目录
高度重视网络安全工作,按照公安部“护网2020”网络安全攻防演习统一部署,在演习中使用“0Day漏洞逆向利用+线下社工防护+自动化封禁IP”战法,防御来自攻击队的攻击,并主动诱捕攻击者。
一、0Day漏洞之逆向利用
我方针对0Day漏洞的逆向利用目标有两个,一、为我单位建立互联网前沿观察哨,攻击者扫描或攻击时,第一时间预警通知。二、利用0Day漏洞来诱捕攻击者。
我方防守思路如下:
0Day漏洞一直是攻击者的大杀器,无任何有效的防御手段,故在有0Day漏洞时,攻击者很大概率会使用0Day漏洞来攻击防守方。故我方将计就计,使用仿真的0Day漏洞来诱惑攻击者,在攻击者上钩进行攻击时,我方仿真0Day漏洞对我方发出预警,并伺机反控攻击者。
如下为本次案例中的VPN系统0Day漏洞逆向利用的流程图
2019年,某安全厂商的VPN产品爆了0day漏洞,今年又出了新的0day漏洞。故我方猜测该厂商的VPN肯定会成为攻击者重点利用的对象,因此提前准备了vpn仿真蜜罐等待攻击者上钩。我方在VPN蜜罐中内置了反制木马,只要人下载执行了此文件,我方就可以通过蜜罐管理后台进行反控攻击者。
2020年9月16日首次发现攻击者对我方互联网vpn蜜罐进行探测。
9月18日再次检测到该攻击者访问互联网蜜罐的行为,并有访问反制插件的记录。同一时间,发现该攻击者同网段的其他ip对互联网vpn沙箱进行扫描。
本次攻击者的目的为探测、踩点。同时攻击者下载了木马,我方猜测是尝试对VPN系统进行攻击。
在2020年9月21日,上午9点,攻击者执行了反制木马程序,我方迅速通过蜜罐后台对攻击者进行反控,捕获到攻击者使用终端的大量信息,包括:用户信息、进程信息、网卡信息、IP信息、桌面文件信息。
二、线下社工防护
我方针对线下社工的防御目标为:
防止攻击者通过社工方式混入现场对我方网络进行攻击,提高我方人员的警惕意识,为来自未来的不可预知事件做好准备。
我方防守思路如下:
单位大楼加强门禁管理,定时巡检大楼外侧、及时盘查陌生人身份。建立应急响应机制及时处置突发的线下社工事件。
如下为本次案例中的线下社工防护流程图
在2020年9月16日 20:50分。我方内网蜜罐发现攻击者的探测行为。攻击者IP地址为我单位无线网IP,我方第一时间通过无线网IP定位到无线网账号所属人,并确认该行为非无线网账号所属人的操作。故我方判断该行为为线下社工行为。我方马上派人在大楼外巡检,未发现可疑人员,同时与指挥部确认是否为演习行为,在得知为非演习行为后,我方第一时间与管片民警沟通。同时继续监测处置。
该行为持续6天,我方在6天内持续监控封堵恶意攻击行为,且积极进行反线下社工工作。在持续6天的反社工行动中,我方大概确认了攻击者所在的位置,推断该行为是非报备的演习行为。
在为期6天的集团无线网攻击中,我方严防死守,严密监控,仔细推理,积极进行反线下社工工作。在超出我方反溯源能力后,我方及时报警处理,对攻击队进行震慑处理,我方无线网攻击行为得以停止。
三、自动化封禁IP
我方自动化封禁IP的目标为:
防止攻击者攻击者不遵守规定,在非演习时间内攻击,降低我方防守人员的防守压力。
我方自动化封禁思路如下:
收集我防守单位内各个监测设备的告警数据,综合分析,在演习时间段内发出告警,在非演习时间段内自动化封禁高可疑IP。
在本次演习过程中,我方总计分析告警日志1545837条,自动化封禁IP6419个。极大缓解了我方防守人员的防守压力。
四、总结
在本次演习中使用“0Day漏洞逆向利用+线下社工防护+自动化封禁IP”战法。“0Day漏洞逆向利用”战法,利用攻击者急切想打入集团内网的心态,故意露出破绽,引诱攻击者上钩,顺藤摸瓜,抓获攻击者;“线下社工防护”战法,及时监测并阻断了攻击者的攻击,在无法继续溯源的情况下,及时采取相应措施,打退攻击者的进攻;“自动化封禁IP”战法防御了大量来自攻击队的攻击,减轻了防守人员的防守压力,让我方防守人员留出更多精力来应对攻击队的真实攻击
扫一扫
463
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
