“
2019年3月美國(guó)國(guó)防部的“網(wǎng)絡(luò)閃電2019”網(wǎng)絡(luò)實(shí)戰(zhàn)演習(xí);
2019年4月歐盟的“EU ELEx19” 網(wǎng)絡(luò)實(shí)戰(zhàn)演習(xí);
2019年6月美歐多國(guó)的 “軍刀衛(wèi)士19” 網(wǎng)絡(luò)實(shí)戰(zhàn)演習(xí);
……
”
隨著網(wǎng)絡(luò)安全攻防演練的常態(tài)化,用戶在構(gòu)建網(wǎng)絡(luò)實(shí)戰(zhàn)防護(hù)能力時(shí)仍面臨許多挑戰(zhàn)。結(jié)合現(xiàn)有的安全標(biāo)準(zhǔn)規(guī)范和行業(yè)相關(guān)實(shí)踐,各政企事業(yè)單位應(yīng)如何落地實(shí)踐呢?
在攻防演練的全過(guò)程中,攻擊方會(huì)利用一切手段來(lái)突破防線,從大量的攻防演練案例來(lái)看,攻擊方常用戰(zhàn)術(shù)思路如下:
1. 前期偵查
● 通過(guò)百度文庫(kù)、Github、求職APP等渠道收集有用信息。
2. 突破防線
● 利用網(wǎng)站、郵件系統(tǒng)、JAVA等應(yīng)用的漏洞打開入口。
● 攻擊APP、公眾號(hào)、小程序等移動(dòng)應(yīng)用獲取權(quán)限。
● 對(duì)內(nèi)部員工發(fā)動(dòng)水坑、釣魚郵件、QQ聊天等社工或類APT攻擊。
● 迂回攻擊下屬單位,進(jìn)入內(nèi)網(wǎng)后繞道攻擊總部目標(biāo)。
● 攻擊供應(yīng)鏈,挖掘漏洞或者利用已分配權(quán)限進(jìn)入內(nèi)網(wǎng)。
● 利用第三方運(yùn)維人員、內(nèi)部員工違規(guī)外聯(lián)等方式入侵專網(wǎng)。
● 攻擊第三方供應(yīng)商、外包團(tuán)隊(duì)等,利用第三方接入網(wǎng)絡(luò)攻擊目標(biāo)單位。
● 利用弱口令、密碼復(fù)用等潛在問(wèn)題獲取權(quán)限。
3. 擴(kuò)大戰(zhàn)果
● 控制內(nèi)部域控、堡壘機(jī)、云平臺(tái)、單點(diǎn)登錄等系統(tǒng)以點(diǎn)打面。
● 搜索多網(wǎng)卡主機(jī)、4A系統(tǒng)、網(wǎng)站等資產(chǎn)持續(xù)滲透。
● 攻擊內(nèi)部核心主機(jī)獲取重要系統(tǒng)權(quán)限。
防守方網(wǎng)絡(luò)安全體系的健壯性決定了攻擊方的突破難度,從過(guò)去的攻防演練來(lái)看,防守方普遍存在以下問(wèn)題:
● 互聯(lián)網(wǎng)暴露面過(guò)多:對(duì)外的服務(wù)太多,沒能有效維護(hù)和管理。
● 弱口令大量存在:除了內(nèi)網(wǎng)的弱口令問(wèn)題外,防守方對(duì)云平臺(tái)、大數(shù)據(jù)、物聯(lián)網(wǎng)等弱口令問(wèn)題重視程度不夠。
● 缺乏縱深防護(hù)體系:重視外網(wǎng)邊界防護(hù),輕視內(nèi)網(wǎng)防護(hù)。
● 重要系統(tǒng)防御單薄:如域控系統(tǒng)、堡壘機(jī)等集權(quán)系統(tǒng)沒有重點(diǎn)加固。
● 敏感信息外部散播:網(wǎng)絡(luò)拓?fù)洹⒂脩粜畔⒌刃孤对诨ヂ?lián)網(wǎng),成為攻擊方利用點(diǎn)。
● 資產(chǎn)管理不到位:老/舊/僵尸系統(tǒng)清理不及時(shí),容易成為攻擊者的跳板。
● 供應(yīng)鏈?zhǔn)栌诠芸兀?/strong>軟件外包、外部服務(wù)提供商等成為迂回攻擊的重要通道。
● 陳年漏洞長(zhǎng)期暴露:早已披露的陳年漏洞未修復(fù),特別是內(nèi)網(wǎng)的漏洞修復(fù)不夠及時(shí)。
● 員工安全意識(shí)淡薄:內(nèi)部員工缺乏安全意識(shí),容易遭受社工攻擊。
基于對(duì)攻擊方的作戰(zhàn)思路及大量實(shí)戰(zhàn)案例的分析,深信服總結(jié)出“三二一”實(shí)戰(zhàn)防守思路,幫助用戶更有效開展攻防演練備戰(zhàn)工作,提升網(wǎng)絡(luò)安全防御水平。具體措施如下:
三個(gè)重點(diǎn):風(fēng)險(xiǎn)消減、立體保護(hù)、監(jiān)測(cè)響應(yīng)
1. 風(fēng)險(xiǎn)消減指南
● 收斂互聯(lián)網(wǎng)出入口:統(tǒng)一互聯(lián)網(wǎng)出口,或盡量減少不必要的互聯(lián)網(wǎng)出入口,減輕防守壓力。
● 壓縮對(duì)外資產(chǎn)暴露面:如關(guān)閉不需要的網(wǎng)站、對(duì)外提供服務(wù)的業(yè)務(wù)系統(tǒng)等。
● 漏洞排查與修復(fù)/防護(hù):全面開展主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)的漏洞排查和修復(fù)工作,尤其是發(fā)布已久的高危漏洞,如核心系統(tǒng)無(wú)法修復(fù),則部署入侵防御系統(tǒng)進(jìn)行防護(hù)。
● 弱密碼排查與修改:全面排查并修改重要系統(tǒng)、應(yīng)用的弱密碼(如123456、默認(rèn)密碼等),服務(wù)器不應(yīng)復(fù)用相同管理密碼。
● 清理整頓老舊資產(chǎn):清理不用的老舊資產(chǎn)、僵尸資產(chǎn)等,排查并清除應(yīng)用的測(cè)試賬號(hào),防止成為攻擊跳板。
● 搜集外泄敏感信息:在互聯(lián)網(wǎng)上(如文庫(kù)、Github、求職網(wǎng)站等)提前搜集是否存在被泄露的敏感信息,并做出相應(yīng)的處置措施。
● 失陷主機(jī)檢測(cè)處置:對(duì)內(nèi)網(wǎng)所有主機(jī)進(jìn)行排查,檢測(cè)是否存在已經(jīng)失陷但未發(fā)現(xiàn)的系統(tǒng)(如已經(jīng)存在遠(yuǎn)控木馬或后門),并進(jìn)行處置。
● 安全設(shè)備策略調(diào)優(yōu):清點(diǎn)優(yōu)化安全設(shè)備策略,清點(diǎn)不合理、重復(fù)或失效的策略,并對(duì)策略進(jìn)行細(xì)化。
● Wi-Fi安全檢測(cè)加固:對(duì)無(wú)線網(wǎng)絡(luò)安全情況進(jìn)行梳理,消除弱密碼,發(fā)現(xiàn)并關(guān)停內(nèi)部用戶私接Wi-Fi網(wǎng)絡(luò)。
● 供應(yīng)鏈?zhǔn)崂恚?/strong>加強(qiáng)對(duì)外包人員、外部供應(yīng)商的監(jiān)督和管理,對(duì)外包維護(hù)的信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)排查和加固。
● 加強(qiáng)員工安全意識(shí):可對(duì)內(nèi)部員工進(jìn)行安全意識(shí)培訓(xùn),減少被釣魚郵件、社工等方式突破的風(fēng)險(xiǎn)。
● 安全加固效果驗(yàn)證:對(duì)加固完的網(wǎng)絡(luò)防御能力進(jìn)行評(píng)估,如滲透測(cè)試等,找到潛在風(fēng)險(xiǎn)點(diǎn)進(jìn)行修復(fù)。
2. 立體保護(hù)指南
● 補(bǔ)齊縱向防護(hù)能力:建立南北向網(wǎng)絡(luò)安全縱深防護(hù)體系,防止一道防線被突破滿盤皆輸。使用如下一代防火墻、WAF、API網(wǎng)關(guān)、HIDS等建立多層防御體系,增加攻擊者邊界突破的難度。
● 內(nèi)部網(wǎng)絡(luò)分區(qū)分域:不同業(yè)務(wù)類型與安全等級(jí)的網(wǎng)絡(luò)區(qū)域盡量劃分為不同的網(wǎng)絡(luò)安全區(qū)域,如劃分為辦公區(qū)、互聯(lián)網(wǎng)區(qū)、內(nèi)網(wǎng)應(yīng)用區(qū)等。
● 域間安全隔離防護(hù):在分區(qū)分域的基礎(chǔ)上,針對(duì)各個(gè)區(qū)域邊界建立不同的安全防護(hù)措施,加大攻擊方橫向滲透的難度。
3. 監(jiān)測(cè)響應(yīng)指南
● 內(nèi)網(wǎng)攻擊行為監(jiān)測(cè):部署內(nèi)網(wǎng)安全檢測(cè)設(shè)備,防止攻擊者進(jìn)入內(nèi)網(wǎng)持續(xù)突破無(wú)感知,目前業(yè)界較主流技術(shù)包括全流量監(jiān)測(cè)分析系統(tǒng)、惡意文件檢測(cè)沙箱系統(tǒng)等。
● 終端異常行為監(jiān)測(cè):在終端系統(tǒng)上部署如EDR等安全軟件,對(duì)終端行為進(jìn)行監(jiān)測(cè),同時(shí)對(duì)終端安全日志進(jìn)行統(tǒng)一收集、分析。
● 反向溯源與取證:對(duì)于更高的溯源與反向打擊要求,在內(nèi)網(wǎng)建立蜜罐誘捕系統(tǒng),對(duì)攻擊方進(jìn)行完整的取證和溯源。
二項(xiàng)加強(qiáng):強(qiáng)化關(guān)鍵系統(tǒng)防護(hù)、路徑防護(hù)
1. 強(qiáng)化關(guān)鍵系統(tǒng)防護(hù)措施
● 集權(quán)系統(tǒng)強(qiáng)化防護(hù):對(duì)內(nèi)部的核心業(yè)務(wù)系統(tǒng)、關(guān)鍵集權(quán)系統(tǒng)(如域控、堡壘機(jī))等進(jìn)行漏洞檢測(cè)和修復(fù),并對(duì)其安全加固。
● 對(duì)外應(yīng)用強(qiáng)化防護(hù):加強(qiáng)互聯(lián)網(wǎng)相關(guān)應(yīng)用的防護(hù),如WEB網(wǎng)站、APP應(yīng)用等的安全防護(hù)。
● 工控系統(tǒng)強(qiáng)化防護(hù):加強(qiáng)工控網(wǎng)絡(luò)邊界安全防護(hù),并對(duì)工控網(wǎng)絡(luò)隔離情況進(jìn)行排查,看是否存在非法訪問(wèn)路徑。
2. 強(qiáng)化關(guān)鍵路徑防護(hù)措施
● 梳理關(guān)鍵路徑信息:對(duì)到達(dá)關(guān)鍵系統(tǒng)的路徑進(jìn)行梳理,關(guān)閉不必要的連通路徑,并對(duì)相應(yīng)的用戶進(jìn)行權(quán)限最小化的管控措施。
● 關(guān)鍵路徑強(qiáng)化防護(hù):對(duì)能夠到達(dá)關(guān)鍵系統(tǒng)的相關(guān)路徑,強(qiáng)化安全防護(hù)措施,如部署多套異構(gòu)的安全設(shè)備在關(guān)鍵路徑上,以加強(qiáng)安全防護(hù)。
一個(gè)中心:安全運(yùn)營(yíng)中心
建立安全運(yùn)營(yíng)中心:安全運(yùn)營(yíng)中心作為防守方的安全大腦,對(duì)所有網(wǎng)絡(luò)流量、日志等進(jìn)行關(guān)聯(lián)分析、處置。在安全運(yùn)營(yíng)中心上建立工單系統(tǒng)及事件處置流程,利用SOAR或其它自動(dòng)化的流程對(duì)安全事件進(jìn)行告警、響應(yīng)和處置。
深信服“三二一”模型可幫助攻防演練的防守方開展實(shí)戰(zhàn)防守工作,結(jié)合“人機(jī)共智”的常態(tài)化MSS安全運(yùn)營(yíng)服務(wù),幫助用戶提升網(wǎng)絡(luò)安全實(shí)戰(zhàn)能力,實(shí)現(xiàn)“始于演練,精于實(shí)戰(zhàn)”,有效提升用戶網(wǎng)絡(luò)安全防御能力,真正實(shí)現(xiàn)“始于演練,精于實(shí)戰(zhàn)”。
智能手機(jī)點(diǎn)驗(yàn)分析系統(tǒng)集中文印系統(tǒng)建設(shè)實(shí)施方案漫反射激光語(yǔ)音偵聽系統(tǒng)基于RFID技術(shù)的涉密載體管控系統(tǒng)沈陽(yáng)軍區(qū)推進(jìn)涉密電子信息集中管控系統(tǒng)建設(shè)紀(jì)實(shí)網(wǎng)絡(luò)安全攻防演練——防守作戰(zhàn)指南北信源計(jì)算機(jī)終端檢查系統(tǒng)睿語(yǔ)加密對(duì)講機(jī),純數(shù)字加密,全程保護(hù)您的通話計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)方案“硬核”武器USB的101種攻擊方式:靜默監(jiān)聽完全物理隔絕內(nèi)網(wǎng)外網(wǎng)的數(shù)據(jù)泄露---光盤擺渡系統(tǒng)在軍隊(duì)信息安全的應(yīng)用指掌易便攜式手機(jī)合規(guī)檢測(cè)工具 助力涉密單位檢測(cè)工作高效進(jìn)行畫方科技網(wǎng)絡(luò)準(zhǔn)入管理系統(tǒng)——技術(shù)白皮書“翻墻有兇險(xiǎn),觸網(wǎng)須謹(jǐn)慎”華鑫杰瑞防網(wǎng)絡(luò)“翻墻”系統(tǒng)方案5G——便攜違規(guī)手機(jī)及賬外機(jī)快速查找定位設(shè)備專網(wǎng)網(wǎng)絡(luò)安全防護(hù)解決方案防止激光竊聽 激光阻斷膜產(chǎn)品介紹手機(jī)數(shù)據(jù)智能糾察員——虛擬身份核驗(yàn)系統(tǒng)DAT-205C多功能信號(hào)屏蔽器-軍用、公安部雙認(rèn)證手機(jī)探測(cè)門可以探測(cè)到移除SIM卡和拔掉電池的手機(jī)嗎?
