知己知彼,百战不殆。政企安全部门只有在多次经历实战攻防的洗礼,通过实战对攻击队的攻击手法不断深入了解,才能不断发现自身安全防护能力的缺失,防护手段应随着攻击手段的变化升级而进行相应的改变和提升,将是未来的主流防护思想。
攻击者一般会在前期搜集情报,寻找突破口、建立突破据点;中期横向移动打内网,尽可能多地控制服务器或直接打击目标系统;后期会删日志、清工具、写后门、建立持久控制权限。针对攻击队的常用套路,蓝队应对攻击的常用策略可总结为收缩战线、纵深防御、守护核心、协同作战、主动防御、应急处突和溯源反制等。
一、 收缩战线:缩小攻击暴露面
攻击队首先会通过各种渠道收集目标单位的各种信息,收集的情报越详细,攻击则会越隐蔽,越快速。此外,攻击队往往不会正面攻击防护较好的系统,而是找一些可能连防守者自己都不知道的薄弱环节下手。这就要求防守者一定要充分了解自己暴露在互联网的系统、端口、后台管理系统、与外单位互联的网络路径等信息。哪方面考虑不到位、哪方面往往就是被攻陷的点。互联网暴露面越多,越容易被攻击队“声东击西”,最终导致防守者顾此失彼,眼看着被攻击却无能为力。结合多年的防守经验,可从如下几方面收敛暴露面。

1) 敏感信息收集
攻击队会采用社工、工具等多种技术手段,对目标单位可能暴露在互联网上的敏感信息进行搜集,为后期攻击做充分准备。防守队除了定期对全员进行安全意识培训,不准将带有敏感信息的文件上传至公共信息平台外,针对漏网之鱼还可以通过定期开展敏感信息泄露搜集服务,能够及时发现在互联网上已暴露的本单位敏感信息,提前采取应对措施,降低本单位敏感信息暴露的风险,增加攻击队搜集敏感信息的时间成本,为后续攻击抬高难度。
2) 攻击路径梳理
知晓攻击队有可能从哪些地方攻击进来,对防守力量如何部署起关键作用。由于政企机构的网络不断变化、系统不断增加,往往会增加新的系统和产生新的网络边界。防守队一定要定期梳理没每个业务系统的网络访问路径,包括对互联网开放的系统、内部访问系统(含测试系统),尤其是内部系统全国联网的单位更要注重此项梳理工作。
3) 互联网攻击面收敛
一些系统维护者为了方便,往往会把维护的后台、测试系统和高危端口私自开放在互联网上,方便维护的同时也方便了攻击队。攻击队最喜欢攻击的Web服务就是网站后台,以及安全状况比较差的测试系统。蓝队可通过开展互联网资产发现服务,对本单位开放在互联网上的管理后台、测试系统、无人维护的僵尸系统(含域名)、拟下线未下线的系统、高危服务端口、疏漏的未纳入防护范围的互联网开放系统以及其他重要资产信息(中间件、数据库等)进行发现和梳理,提前进行整改处理,不断降低互联网侧攻击入手的暴露。
4) 外部接入网络梳理
如果正面攻击不成,攻击队往往会选择攻击供应商、下级单位、业务合作单位等与目标单位有业务连接的其他单位,通过这些单位直接绕到目标系统内网。防守队应对这些外部的接入网络进行梳理,尤其是未经过安全防护设备就直接连进来的单位,应先连接防护设备,再接入内网。防守队还应建立起本单位内部网络与其他单位进行对接的联络沟通机制,发现从其他单位过来的网络行为异常时,能及时反馈到其他单位,协同排查,尽快查明原因,以便后续协同处置。
5) 隐蔽入口梳理
由于API接口、VPN、WiFi这些入口往往会被安全人员忽略,这往往是攻击队最喜欢突破口,一旦搞定则畅通无阻。安全人员一定要梳理Web服务的API隐藏接口、不用的VPN、WiFi账号等,便于重点防守。

二、 纵深防御:立体防渗透
收缩战线工作完成后,针对实战攻击,防守队应对自身安全状态开展全面体检,此时可结合战争中的纵深防御理论来审视当前网络安全防护能力。从互联网端防护、内外部访问控制(安全域间甚至每台机器之间)、主机层防护、供应链安全甚至物理层近源攻击的防护,都要考虑进去。通过层层防护,尽量拖慢攻击队扩大战果的时间,将损失降至最小。
1) 资产动态梳理
清晰地信息资产是防守工作的基石,对整个防守工作是否顺利开展起决定作用。防守队应该通过开展资产梳理工作,形成信息资产列表,至少包括单位环境中所有的业务系统、框架结构、IP地址(公网、内网)、数据库、应用组件、网路设备、安全设备、归属信息、业务系统接口调用信息等,结合收缩战线工作的成果,最终形成准确清晰地资产列表,并定期动态梳理,不断更新,确保资产信息的准确性,为正式防守工作奠定基础。
2) 互联网端防护
互联网作为防护单位最外部的接口,是重点防护区域。互联网端的防护工作可通过接入第三方云防护平台、部署网络安全防护设备和进行攻击检测两方面开展。需部署的网络安全防护设备包括:下一代防火墙、防病毒网关、全流量分析设备、防垃圾邮件网关、WAF、IPS等。攻击检测方面,如果有条件,可以事先对互联网系统进行一次完整的渗透测试,检测互联网系统安全状况,查找存在的漏洞。
3) 访问策略梳理
访问控制策略的严格与否,与防守工作至关重要。从实战经验来看,严格的访问控制策略,对攻击队都能产生极大地阻碍。防守队应通过访问控制策略梳理工作,重新厘清不同安全域的访问策略,包括互联网边界、业务系统(含主机)之间、办公环境、运维环境、集权系统的访问以及内部与外部单位对接访问、无线网络策略等访问控制措施。
防守队应按照“最小原则”,只给必须使用的用户开放访问权限。按此原则梳理访问控制策略,禁止私自开放服务或者内部全通情况出现。这样,无论是阻止攻击队撕破边界打点,还是增加进入内部后开展横向渗透的难度,都是非常简单有效的手段。通过严格的访问控制措施尽可能地为攻击队制造障碍。
4) 主机加固防护
当攻击队从突破点进入内网后,首先做的就是攻击同网段主机。主机防护强度直接决定了攻击队内网攻击成果的大小。防守队应从以下几个方面对主机进行防护:对主机进行漏洞扫描,基线加固;最小化软件安装,关闭不必要的服务;杜绝主机弱口令,结合堡垒机开启双因子认证登录;高危漏洞必须打补丁(包括装在系统上的软件高危漏洞);开启日志审计功能。部署主机防护软件对服务进程、重要文件等进行监控,条件允许的情况下,还可开启防护软件的“软蜜罐”功能,进行攻击行为诱捕。
5) 供应链安全
攻击队擅长对各行业中广泛使用的软件、框架或设备进行研究储备,发现其中的安全漏洞,在攻防对抗中进行有的放矢,突破防守队网络边界,甚至拿下目标系统权限。
政企机构在安全运营工作中,应重视与供应链厂商建立安全应对机制,要求供应链厂商建立起自身网络环境(如搭建带有客户业务的测试环境,还对互联网提供开放)、产品的安全保障机制(包括源码、管理工具、技术文档、漏洞补丁等方面的管理),一旦暴露出安全问题,应及时给政企机构提供修复方案或处置措施。
同时,供应链厂商也应建立内部情报渠道,提高产品的安全性,为政企机构提供更可靠,更安全的产品和服务。

蓝队应对攻击的常用策略一相关推荐

  1. HW:红队眼中的防守弱点与蓝队应对攻击的常用策略

    HW 红队眼中的防守弱点 一.资产混乱.隔离策略不严格 除了大型银行之外,很多行业对自身资产情况比较混乱,没有严格的访问控制ACL策略,且办公网和互联网之间大部分相通,可以直接使远程控制程序上线. 除 ...

  2. 红蓝对抗-HW红蓝队基本知识

    第一章 什么是蓝队 蓝队,一般是指网络实战攻防演习中的攻击一方. 蓝队一般会采用针对目标单位的从业人员,以及目标系统所在网络内的软件.硬件设备同时执行多角度.全方位.对抗性的混合式模拟攻击手段:通过技 ...

  3. 蓝队攻击的四个阶段(二)

    目录 一,漏洞利用工具 (1)WebLogic 全版本需洞利用工具 (2)Struts2 综合漏洞利用工具 (3)sqlmap 注入工具 (4)vSphere Client RCE 漏洞(CVE-20 ...

  4. 蓝队视角下的企业安全运营

    蓝队应急响应处置案例 一.发现及研判组 [攻击成功分析及举证] 1630308078_612c86eeae5b5a42afaba.png!small?1630308079430 处置建议:排查可疑进程 ...

  5. 如何提高蓝队在实战攻防演习中的防御水平?

    重新认识蓝队体系 背景 随着近几年复杂国际形势的大背景和国内护网活动的锤炼,传统的安全运维/服务类解决方案在面临新的挑战和要求下显得捉襟见肘,日渐吃力.越来越多的组织开始引入红队服务来寻求对信息系统的 ...

  6. 域控服务器排查命令,mimikatz利用zerologon攻击域控服务器相关命令(附蓝队自查方案)...

    0x01 前言 mimikatz 20200918版本支持通过zerologon漏洞攻击域控服务器.下载链接如下https://github.com/gentilkiwi/mimikatz/relea ...

  7. 网络攻防实战演习之蓝队指南

    第一章 概述 背景 网络实战攻防演习是当前国家.重要机关单位和企业组织用来检验网络安全防御能力的重要手段之一,是当下检验对关键信息系统基础设施网络安全保护工作的重要组成部分.网络实战攻防演习通常是以实 ...

  8. 红队蓝队紫队具体是指什么

    红队 什么是红队 红队,是指网络实战攻防演练中的防守一方. 红队一般是以参演单位现有的网络安全防护体系为基础,在实战 攻防演练期间组建的防守队伍.红队的主要工作包括演练前安全检 查.整改与加固,演练期 ...

  9. 2023网络安全HW蓝队面试题汇总

    护网行动是提高国家网络安全防御能力的一种有效手段,而蓝队作为攻防演习中的防守方,也是护网行动的重要一份子. 在这篇文章中,我们将汇总多篇有关护网行动蓝队初级人员面试题的资料,对这些资料进行整合和分析, ...

  10. 渗透测试-红/蓝队Hvv技术手册/面试

    红/蓝队Hvv技术手册/面试 介绍一下自己,喜欢研究的,实战过的项目,得过奖项的感悟. 经常关注的安全平台 基本功 网络协议(HTTP.TCP) 操作系统命令 底层编程开发(应用框架) 加密解密编码 ...

最新文章

  1. 驭势科技引入国家队战略注资,完成超10亿元人民币融资
  2. php跳转app,小程序支持跳转app么
  3. python使用imbalanced-learn的CondensedNearestNeighbour方法进行下采样处理数据不平衡问题
  4. 使用Web.Config Transformation配置灵活的配置文件
  5. 远程计算机无法操作,Win10系统下qq远程不能控制对方电脑(点不动)的完全解决方法...
  6. 易语言逐条读access数据_易语言对ACCESS数据库基础(适合新手)
  7. 从 Google 的一道面试题谈谈数学基础的重要性
  8. 制作唐诗网页代码_分享FrontPage制作网页的几个技巧
  9. android自定义渐变色,Android设置背景渐变色
  10. HAOI 2006 受欢迎的牛 (洛谷2341)
  11. python商城源码_腾讯大佬用了10小时讲完的Python,整整400集,拿走不谢
  12. POJ 2923 Relocation(状压DP)题解
  13. 如何避免出现SQL注入漏洞
  14. VC++ MFC 学习资料
  15. 【指纹识别】基于MATLAB/FPGA的指纹识别算法仿真实现
  16. 汽车电工及电子技术基础【3】
  17. css挪动背景块位置的属性,CSS 背景位置 background-position属性
  18. 基于S3C2410和UDAl34l的嵌进式音频系统设计
  19. 南京航空大学c语言课程设计,南京航空航天大学C语言课程设计报告.doc
  20. 【泛微表单】请假流程中计算请假时长(非系统自带考勤类型)

热门文章

  1. 联想式查单词-YourDict
  2. 重装SPS 2003的一点经验
  3. Google Maps API 中的标注编程
  4. IntelliJ IDEA 无法导入HttpServlet包解决方法
  5. emqx_auth_mysql报错_EMQ插件组合实现物联网边缘平台的设备通信管理
  6. html合并单元格_HTML基础2
  7. koa mysql mongodb_koa如何连接MongoDB
  8. 混合选择集的坐标提起lisp_晓东CAD家园-论坛-A/VLISP-[LISP程序]:请教如何对选择集进行排序-我有(setq ss(ssget _w p0 p1 (list (0 . CIRC...
  9. 【2019上海网络赛:K】Peekaboo(勾股数知c求a和b--数论)
  10. 【CDOJ1330】柱爷与远古法阵(高斯消元+卡精度+概率dp?)