在紧张地倒计时中,一年一度的国家级网络安全实战攻防演练即将打响,备战正当时,身为防守方,要如何做好防守取得好成绩?如何借助实战攻防提升自身的安全能力?
作为多年来国家级、省级攻防演练的主力军,深信服沉淀了丰富实战经验及对抗技术。今年,在国家级网络安全实战攻防演练正式开始之前,特别准备了一份干货满满的「备战正当时」内容特辑!
内容聚焦落地,将从红队、蓝队实战对抗视角,分解热门攻击行为、提供防范要领,为各参与单位武装加固安全防御、攻防应战提供实操参考依据。
第一篇讲什么?别急,在正式开始之前,先来看几个在以往攻防演练中极其常见、却又“猝不及防”的真实场景,你有没有遇到过?
惊喜的U盘
攻击者选择目标公司的职员群体作为攻击目标,特意将U盘丢在办公职场附近,当受害者出于好奇捡起并插入“U盘”到电脑后,便会执行攻击者提前构造好的恶意代码,入侵成功。
热情的HR
攻击者伪装成人力资源公司,通过求职平台搜索到员工的基本信息,谎称有招聘需求。通过微信发送假冒的招聘信息压缩包文件,诱导员工打开,员工打开的实际是一个伪造的远控木马。
方便的Wi-Fi
攻击队通过连接保卫室私搭的Wi-Fi,成功绕过各种防护设备,直接渗透进内网。
国家级攻防演练是真正的实战,不仅仅关乎技术人员,更是关系到每个岗位、每个普通人。
如果业务人员、人力资源人员、信息化人员的安全意识薄弱,就给了外部攻击方可乘之机。攻击方可利用邮件钓鱼、网络聊天等方式轻易骗取防守方员工的信任,获取敏感信息,从而远程控制业务终端,进而能够对内网核心资产开展进一步信息收集和内网渗透。
所以「备战正当时」第一篇,我们先从影响演练结果、至关重要的战前备战阶段说起,记住这下面这几句话,做到有数、有策、有方、有底!(文末附长图梳理,还有印刷版的海报文件提供,拿来即用)
心中有数:摸清信息资产,收敛攻击面
涉及部门:IT部门、行政部门
资产盘点及梳理是攻防演练公认的第一步。全面掌握自己有哪些资产,了解在哪些方面存在风险,才能有针对性地进行防御。
具体包括:
①开放资产梳理:除传统的域名、IP、端口服务以及C段地址等,还有未知或未掌握的影子资产。随着攻击手段日益升级,前几年的攻防演练中遇到很多影子资产被攻击的情况。
②敏感资产:包括核心业务系统、本地、云上业务、公众号等,还有论坛、文库、网盘、开源社区,甚至社交媒体等,这些都需要提前去进行管理的。
③人员资产:广泛的包括企业组织信息、上下游企业信息,更精细的是信息部组织结构和各对接人员(系统、网络、安全)。
④其他信息收集:未知存活主机确认、内部废弃资产。
通过资产梳理,优化核心业务薄弱环节,及时下线老旧资产/系统,进一步收敛攻击面。
手中有策:风险评估,安全隐患先消除
涉及部门:IT部门
提前开展网络安全风险评估,实现对未知安全威胁的主动预防。
开展对暴露面、应用风险、脆弱性、源代码等许多关键要素的风险评估工作,提前对重要信息系统所面临的信息安全风险进行发现识别和定性评估,针对其中薄弱环节进行优先处理和加固,提前消除安全隐患。
行之有方:策略检查,守住边界安全
涉及部门:IT部门
在实战攻防演练对抗中,网络边界常常是攻击队的必经之路。防守方必须要对网络边界流量进行集中监测,才能有效地发现网络异常、漏洞利用、恶意IP和恶意文件。
这需要深入了解开放服务系统业务现状及边界部署位置,梳理公网开放系统承载的资产信息和安全漏洞,并且检查好防护策略,确保有效:
心里有底:全员意识提高,办公防护
涉及部门:全体员工
国家级攻防演练通常为期2周,实战过程中,各参演单位正常办公,在员工严重依赖外部通讯工具进行沟通协同办公的情况下,不可避免地会在无意间开放更大的攻击面,给了黑客更多可乘之机。
各单位应根据自身的系统、人员、环境等多重因素做出针对性的防护,既要做好办公网络、终端设备的检测与防护,又要重点采取相应措施提高普通员工的意识,对通过企业微信、微信、QQ、短信、电话及其它通讯方式索要用户名密码、账号等重要敏感信息的事件要提高警惕,对不明来源的邮件要做好甄别,防范钓鱼攻击。
最后,我们把上述内容重点梳理成一张长图海报,希望对您查缺补漏有参考价值。另外,扫描海报上的二维码,还可领取「可印刷」的线下海报文件,拿来即用,欢迎自取。
下期预告
你知道吗?在攻防演练中,红队通过弱密码获得访问权限的比例高达90%。
红队通过什么方式获取密码、又如何利用密码进行后续攻击?这过程中,有哪些能防住方式?
下一期,摊牌了!来自深蓝攻防实验室的自白:我们是这样攻破系统密码获取更多权限的,敬请期待!