一、 “实战攻防演习”的内容、目的和特点
2016年《网络安全法》发布,出台网络安全演练相关规定:关键信息基础设施的运营者应“制定网络安全事件应急预案,并定期进行演练”。同年“实战攻防演习”成为惯例。由监管部门牵头,每年举办一次,目前参与的机构众多,包括政府单位、事业单位、国企、知名企单位等等。
之后,“网络攻防演练专项行动”已成为一年一度的惯例。不仅仅是涉及范围越来越广,网络安全形势的愈发严峻也加大了业内对网络攻防演练专项行动的关注。大数据、物联网、云计算的快速崛起,以及5G的到来,网络威胁已经成为国家安全的新挑战。“网络安全的本质是对抗,对抗的本质是攻防两端能力的较量 ”。在网络空间对抗中如何实现如同军事演习的攻防演练目的,各单位如何做到与攻击方的斗智斗勇,更是新形势下网络攻防演练专项行动的又一次看点。
“实战攻防演习”是由攻击方和防守方两方组成实时攻防对抗环境,攻击方模拟真实网络中的黑客攻击行为,通过真实的攻击方法、攻击路径对防守目标进行网络攻击,防守方通过安全防护设备、安全监测手段等,实时分析攻击方的目标及采用的攻击手段,展开防御对抗。
“实战攻防演习”旨在检验企事业单位关键信息基础设施和重要信息系统的网络安全防护能力,提升攻击对抗能力的同时锻炼网络安全应急处置队伍,完善应急处置流程和工作机制,提升安全事件应急处置综合能力水平。网络安全事关国计民生,公安部此举有效的带动了国家整体网络安全氛围,提高了网络安全的全民关注度。
2020年的“实战攻防演习”已经是第五次,每年的“实战攻防演习”都会根据上一年的经验进行调整,经过多年的进化,目前的“实战攻防演习”主要有以下特点:
(一) 武器不限,真攻真防
“实战攻防演习”不同于以往以脚本指挥为主的应急演练,在确定攻防双方具体单位后,攻击队伍将完全采用黑客的思路、方法进行攻击,在不恶意影响防守方业务的前提下,几乎所有攻击方式都可以使用,多支攻击队伍穷尽手段进行渗透,这种高强度、高水平的攻击是大多数机构从未面临过的,对防守方来说压力很大。
(二) 攻击目标并非特定系统,而是整个机构所有的系统
“实战攻防演习”中会提前设定防守方的几套主要互联网系统作为目标,但攻击队伍一般不会首先对防守方的主要系统下手,因为主要系统安全防护机制比较全面,很难直接突破。而在实际记分过程中并不是只有攻击主要系统才能得分,而是所有属于防守方的信息资产都可得分,这就造成了攻击方会首先选择较为薄弱的互联网系统作为“入口”,突破进内网后反向对主要系统进行攻击,获取更多攻击成果。
(三) 攻击复杂度较高
根据我们多年的“实战攻防演习”攻击经验,主要攻击方都已经形成了高度协作的攻击机制,甚至部分攻击方除“实战攻防演习”现场的队员外,还有公司的后勤部队支持,团队协作较为紧密。因为有一定时间限制,所以团队有明确的分工,有专门负责信息收集和探测的“情报员”,有专门负责攻坚的“爆破手”等等,攻击效率很高。
(四) 攻击手段不局限于技术手段
除了常见的黑客攻击手段和工具外,“实战攻防演习”攻击方还会采用一些非技术手段进行探测或工具,比如“网络钓鱼”,当系统暂时难以通过攻击主动突破时,攻击队员可能通过电话、邮件等方式欺骗、诱导防守单位人员主动访问一些防守方搭建的含有病毒、木马等有害程序的网站,待防守单位安全意识不高的人员感染恶意程序后,可以绕过安全防护设备,从内部突破形成攻击。
二、 某典型企业安全问题分析
结合新潮信息多年为政企单位、行业客户等提供网络安全服务的经验,我们针对某典型企业互联网和内网两部分分别进行安全分析,总结了第三方角度看到的一些薄弱点,以协助甲方在“实战攻防演习”开始前能做好更充分的防护和准备。
(一) 互联网系统薄弱点
1. 业务复杂安全隐患较多
大中型企业或单位一般业务系统体系庞大,应用场景复杂,省级、市级和各地市分支机构都运营着自己的业务系统,缺乏统一的安全策略,互联网侧的业务众多,网络庞大边界较多,安全威胁和安全隐患也随之增加。
各级网络拥有各自的应用、文件服务器以及工作站,通过远程线路形成公司内部网,统一出口于外部连接。同时由于部分系统存在业务交叉,导致数据会在各系统间横向交互、逻辑联通,存在东西向安全隐患,在近几年的安全服务中也在不同客户系统中多次发现地市间业务系统、地市和省级业务系统存在多点交叉,这也直接导致了互联网安全威胁的增加。
2. 资产管理难以统一
近几年,很多企业里信息资产以每年大约新增十多套信息系统的速度增加,信息系统资产众多,资产变更频繁。要想对这些系统都能做到持久的安全管理和维护,能掌握这些资产是第一位的,但目前大部分企业很难有效的对互联网资产和IP做有效管理,统计资产还需要各下级机构进行逐级上报汇总,借助人工维护效果较差。
同时由于下级业务系统都有自己的互联网出口,虽然现在对系统上线都进行了严格要求,但仍多次出现未经审核资产私自上线的情况,在互联网资产中出现不明的新增资产端口、服务,导致安全边界不可控。
3. 漏洞管理机制存在不足
安全人员、技术人员较少,依靠第三方安全运维难以形成漏洞跟踪机制,无法及时发现安全漏洞和安全威胁。虽然大部分企业购置了安全扫描设备,但依靠传统的人工排查和扫描方式效果较差,无法将漏洞和业务及负责人进行关联,多维度的威胁检测与漏洞检测存在困难,对漏洞的处置、验证及跟踪机制不全,容易导致漏洞遗留、疏漏等风险。
同时,企业在漏洞管理方面还可能存在以下特点:
-
1、修复周期长:虽然企业内部已经要求了高危漏洞修复期限,但目前来看漏洞修复和版本变更会导致修复周期较长。 -
2、版本控制混乱:在实际开发和运维中,我们多次发现多个客户的系统更新迭代存在版本控制问题,在某些信息系统中也多次发现类似版本回滚情况。 -
3、容易复现:因缺少基线和上线规范导致漏洞问题重复出现,还有部分漏洞是在修复漏洞的过程中又产生新漏洞。 -
4、分支机构多异地资产多
部分企业存在众多分支机构,而各分支机构由于缺乏安全有效的防护手段,使得其安全也难以统一管理,使得安全风险不可控,容易引入外部威胁。而在广域网各个节点部署了多个安全设备的组织,往往由于各设备的差异性难以进行统一管理,即使借助soc平台进行统一的安全管理,也很难清晰的了解全网的安全状况,并进行统一管理。
(二) 内网薄弱点
1. 内部网段隔离不足
某行业客户内部网络已经划分了外部域、接入域和内部域,外部域主要是防火墙DMZ区域内对外提供服务的服务器区域;接入域主要包括内部局域网的办公客户端、管理员客户端和第三方访问用户的客户端,同时也包括各分支机构的办公客户端等;内部域主要包括各业务系统的生产服务器和开发、测试服务器。
2. 内网风险多样化
随着网络的发展,内网安全面临着各种安全问题,一旦攻击者进入内网,有可能利用这些漏洞轻而易举的进行提权或横向移动,从而获得更多服务器权限,获取重要资产和数据。针对大部分企业内网的情况,我们总结了几种内网常见风险点。
-
1、系统弱口令问题,根据业务需要,内网存在大量非对外业务系统、办公系统,此类系统多存在大量弱口令; -
2、设备弱口令,办公电脑、服务器、共享打印机、摄像头、堡垒机、网闸、交换机、路由器、防火墙、网络设备弱口令问题; -
3、服务弱口令,如3389、22、ftp、数据库、中间件等服务,存在弱口令漏洞; -
4、补丁修补不及时,内网多数主机、服务器以及相关应用服务补丁修复不及时,如ms17010、中间件漏洞等; -
5、主机、服务器未安装杀毒软件,或安装后没有开启相关防护策略; -
6、由于内网涉及资产较多,运维管理人员缺乏统筹管理手段,无法做到对资产了如指掌。
3. 用户安全意识薄弱
由于不同行业和单位的特性,很多分支机构在较为偏僻的地区,普通员工对于网络安全的理解有限,对于网络安全防范知识和安全意识相对薄弱,在面临综合性网络攻击尤其是社会工程学类攻击时,容易成为渗透和攻击的对象。在安全意识比较薄弱的情况下,还很容易因为人为疏忽导致安全风险。
三、 “实战攻防演习”防守建议
(一) 成立专项工作小组,统筹安排调度
“实战攻防演习”作为一项特殊性、高强度的工作,根据以往经验周期一般在3周到一个月左右,这期间需要调动机构大量资源进行应对,前期准备的越充分,开始后将越从容。由于“实战攻防演习”期间对机构决策响应的时间要求比较高,所以需要统筹调度各部门,各组的工作,实现网络安全的快速反应决策。所以建议为本次活动成立专项小组,同时结合工作小组的工作内容,制定总体工作计划、防护方案,责任到人、明确到岗,按照统筹安排进行进度和质量把控,确保管理工作落实到位,技术工作有效执行。
建议在机构内部设置专项场地,安排专项小组成员与各检测、加固应急小组对接,建立有效的工作沟通机制,统计汇总各组工作进展情况。通过安全可信的即时通讯工具建立实战工作指挥群,及时发布工作通知,共享信息数据,了解工作情况,实现快速、有效的工作沟通和信息传递。
(二) 从机构全局的角度看待“实战攻防演习”,当作一场硬仗
“实战攻防演习”不同于以往的测试或演练,本质上是一种力量对抗,在现有的规则下,防守单位不应该仅仅将防护重心放在平时的重要系统上,应该将所有的信息化资产全盘考虑,尽量对组织的所有关联资产进行盘点,绘制网络空间资产地图。重点应放在摸清、理顺平时不太关注的暗资产(资产台账中没有的或不明晰的)、灰色资产(归属不清或管理职责不清的)。避免出现防御死角,迅速被攻击者攻破。
“实战攻防演习”中的攻击方在一定程度上代表了顶尖的网络攻击能力,所以作为防守方在活动开始前就应该统一认识,防守中的实时对抗是一场硬仗,不仅要拿出机构最顶尖的信息科技力量全力以赴进行防守,还要适当引入外部有经验的成熟队伍进行借力。
(三) 强化“防内”思路,重点考虑内部网段的安全隔离
通常机构在构建防护体系时优先考虑的是如何挡住外部的攻击行为,对于内部网络不同网段的防护或隔离不够重视,“实战攻防演习”中攻击方虽然通过互联网作为攻击入口,但防守方不能仅仅将防守机制放在对外的出口处,这样将导致攻击者一旦突破前端防护,内部网络将再无抵抗能力。结合近几年的“实战攻防演习”经验,缺口往往从我们意识不到的角落开始出现,原本物理隔离的两套网络被突破,从办公系统作为入口突破到生产系统,从信息化系统穿透到工业控制系统的情况屡屡出现。在建立内网的隔离和控制时应该摒弃内部比外部可信的想法,只允许必要的、可信的网络连接通过,可以有效的增加攻击者的攻击难度,避免出现严重的网络穿透事件。
(四) 适当控制对外目标,减少可能的突破点
在近几年的“实战攻防演习”中有部分防守方为了拿到好的评价,在“实战攻防演习”期间直接关停互联网应用,这种方式是违反防守规则的,确实不可取。但作为防护思路借鉴是有利于攻防对抗的,“实战攻防演习”对抗中会消耗大量的资源和人力,在资源有限的情况下,适当收缩、控制互联网资产,收缩战线,将防守力量集中化,能够更有效的保护机构资产。
(五) 重视社会工程学攻击手段,避免人成为突破口
早期,攻击方主要采用技术思路进行攻击,随着“实战攻防演习”的发展,攻击思路逐渐出现了转变,“人”作为了一个很重要的突破口越来越被攻击者关注,也就是社会工程学攻击(简称“社工”),这种攻击的思路是以一个真实的前提作为基础的,也就是机构所有人员的网络安全意识一定不在同一水平,有高有低。比如信息科技部作为科技一线人员,安全意识水平很高,但呼叫中心的员工甚至一些外包人员对于网络安全的认识就没有那么高,去年的“实战攻防演习”中出现了一些典型的社工案例,攻击方通过联系防守方客服人员,谎称自己的订单有问题,通过给客服人员发送带有木马的邮件,获取了客服人员电脑的控制权,进而攻击到企业内网,拿下重要服务器的控制权。同时历届“实战攻防演习”中还出现了以设备网络维修升级、行内客户的名义试图进入基层网点设备间、自助银行设备区或使用我行PC设备的情况。
“人”的安全意识需要从思想入手,在面向“实战攻防演习”时,企业是一个整体,所有员工都是参与者,需要提前通过网络安全意识教育、培训,提高全体员工安全意识。利用典型事故案例教育警示员工,让员工从心底里树立起强烈的安全意识,做到自觉尽职尽责,按章办事、自觉防范事故、排查隐患,活动期间的异常情况及时上报。
(六) 跟攻击方打消耗战,蜜罐和傀儡系统的作用
“蜜罐”本质上是一种对于攻击方进行欺骗的技术,通过在网络上部署一些作为诱饵的主机或应用系统,诱使攻击方对诱饵进行攻击,这样既可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,还可以大大消耗攻击方的精力和时间。
攻击队伍的时间是有限的,不会将大量时间花在同一目标上,所以在有可能的情况下尽量欺骗和误导攻击者,一个由大量高交互、高仿真蜜罐组成的系统,对于攻击者来说,无疑使其陷入了一个迷宫,当攻击者的努力和尝试都是针对蜜罐的,将会消耗他们大量的精力,打击他们的信心,极大地延缓攻击进度。即使蜜罐系统被攻破,攻击者也无法获取任何有价值的信息。在实际的“实战攻防演习”案例中,甚至有攻击队员在花费几天时间后才发现攻击对象是蜜罐,对攻击方的士气造成很大影响;
(七) 1day和0day与常见漏洞的防护
“实战攻防演习”是一场高强度的攻击测试,攻击方在有限的时间里,会选择最简单有效的漏洞同时面向多个攻击目标时进行探测、攻击,根据以往经验,占比最大的安全问题是弱口令,占比一般在40%左右,尤其是暴露在互联网的弱口令(设备或系统)会成为攻击者迅速攻破系统的入口,建议在“实战攻防演习”前集中排查全网的弱口令或默认口令,能够有效的增加攻击方的时间和成本;在使用简单有效的常见漏洞无法攻破系统时,攻击者可能会采用高级漏洞进行尝试,包括0day(未公布的漏洞)和1day(近期刚公布的漏洞)面对此类攻击,实时的防守对抗将启到关键作用。“实战攻防演习”期间防守队员能通过网络流量及系统事件的监测快速有效的跟踪和定位攻击者,对攻击流量进行封堵将起到关键作用。
(八) 建立实时对抗力量,重视攻击的监测和溯源
“实战攻防演习”中我们面临的是顶尖的攻击者,固定的防护体系和策略很难应对这种级别的攻击,所以能否根据攻击情况快速调整防守策略,建立实时防守对抗力量,是防守方成败的关键,根据规则,防守方在成功识别攻击者,找到攻击路径时都可以得分,如果能够对攻击行为进行采集和分析,甚至溯源的情况,还会有大量的奖励得分,所以建议组织一支专门的应急队伍,负责对攻击的实时采集、分析和溯源,争取能够通过防守得分来体现机构防御和实施对抗能力。
最后,“实战攻防演习”是人与人的对抗,所以整个防护体系的关键不是硬件,也不是软件,而是人。只有站在攻击者的角度,考虑攻击场景、行为、习惯,才能更有效的建立防护体系,在“实战攻防演习”中打一个漂亮仗。
E
N
D
关
于
我
们
Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、系统安全、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。
团队作为“省级等保关键技术实验室”先后与哈工大、齐鲁银行、聊城大学、交通学院等多个高校名企建立联合技术实验室,近三年来在网络安全技术方面开展研发项目60余项,获得各类自主知识产权30余项,省市级科技项目立项20余项,研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。对安全感兴趣的小伙伴可以加入或关注我们。
我知道你在看哟
本文分享自微信公众号 - WhITECat安全团队(WhITECat_007)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。
来源:oschina
链接:https://my.oschina.net/u/4593189/blog/4702988