网络攻防学习笔记 Day112
红队一般会针对目标系统、人员、软件、硬件和设备同时进行多角度、混合、对抗性的模拟攻击;通过系统提权、控制业务、获取数据等方式,来发现系统、技术、人员和基础架构中存在的网络安全隐患或薄弱环节。
一般来说,红队的攻击可分为三个阶段:情报收集、建立据点和横向移动。
在找到薄弱环节后,红队成员会尝试利用漏洞或社工等方法去获取外网系统的控制权限,这个过程一般称为“打点”或“撕口子”。
弱密码、默认密码、通用密码和已泄露密码通常是红队成员关注的重点。在实际工作中,通过弱密码获得权限的情况占据 90%以上。
红队在实战工作中发现,各行业的安全防护工作具备如下弱点:
1.资产混乱、隔离策略不严格。2.通用中间件未修复漏洞较多。3.边界设备成为进入内网的缺口。4.内网管理设备成为扩大战果的突破点。
蓝队一般是以防守单位现有的网络安全防护体系为基础,在实战攻防演习期间组建的防守队伍。蓝队的主要工作包括前期的安全检查、整改与加固,演习期间的网络安全监测、预警、分析、验证、处置,后期的复盘总结。
蓝队不是由演习中目标系统运营单位一家组成的,而是由目标系统运营单位、安全运营团队、攻防专家、安全厂商、软件开发商、网络运维队伍、云提供商等多方组成的。
红队一般会在前期收集情报、寻找突破口、建立突破据点;在中期横向移动打内网,尽可能多地控制服务器或直接打击目标系统;在后期删日志、清工具、写后门,建立持久的控制权限。针对红队的常用方法,蓝队应对攻击的常用策略可总结为防微杜渐、收缩战线、纵深防御、核心防护、洞若观火等。
集权系统是红队最喜欢攻击的内部系统。一旦集权系统被攻破,则集权系统控制的主机可同样视为已被攻破。集权系统是内部防护的重中之重。蓝队一般可从以下方面做好防护:集权系统主机安全、集权系统访问控制、集权系统配置安全、集权系统安全测试、集权系统已知漏洞加固、集权系统弱密码修改等。
核心目标系统是红队的重点攻击目标,也应重点防护。蓝队需要重点梳理:目标系统和哪些业务系统有联系?目标系统的哪些服务或接口是开放的?传输方式如何?梳理得越细越好。同时还需针对重点目标系统做一次交叉渗透测试,充分检验目标系统的安全性。应协调目标系统技术人员及专职安全人员,专门对目标系统的进出流量、中间件日志进行安全监控和分析。
零信任体系会将访问控制权从边界转移到个人设备与用户上,打破传统边界防护思维,建立以身份为信任基础的机制,遵循先验证设备和用户、后访问业务的原则,不再自动信任内部或外部的任何人、设备和应用,在授权前对任何试图接入网络和访问业务的人、设备或应用都进行验证,并提供动态的细粒度访问控制策略,以满足最小权限原则。
威胁监测手段方面存在的问题主要包括:
没有针对全流量威胁进行监测,导致分析溯源工作无法开展;
有全流量威胁监测手段,但流量覆盖不完全,存在监测盲区;
只关注网络监测,忽视主机层面的监测,当主机发生异常时不易察觉;
缺乏对邮件的安全监测,使得钓鱼邮件、恶意附件在网络中畅通无阻;
没有变被动为主动,缺乏蜜罐等技术手段,无法捕获攻击及进一步分析攻击行为。
紫队在实战攻防演习中,以组织方的角色开展演习的整体组织协调工作。紫队组织红队实施攻击,组织蓝队实施防守,目的是通过演习检验防守单位的安全威胁应对能力、攻击事件检测发现能力、事件分析研判能力和事件响应处置能力,提升防守单位的安全实战能力。
版权声明: 本文为 InfoQ 作者【穿过生命散发芬芳】的原创文章。
原文链接:【http://xie.infoq.cn/article/a5524e74e1a17a16a8e11b88e】。文章转载请联系作者。
评论