网安工程师必备之攻防演练思路

网安工程师必备之攻防演练思路

打点思路

1.打点方向

1.1.目标公司相关

目标直接开放的资产业务等。

1.2. 目标子、孙公司相关

相关单位,这个方法与供应链攻击类似,都是采用迂回战术。一般来说,参与演练的企业总部的安全防护比较严格,很难正面攻破,而其下属单位的防护相比之下则弱很多。此外,一个集团内部各个分公司之间的内网的隔离并不彻底,很容易从一个公司的内网,进入同一集团下另一个公司的内网。

1.3. 供应商(供应链攻击)

这是一种典型的迂回攻击方式。攻击者将目光聚集在目标企业的上下游供应商,比如IT供应商、安全供应商等,从这些上下游企业中找到软件或系统、管理上的漏洞,进而攻进目标企业内部。

 
 
 
1商业购买系统
2软件开发商
3外包业务
4代理商
5招投标文件

2. 打点思路

2.1. 远程WEB

互联网边界资产渗透:几乎所有企业都有部分开放于互联网的设备或系统,比如邮件、官网等。红队会以这些设备或系统的开放性特点,将其作为入侵的切入点。

通用产品组件漏洞利用:信息化产品虽然提高了企业的运行效率,但其自身的安全漏洞也给企业带来了很多潜在隐患。红队在攻防演练中就经常通过利用产品组件的漏洞来达成攻击目标,比如:OA漏洞、中间件漏洞、数据库漏洞等。

0day攻击。在攻防演练中,0day攻击已成为常态,由于0day漏洞能够穿透现有基于规则的防护技术,被视为红队最为有效的手段之一。演习期间,红队不断爆出各类0day漏洞,这些漏洞大部分和暴露在互联网上的Web应用相关,直接威胁到核心系统的安全。

弱口令。除了系统、应用等漏洞以外,红队还会探测目标企业在人员和管理上的漏洞,最典型的方法就是弱密码,包括弱强度密码、默认密码、通用密码、已泄露密码等不同类型。在攻防演练中,红队通过弱密码获得访问权限的比例高达90%。

2.2. 近源渗透

线下门店Wi-Fi

搭建免费Wi-Fi热点

BadUSB

2.3. 社工钓鱼

邮件钓鱼(广撒网+精准钓鱼)

网页钓鱼

电话社工

水坑攻击

防守思路

1. 事前准备阶段

1.1. 资产摸底

通过资产梳理、渗透测试、基线评估等安全服务方式,摸清网络资产底数、评估信息系统的脆弱性、分析网络安全架构等,全面了解和掌握该系统面临的信息安全威胁和风险以及网络边界到标靶系统的所有路径。

1.2. 威胁评估

分析和指出有关网络的安全漏洞及被测系统的薄弱环节,给出详细的检测报告,并针对检测到的网络安全隐患给出相应的修补措施和安全建议。

1.3. 威胁建模

通过分解业务场景——绘制数据流图——评估风险点等步骤划定攻击路径,形成威胁模型。包含:核心资产模型、业务访问模型、网络行为模型、网络威胁模型等。

1.4. 安全加固

通过添加策略优化,部署监测、防护、审计、分析等类型的安全设备和有效措施,将风险降低到最低,以及做到保障时威胁可见、可防、可溯源等综合能力。

1.5. 组织预演

采用实战模式,以红蓝军网络安全对抗进行实战攻击演练,检验响应流程、设备稳定可靠性、整体防御方案的有效性,及时发现问题并整改优化,提升对攻击手法感知的熟悉度和敏捷性。

1.6. 安全培训

安全意识、邮件钓鱼、社工防范、工作流程、安全技术等培训,提高技术人员处置能力以及全员安全意识,预防和减少红队通过社工方式钓鱼攻击非技术人员的尝试和成功率。

2. 事中防守阶段

从攻击监测、攻击分析、攻击阻断、漏洞修复和追踪溯源等全面加强防守,重点关注云服务检测与防御、全景网络边界防护、Web攻击检测与防御、邮件安全、主机安全管控、数据库操作审计、运维操作审计、异常流量分析等,通过全面威胁检测、APT级别的入侵分析、攻击诱捕措施、大数据安全分析,以及网络安全运营平台部署、专家组安全处置响应等方面合理部署,保障演练过程中安全防守效果。

同时,网络攻防经验丰富的蓝队专家现场服务,全程参与并提供安全态势监控、威胁情报值守、安全大数据分析、威胁主动诱捕、演练总结等专家级服务支撑。

3. 事后总结阶段

3.1. 总结汇报

总结攻防演练整体实施报告,包括:组织队伍、攻击情况、防守情况、安全防护措施、监测手段、响应和协同处置等各阶段工作的成果,并形成总结报告上报。

3.2. 整改提升

全面复盘在演练中暴露的脆弱点,并开展整改,进一步提高目标系统的安全防护能力,为下一步安全建设规划提供必要的数据支撑。

4. 参考链接

如何开展一场网络安全实战攻防演练?

https://zhuanlan.zhihu.com/p/143866365END

© 版权声明
THE END
喜欢就支持一下吧
点赞14赞赏 分享
评论 共9条

请登录后发表评论

    • root6的头像-FancyPig's blog披萨会员root6徽章-资深玩家-FancyPig's blog等级-LV6-FancyPig's blog作者0