防护手段是落地防护策略的基础,但“不知攻,焉知防”,近年 随着网络攻击的手段、方法的层出不穷,攻击技术的不断发展,红队 的网络防御难度也越来越大,需要不断更新才能更好地保障网络安 全。结合近几年实战攻防演练中蓝队常用的信息收集、钓鱼邮件、供 应链攻击等常用攻击手段和重点,本章将通过五种防护手段来确保防 御策略中信息清理、收缩战线、纵深防护的有效执行。

防信息泄露

信息搜集是攻防活动中攻击者进行的第一步操作,也是非常重要 的一步。为了防止攻击被发现,攻击队一般会采取外围信息收集的策 略,并根据搜集到的数据的质量确定后续的攻击方法或思路。外围信 息收集的主要来源是信息泄露。信息泄露及其处置方式主要分为以下 几类。

防文档信息泄露

许多开发人员、运维人员安全意识不足,例如,为了方便或赚积 分把一些未脱敏文件上传到网盘、文库、运维群等公共平台上,造成 关键文档信息泄露。如果密码、接口信息、网络架构等文档信息泄 露,攻击者会根据泄露信息绕过安全防护,使安全防护形同虚设。

攻击者一般会通过如下几类网站或工具搜索目标单位信息: - 学术网站类,如知网CNKI、Google学术、百度学术; - 网盘类,如微盘Vdisk、百度网盘、360云盘等; - 代码托管平台类,如GitHub、Bitbucket、GitLab、Gitee等; - 招投标网站类,自建招投标网站、第三方招投标网站等; - 文库类,如百度文库、豆丁网、道客巴巴等; - 社交平台类,如微信群、QQ群、论坛、贴吧等。 最受攻击者欢迎的文档信息包括以下几类。

  • 使用手册:VPN系统、OA系统、邮箱等系统的使用手册,其中 的敏感信息可能包含应用访问地址、默认账号信息等。

  • 安装手册:可能包含应用默认口令、硬件设备的内外网地址 等。

  • 交付文档:可能包含应用配置信息、网络拓扑、网络的配置信 息等。

具体处置建议如下。

1)从制度上明确要求敏感文档一律不准上传到网盘或文库,并定

期审查。

2)对第三方人员同样要求涉及本单位的敏感文档,未经合同单位 允许不得共享给项目无关人员,不得上传到网盘、文库、QQ群共享等 公共平台。一经发现,严肃处理。

3)定期去上面提到的各类网站或工具中搜索自己单位的关键字, 如发现敏感文档要求上传者或平台删除。

防代码托管泄露

开发者利用社交编程及代码托管网站,使用户可以轻易地管理、 存储和搜索程序源代码,这些代码托管网站受到了广大程序员们的热 爱。然而,缺乏安全意识的程序员可能会将组织或客户公司的源代码 全部或部分上传到代码托管网站。攻击者找到目标单位源代码后会直 接对源代码进行安全审计,通过白盒测试挖掘系统漏洞,使得部分防 御措施失效或精准绕过防护规则;或者源代码中包含的敏感信息可能 会涉及应用连接的账号和密码、配置信息等重要信息,泄露后会被直 接利用。针对防代码托管泄露的建议如下:

1)在制度上严禁项目源代码公开到代码托管网站; 2)禁止开发人员私自将源代码复制到不可控的电脑上;

3)定期在GitHub、Bitbucket、GitLab、Gitee等各大代码托管网 站上搜索自己单位的关键字,如发现上面有自己单位的源代码,要求 上传者或平台删除。

防历史漏洞泄露

大多数攻击者会在漏洞平台上搜索目标单位系统或与目标单位系 统指纹相同系统的漏洞信息,并根据漏洞信息测试漏洞是否存在,如 果漏洞未修复,则会直接利用。目前主流的漏洞上报平台如下。