HW
红队眼中的防守弱点
一、资产混乱、隔离策略不严格
除了大型银行之外,很多行业对自身资产情况比较混乱,没有严格的访问控制ACL策略,且办公网和互联网之间大部分相通,可以直接使远程控制程序上线。
除了大型银行与互联网行业外,其他很多行业在DMZ区和办公网之间不做或很少做隔离,网络区域划分也不严格,给了红队很多可乘之机。
此外,几乎所有行业的下级单位和上级单位的业务网都可以互通。而除了大型银行之外,其他很多行业的办公网也大部分完全相通,缺少必要的分区隔离。所以,红队往往可以轻易地实现实施从子公司入侵母公司,从一个部门入侵其他部门的策略。 通过中间件来看,Weblogic>WebSphere>Tomcat›Apache>nginx>HS都有使用。WebIOgiC
应用比较广泛,因存在反序列化漏洞,所以常常会被作为打点和内网渗透的突破点。所有行业基本上都有对外开放的邮件系统,可以针对邮件系统漏洞,譬如跨站漏洞、CoreMaiI漏洞、XXE漏洞来针对性开展攻击,也可以通过钓鱼邮件和鱼叉邮件攻击来开展社工工作.均是比较好的突破点。 车辆调度
三、边界设备成为进入内网的缺口
从边界设备来看,大部分行业都会搭建VPN设备,可以利用火焰检测VPN设备的一些婴儿护理车SQL注入、加账号、远程命令执行等漏洞开展攻击,亦可以采取钓鱼、爆破、弱口令等方式来取得账号权限,最终绕过外网打点环节,直接接入内网实施横向渗透。
四、内网管理设备成扩大战果突破点
从内网系统和防护设备来看,大部分行业都有堡垒机、自动化运维、虚拟化、邮件系统和域环境,虽然这些是安全防护的集中管理设备,但往往由于缺乏定期的维护升级,反而都可以作为开展权限扩大的突破点。
工业合成氨HW
蓝队应对攻击的常用策略
未知攻焉知防。如果企业安全部门不了解攻击者的攻击思路、常用手段,有效的防守将无从谈起。从攻击者实战视角去加强自身防护能力,将是未来的主流防护思想。
攻击者一般会在前期搜集情报,寻突破口、建立突破据点;中期横向移动打内网,尽可能多地控制服务器或直接打击目标系统;后期会删日志、清工具、写后门建立持久控制权限。针对攻击者或红队的常用套路,蓝队应对攻击的常用策略可总结为:防微杜渐、收缩战线、纵深防御、核心防护、洞若观火等。
一、防微杜渐:防范被踩点
攻击者首先会通过各种渠道收集目标单位的各种信息,收集的情报越详细,攻击则会越隐蔽,越快速。前期防踩点,首先要尽量防止本单位敏感信息泄露在公共信息平台,加强人员安全意识,不准将带有敏感信息的文件上传至公共信息平台。 毒草解毒剂
社工也是攻击者进行信息收集和前期踩点的重要手段,定期对信息部门重要人员进行安全意识培训,来路不明的邮件附件不要随便点开,聊天软件未经身份确认不要随便添加。止
匕外,安全管理和安全意识培训难免也会有漏网之鱼,安全运营部门应定期在一些信息披露平台搜索本单位敏感词,查看是否存在敏感文件泄露情况。
二、收缩战线:收敛攻击面
门用于防盗,窗户没关严也会被小偷得逞。攻击者往往不会正面攻击防护较好的系统,而是一些可能连防守者自己都不知道的薄弱环节下手。这就要求防守者一定要充分了解自己暴露在互联网的系统、端口、后台管理系统、与外单位互联的网络路径等信息。哪方面考虑不到位、哪方面往往就是被攻陷的点。互联网暴露面越多,越容易被攻击者“声东击西”,最终导致防守者顾此失彼,眼看着被攻击却无能为力。结合多年的防守经验,可从如下几方面收敛互联网暴露面。二氨基马来腈
1.攻击路径梳理
由于网络不断变化、系统不断增加,往往会产生新的网络边界和新的系统。蓝队防守单位一定要定期梳理自己的网络边界、可能被攻击的路径,尤其是内部系统全国联网的单位更要注重此项梳理工作。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议