由于本系列文章较长,故分为五个部分,如需回顾前文,可点击下方链接:
打工人眼中攻防演练蓝军那些人那些事儿(一)
打工人眼中攻防演练蓝军那些人那些事儿(二)
打工人眼中攻防演练蓝军那些人那些事儿(三)
打工人眼中攻防演练蓝军那些人那些事儿(四)
打工人眼中攻防演练蓝军那些人那些事儿(五)
攻防皆有道,百战护山河。网络实战攻防演习,是指以实际运行的信息系统为保护目标,通过有保密、有授权、有监督的攻防对抗,最大限度地模拟真实的网络攻击,以此来检验信息系统的实际安全性和运维保障的实际有效性。
通过网络实战攻防演习,实现了贯彻落实好总书记关于建设网络强国的系列重要指示精神和批示要求,全面提升了我国关键信息基础设施整体安全防护水平,强化重要行业部 门与公安机关的协同联动机制,构建了多部门协同合作、共同提高、攻防相长的网络安全综合防御体系。近年来随着攻防实战演习的范围越来越广,周期越来越长,规模越来越大,安全厂商、安全服务公司等乙方公司客户粘性逐渐提高,收入逐渐提高,网络安全强国中的战略地位也逐渐提高。参考各位大佬和集团一些培训,平时整理了一部分,今天整理出来给大家分享下打工人眼中攻防训练防守方的那些人那些事儿,希望各方大佬不吝赐教,多多斧正。
介绍防守方之前,先了解下以往攻防演习的情况
攻击方:
不按要求攻击:不在规定的时间、规定地点进行攻击行为
留存敏感信息 :采用个人办公电脑进行攻击、违规留存敏感信息
攻击不计后果 :攻击人员不计攻击后果,采取侵害、破坏系统的行为
攻击人员操作不规范:攻击人员操作不规范、上传木马不删除、留后门
社工钓鱼明显增多:绞尽脑汁社工和钓鱼甲方人员
安防设备成为攻击重点:众所周知,20年的攻防演练大黑阔们给安全厂商和安全软件公司狠狠上了一课
防守方:
员工意识薄弱,社工攻击和近源攻击逐渐增多
存在APT攻击、零日漏洞攻击
互联网信息泄漏严重 、网络暴露面太多
内部集权系统和核心业务系统缺少隔离防护
弱口令,尤其是内网仍大量存在
陈年漏洞长期暴露,内网设备漏洞升级不及时尤为严重
供应链疏于管控-软件外包、外部服务提供商等成为迂回攻击的重要通道
知己知彼,先了解下常见攻击思路:
攻击方同样是时间紧任务重,所以他们攻击者一般:目标明确、步骤清晰、控制成本(高权限账户、安全运维终端和集中管控设备),多采用反检测反清理(样本隐藏、快速扩撒、清除日志和减少扫描)、三流(扫描流、数据流和控制流)分立技术。
攻击者常见攻击行为:
(1)信息收集
此前一文章已经整理比较详细:https://www.freebuf.com/articles/web/243210.html
(2)权限提取
利用相关网站、邮件系统、中间件等应用的漏洞打开入口。
攻击APP、公众号、小程序等移动应用获取权限。
对内部员工发动水坑、钓鱼邮件、QQ聊天等社工或类APT攻击。
迂回攻击下属单位,进入内网后绕道攻击总部目标。
攻击供应链,挖掘漏洞或者利用已分配权限进入内网。
利用第三方运维人员、内部员工违规外联等方式入侵专网。
攻击第三方供应商、外包团队等,利用第三方接入网络攻击目标单位。
利用弱口令、密码复用、逻辑漏洞等潜在问题获取权限。
具体漏洞利用链接:https://blog.riskivy.com/2020攻防演练弹药库-您有主机上线请注意
(3)扩大战果
控制内部域控、集全设备、云平台、云边界等系统以点打面。
搜索多网卡主机、4A系统、网站等资产持续渗透。
攻击内部核心主机获取重要系统权限。
防守方工作流程,后面我们会每个阶段单独拿出来分享。
第一阶段:统筹准备阶段
统筹准备阶段是在正式攻防演习防护工作开始前,应充分做好事前准备工作,为后续其他阶段工作提供有效的支撑。主要是防守方案编制,组建队伍,明确演练流程和分工,进一步梳理本次参演系统的目标系统、网络架构、网络安全设备、和数据流等相关资产信息,输出真实的网络拓扑和资产列表,整理并确定目标系统的网络安全专项应急预案。
第二阶段:自查摸底阶段
自查摸底阶段主要为安全自查和整改阶段,主要