網絡安全

講千百次不如打一次CONTENTS從網絡實戰攻防角度探索網絡攻擊通過實戰攻防，看真實安全狀態面對實戰攻防，協同防守應如何開展以運營角度看網絡安全防護CONTENTS從網絡實戰攻防角度探索黑客攻擊1門戶網站郵件系統線上教育類系統等保三級及以上系統攻擊目標單位及系統的選擇網絡攻擊的目的攻破業務系統安全防御不限攻擊路徑，不限攻擊手段以提權、控制業務、獲取數據為最終目的旁站攻擊暴力破解WEB滲透郵箱滲透內網攻擊……實戰攻擊中的“助推劑”內網弱口令現象嚴重存在大量未修復的已知漏洞內網APT攻擊毫無感知外網的0Day攻擊毫無應對能力威脅情報未形成共享重大安全事件尚未形成應對能力攻擊分析手段不足固證溯源能力不強受攻擊面威脅分析響應處置威脅發現6CONTENTS通過實戰攻防，看真實安全狀態2什么是高級持續威脅（APT攻擊）APT攻擊一般會針對目標系統、人員、軟件、硬件和設備同時執行的多角度、混合、持續性的攻擊；實現系統提權、控制業務、獲取數據等目標，來發現系統、技術、人員和基礎架構中存在的網絡安全隱患或薄弱環節。APT組織人員并不是一般意義上的電腦黑客，其需要的是全面的攻防能力，而不僅僅是一兩招很牛的黑客技術。一支攻擊隊人員一般由3人組成，設立一名隊長。其他2人則分別在情報收集、打點、內網等方面有所專長。攻擊隊人員分工明確、配合默契，具備在實戰中指哪打哪的能力。APT組織成員分工明確

情報收集、打點能力、建立據點、搭建隧道等方面能力內網滲透、橫向移動、域滲透等方面能力隊長APT組織中的能力較強者，在打點或內網滲透具備高超的能力水平，有很強的組織意識，能夠在攻擊隊工作中因地制宜、審時度勢、隨機應變。隊員隊員網絡攻擊“三板斧”情報收集建立據點橫向移動11情報收集組織架構：單位部門劃分、人員信息、工作職能、下屬單位等IT資產：域名、IP地址、C段、開放端口、運行服務、WEB中間件、WEB應用、移動應用、網絡架構等敏感信息泄露：代碼泄露、文檔信息泄露、郵箱信息泄露、歷史漏洞泄露信息等方面供應商信息：相關合同、系統、軟件、硬件、代碼、服務、人員等相關信息建立據點——通用漏洞WeblogicWebsphereJbossTomcatjetty中間件漏洞CMS系統開發框架、組件Struts2ThinkphpSpringShirofastjsonjeecmswordpressdrupalTrswcmhanwebphpcmsDiscuzDedecms在找到薄弱環節后，攻擊者專家會嘗試利用漏洞或社工等方法去獲取外網系統控制權限，一般稱之為“打點”或撕口子橫向移動——建立隧道目標可連通外網目標服務器不能連通外網可直接訪問目標機器反向隧道FRPEwsocksCobalt

strike其他正向http隧道reGeorgreDuh自研隧道其他正向隧道VPNSSH隧道Sock5代理其他14攻擊隊套路——常用的攻擊戰術利用弱口令獲得權限利用社工來進入內網利用旁路攻擊實施滲透秘密滲透與多點潛伏弱密碼、默認密碼、通用密碼和已泄露密碼通常是攻擊者專家們關注的重點。實際工作中，通過脆弱口令獲得權限的情況占據90%以上。有很多管理員為了管理方便，用同一套密碼管理不同服務器。當一臺服務器被攻陷并竊取到密碼后，進而可以擴展至多臺服務器甚至造成域控制器淪陷的風險。計算機“從來”不會犯錯誤，程序怎么寫，邏輯便怎么執行；在一臺計算機上怎樣執行，在另外一臺計算機也同樣執行,很多情況下，當攻擊者專家發現搞系統困難時，通常會把思路轉到“搞人”（社工、釣魚等）防守工作中，有時總部的網站防守得較為嚴密，網絡攻擊很難直面硬鋼，撬開進入內網的大門。此種情況下，通常不會去硬攻城門，而是會想方設法去找“下水道”，或者挖地道去迂回進攻。在工作中，通常不會僅僅站在一個據點上去開展滲透工作，而是會采取不同的Webshell、后門，利用不同的協議來建立不同特征的據點。攻擊隊三十六計——經典攻擊實例渾水摸魚——社工釣魚突破系統聲東擊西——混淆流量躲避偵察順手牽羊——巧妙種馬實施控制李代桃僵——旁路攻擊搞定目標暗度陳倉——迂回滲透取得突破渾水摸魚--社工釣魚突破系統

背景：網絡攻擊團隊接到這樣一個工作目標：某單位的學籍管理系統。通過前期踩點和信息收集發現，目標單位外網開放系統非常少，也沒啥可利用的漏洞，很難通過打點的方式進入到內網。不過還是讓他們通過網上搜索以及一些開源社工庫中收集到一批目標單位的工作人員郵箱列表，通過爆破獲取了郵箱內容，并釣魚偽裝成內部人員群發了帶有木馬的郵件；有部分人員點擊打開了郵件，繼而使被控制了郵箱，并采用渾水摸魚不斷地獲取更多的郵箱權限、系統權限，根據目標角色針對性設計釣魚郵件，最終成功拿下目標！攻擊過程：弱口令獲取郵箱賬號權限通過對該賬號歷史發送郵件篩選改造添加“附件”再發送有針對性的發送郵件給內部其他人員收件人打開郵件“附件”，控制更多郵箱權限通過不斷地獲取更多的郵箱權限、系統權限，根據目標角色針對性設計釣魚郵件，小D最終成功拿下目標聲東擊西--混淆視聽躲避偵察

背景：小Y和所帶領的團隊就遭遇了這么一次：剛剛創建的跳板幾個小時內就被阻斷了；剛剛上傳的Webshell過不了幾個小時就被查殺了。攻擊打到哪兒，防守單位就根據流量威脅審計跟到哪，不厭其煩，團隊始終在目標的外圍打轉。沒有一個可以維持的據點，就沒辦法進一步開展內網突破。小Y和團隊分析審計設備的缺點及對方沒有專業運營人員的缺點，制定了一套聲東擊西的攻擊方案。攻擊過程：多線開戰，吸引火力側面攻擊，直取重要權限滲透內網，建立多個據點橫向滲透，鞏固權限，備份通道隱藏蹤跡深度潛伏暗渡陳倉--迂回滲透取得突破背景：網絡安全建設較為完善的客戶，通常都會嚴防死守、嚴陣以待，時時刻刻盯著從外網進來的所有流量，不管你攻還是不攻，他們始終堅守在那里。發現有可疑IP立即成段成段地封堵，一點機會都不留。此時，從正面硬剛顯然不劃算，攻擊者一般會采取暗度陳倉的方式，繞過防守線，從其他沒有防守的地方去開展迂回攻擊，小M這回遇到的就是這樣一個攻擊目標；小M團隊在確定攻擊目標后，對目標企業的域名、ip段、端口、業務等信息進行收集，并對可能存在漏洞目標進行嘗試性攻擊。結果發現大多數目標要么是都已關閉，要么是使用高強度的防護設備。在沒有0day且時間有限情況下，小M決定放棄正面突破，采取暗度陳倉策略。通過天眼查網站，小M了解到整個公司的子公司及附屬業務分布情況，目標業務覆蓋了香港、臺灣、韓國、法國等地，其中香港包涵業務相對較多，極大可能有互相傳送數據及辦公協同的內網，故決定選擇從香港作為切入點。攻擊過程：外圍信息采集，確定攻擊策略發現企業架構，確定分支突破點利用分支與目標聯系，向上滲透；橫向滲透，獲取目標權限獲取價值數據攻擊者眼中的防守弱點資產混亂，隔離策略不嚴格通用中間件未修復漏洞太多邊界設備成為進入內網的缺口內網管理設備成擴大戰果突破點很多客戶對自身資產情況比較混亂，沒有嚴格的訪問控制（ACL）策略，且辦公網和互聯網之間大部分相通，可以直接使遠程控制程序上線。幾乎所有行業的下級單位和上級單位的業務網都可以無策略控制完全互通，攻擊者往往可以輕易地實現實施從子公司入侵母公司，從一個部門入侵其他部門的策略。通過中間件來看，Weblogic、Websphere、Tomcat、Apache、Nginx、IIS都有使用。Weblogic應用比較廣泛，因存在反序列化漏洞，所以常常會被作為打點和內網滲透的突破點從邊界設備來看，大部分行業都會搭建VPN設備，可以利用VPN設備的一些SQL注入、加賬號、遠程命令執行等漏洞開展攻擊，亦可以采取釣魚、爆破、弱口令等方式來取得賬號權限，最終繞過外網打點環節，直接接入內網實施橫向滲透。從內網系統和防護設備來看，大部分行業都有堡壘機、自動化運維、虛擬化、郵件系統和域環境，雖然這些是安全防護的集中管理設備，但往往由于缺乏定期的維護升級，反而都可以作為開展權限擴大的突破點。CONTENTS面對實戰攻防，協同防守應如何開展3防守工作“三步走”備戰階段-不打無準備之仗實戰階段-全面監測及處置戰后整頓-實戰之后的改進備戰階段——不打無準備之仗首先充分地了解自身安全防護狀況與存在的不足技術方面：及時發現安全隱患和薄弱環節，有針對性地開展自查工作，進行安全整改加固管理方面：建立合理的安全組織架構、建立有效的工作溝通機制運營方面：成立防護工作組并明確工作職責，責任到人系統資產梳理安全基線檢查網絡安全策略檢查Web安全檢測關鍵網絡安全風險檢查安全措施梳理和完善、應急預案完善與演練等組織架構：明確工作職責具體工作小組：針對性地制定工作計劃、技術方案、工作內容，責任到人，明確到位實時作戰指揮群：實現快速、有效的工作溝通和信息傳遞開展并落實技術檢查、整改和安全監測、預警、分析、驗證和處置等運營工作，加強安全防護工作必須以監測發現安全威脅、漏洞隱患為前提全流量安全威脅檢測分析系統是防護工作的重要關鍵節點，并以此為核心，有效地開展相關防護工作。實戰階段——全面監測及處置做好全局性分析研判工作全面布局安全監測預警提高事件處置效率效果核心環節人員要具備攻防技術能力，熟悉網絡和業務發揮專家和指揮棒的作用向前，對監測人員發現的攻擊預警進行分析確認并溯源向后，指導協助事件處置人員對確認的攻擊進行處置。在網絡邊界、內網區域、應用系統、主機系統等方面全面布局安全監測手段盡量多使用全流量威脅檢測、網絡分析系統、蜜罐、主機加固等手段，只要不影響業務，監測手段越多元化越好。安全事件發生后，最重要的是在最短時間內采取技術手段遏制攻擊、防止蔓延。事件處置環節，應聯合網絡、主機、應用和安全等多個崗位人員協同處置。戰后整頓——實戰之后的改進攻擊結束也是防護工作改進的開始全面復盤分析，總結經驗、教訓加固安全漏洞隱患，完善安全防護措施，優化安全策略，強化人員隊伍技術能力防守隊應對的常用策略防微杜漸——防范被踩點收縮戰線——收斂攻擊面縱深防御——立體防滲透守護核心——找到關鍵點洞若觀火——全方位監控盡量防止本單位敏感信息泄露在公共信息平臺，加強人員安全意識，不準將帶有敏感信息的文件上傳至公共信息平臺安全意識培訓安全運營部門應定期在一些信息披露平臺搜索本單位敏感詞，查看是否存在敏感文件泄露情況門用于防盜，窗戶沒關嚴也會被小偷得逞防守者一定要充分了解自己暴露在互聯網的系統、端口、后臺管理系統、與外單位互聯的網絡路徑等信息戰爭中的縱深防御理論就很適用于網絡防守。互聯網端防護、內外部訪問控制（安全域間甚至每臺機器之間）、主機層防護、重點集權系統防護、無線網絡防護、外部網絡接入防護甚至物理層面的防護，通過層層防護，盡量拖慢攻擊者擴大戰果的時間，將損失降至最小。核心目標系統是攻擊者的重點攻擊目標，也應重點防護，須針對重點目標系統做一次交叉滲透測試，充分檢驗目標系統的安全性。協調目標系統技術人員及專職安全人員，專門對目標系統的進出流量、中間件日志進行安全監控和分析。全流量網絡監控：任何攻擊都要通過網絡，并產生網絡流量主機監控：任何攻擊最終都會落到主機（服務器或終端）上日志監控：對系統和軟件的日志監控同樣必不可少情報監控：高端攻擊者會用0day或Nday漏洞來打擊目標系統、穿透所有防守和監控設備，防守者對此往往無能為力4以運營角度看網絡安全防護網絡安全“責任機制”要健全集成商服務器提供方網絡設備提供方云平臺提供方操作系統提供方數據庫提供方安全系統提供方應用系統提供方……業主方√網絡安全行業責任機制開發商設計方監理方材料提供方……業主方建筑行業責任機制√√√√√√“網絡安全責任機制”未能包含第三方是現階段最大的問題責任之重，受責之痛誰主管誰負責誰建設誰負責誰運營誰負責關于“主體責任”在二戰中的實例二戰中最悲劇的傘兵部隊:首次出征一槍沒放,指揮官卻摔死了!全局規劃，安全內生，用戶&業務視角的基于最佳實踐的網絡安全規劃、協同聯動、全面防護、預算清晰。有規劃有經費基于清晰合理的規劃，合理投資，并可在不增加投資的情況下，通過提升整體防護水平，提高ROI。有人手內部人員能力提升、外部服務人員招聘、第三方安全服務引入，在合理預算前提下全面提升人的能力。有運營業務和安全聚合應變，人、物、事聚合應變，基于SOP和評價指標體系的閉環安全運營體系。“四有”有效保障信息化安全并形成PDCA的良性循環。PDCA良性循環防護要點1：規劃先行

防護要點2--明確的網絡安全責任劃分機制明確主體定義責任確認責任各擔其責一、網絡運營者應按照網絡安全等級保護制度履行“網絡安全保護義務”，特別是制定和優化安全管理制度（以及信息實名與保護制度等），實現對有限人財物的合理配置，并精確到“直接負責的主管人員和其他直接責任人員”，否則有可能承擔從警告、罰款到關停、吊銷直至刑事責任。落實網絡安全責任制，明確責任主體、網絡安全標準，保護對象、保護層級、保護措施。管理責任基礎建設責任運營責任監管責任網絡運營者、產品\服務提供者、產業開發商，各自履行網絡安全責任義務。二、網絡產品/服務提供者需應對國家標準的“強制性要求”，實現質量（缺陷、漏洞、期限）、服務（保密、水平）的協議層面符合；涉及網絡關鍵設備和網絡安全專用產品的，法律服務人員還可提供對認證檢測資質與評測協議的審查、目錄時效性等方面的法律支持。防護要點2--明確的網絡安全責任劃分機制明確網絡安全責任機制的效益一：網絡安全的建設單位的權益得到根本性保障。二：網絡安全建設的效果得到根本性驗證。三：網絡安全行業健康的發展。主體責任服務商防護要點3--精確管理2識別內部和外部服務商、用戶、第三方服務商安全責任及職責劃分將安全控制的關鍵要素與崗位能力和關鍵績效指標相結合，形成切實有效的崗位職責矩陣43設計角色勝任力模型，為每個角色編制能力說明書和安全關鍵績效指標樣本展示1根據安全管理需求及實際情況，