,开展整改工作,进一步提高目标系统的安全防护能力。
限期整改完成后向监管部门回函,并提出复测。
工作注意事项
“攻击一条线、防守一大片“,从前期我们自己的攻击实践来看,HW攻击和传统的渗透测试完全是两回事,HW攻击的目的性很强”利用一切短板、拿下目标“,也就是说,只要时间人力投入够,没有拿不下的目标。这就给我们接下来要做的防护工作带来了挑战,此处强调基本原则:
攻击是对防护体系的检测,防护体系中的任何短板都有可能被利用,任何一家的监测、防护类产品都不能完全满足要求,而需要互相弥补;防守需要大家共同配合,客户自身、安全服务商、应用服务商、运维服务商等一起“协同防护“。
其他注意事项
1) 从流量威胁分析或者其他安全设备上循环关注内部有没有异常访问域控、堡垒机、邮件系统的异常IP地址,可能是跳板。
2) 针对重点服务器,查看日志,新增样本,新增账号等,每半天看一次,发现可疑内容及时在沟通群里核对,验证后就“及时处置”,并将处置结果及时上报给客户。
3) 护网之前开展漏洞扫描,先查看之前的漏扫渗透报告,作对比分析。
4) 针对外网资产,要做互联网资产发现,漏扫或渗透。如有漏洞,确认敏感时期使用不频繁、又无法修复,可建议暂时关停。
5) 对于服务方提供的漏洞,一定要确认是否在承诺的时间内完成修复。
攻击思路
口令
入侵到内网之后
典型攻击途径
2564
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
