安全演练
安全演练说明
网络安全攻防演练也称为 护网行为 ,是针对全国范围的真实网络目标为对象的实战攻防活动,旨在发现、暴露和解决安全问题,更是检验我国各大企事业单位、部属机关的网络安全防护水平和应急处置能力。
网络安全攻防演练是以获取指定目标系统的管理权限为目标的攻防演练,由攻防领域经验丰富的红队专家组成攻击队,在保障业务系统稳定运行的前提下,采用不限攻击路径,不限制攻击手段的贴合实战方式,而形成的有组织的网络攻击行动。攻防演练通常是真实网络环境下对参演单位目标系统进行全程可控、可审计的实战攻击,拟通过演练检验参演单位的安全防护和应急处置能力,提高网络安全的综合防控能力。
攻防演练的组织结构,由国家、行业主管机构、监督机构、大中型企事业单位自行组织。各级公安机关、网信部门、政府、金融、交通、卫生、教育、电力、运营商等国家行业主管机构或监管机构,针对要点行业和要点系统组织单位的攻击队和行业内企业单位的防御队进行实战攻防演练。
蓝队:模拟黑客的动机与行为,探测企业网络存在的薄弱点,加以利用并深入扩展,在授权范围内获得业务数据、服务器控制权限、业务控制权限。红队:通过设备监测和日志及流量分析等手段,监测攻击行为并响应和处置。
网络安全攻防演练的意义:
攻防演练,实质是人与人之间的对抗。网络安全需网络安全人才来维护,是白帽和黑帽之间的较量,而白帽是建设网络强国的重要资源。攻防演练能够发现网络安全人才,清楚自身技术短板所在,并加以改进,提升安全技术;
开展攻防演练,能够提早发现企业网络安全问题所在。针对问题及时整改,加强网络安全建设力度,提升企业的网络安全防护能力。
网络安全攻防演练的价值:
发现企业潜在安全威胁:通过模拟入侵来验证企业内部 IT 资产是否存在安全风险,从而寻求应对措施;
强化企业安全意识:通过攻防演练,提高企业内部协同处置能力,预防风险事件的发生,确保企业的高度安全性;
提升团队能力:通过攻防演练,以实际网络和业务环境为战场,真实模拟黑客攻击行为,防守方通过企业中多部门协同作战,实战大规模攻击情况下的防护流程及运营状态,提升应急处置效率和实战能力。
本章,我们主要从全面安全自查、落实问题整改、开展演练防护、做好应急响应和溯源整改追责这几个方面对网络安全攻防演练进行介绍!
1、🍉 全面安全自查
1.1、🌲 资产梳理
对于资产的梳理,主要分为了下列几方面:
业务系统资产;
设备资产,包括租用的软硬件资产。
业务系统资产登记表:
| 业务系统名称: | |||
|---|---|---|---|
| 业务系统类型: | Web、Service… | ||
| 服务器类型: | Windows、Linux... | ||
| 域名、IP 地址 | |||
| 服务端口号: | |||
| 中间件、版本号: | IIS、Apache… | ||
| 系统部署位置: | |||
| 数据库: | |||
| 有无漏洞: | |||
| 是否合规: | |||
| 责任人: |
设备资产登记表:
| 设备名称: | AF/WAF… | ||
|---|---|---|---|
| IP 地址: | |||
| 设备版本号: | |||
| 特征库版本号 | |||
| 授权有效期: | |||
| 部署位置: | |||
| 有无漏洞: | |||
| 是否合规: | |||
| 责任人: | |||
| 厂商联系方式: |
1.2、🌴 风险梳理
对于风险的梳理,主要分为了下列几方面:
基础设施风险;
账号权限梳理。
基础设施风险:
通过资产梳理阶段进行收集的设备资产清单,对服务器、网络设备和安全设备等检查是否运行正常,安全设备特征库和规则库是否已更新到当前最新版本,授权是否有效。
对所有服务器、安全设备和网络设备执行安全扫描,针对扫描报告中暴露出的高、中危风险,进行修复工作。
账号权限梳理:
通过资产梳理阶段进行收集的业务系统资产登记表、设备资产登记表的记录,审核授权用户仅能访问特定业务目的的系统或设备。
禁止共享账号行为,对具有管理权限的帐号应收归各系统责任人统一管理和使用审批。在帐号权限梳理阶段,对所有帐号应重点关注三类情况:弱口令、共享账号和闲置帐号。帐号口令应符合强密码复杂度,杜绝 弱口令 的出现。
各系统责任人应重新审核帐号管理权限的授予与使用记录,以确保符合最小授权原则。
1.3、🌵 收敛攻击面
经过资产梳理和风险梳理两个阶段之后,下一步根据资产列表和风险梳理结果进行攻击面收敛工作。
以下列举部分减少攻击面的活动,以供参考:
通过与各个业务系统负责人沟通,对于非核心关键业务系统进行关闭;
关闭非必要端口,仅保留核心关键业务服务;
关闭暴露在互联网上的业务系统管理后台、各类中间件管理后台和其他各类管理后台登录页面;
关闭不必要的 VPN 服务或停用帐号;
关闭不必要的 WIFI 热点,严控非法网络接入;
企业安保人员严格监控人员进出登记。
1.4、🌾 日志审计
对系统服务器中网络设备、主机、中间件、数据库、应用系统和安全设备的日志记录进行检查,确认能够对访问和操作行为进行记录;
明确日志开通级别和记录情况,确认是否可以保存 180+ 天;
并对未能进行日志记录的情况进行标记,明确改进措施。
1.5、🌿 备份有效性检查
备份策略检查
对系统中的备份策略(配置备份和重要数据备份等)进行检查,确认备份策略的有效性;
对无效的备份策略进行标记,明确改进措施。
备份系统有效性检查
对系统中的备份系统有效性进行检查,确认备份系统可用性;
对无效的备份系统进行标记,明确改进措施。
2、🍊 落实问题整改
2.1、🍰 安全整改加固
加固方向
Windows、Linux 操作系统类安全加固;
Web 应用安全加固;
网络和信息系统边界安全加固;
其它软硬件安全加固。
加固措施
基于以上安全自查发现的问题和隐患,及时进行安全加固、策略配置优化和改进,切实加强系统的自身防护能力和安全措施的效能,减少安全隐患,降低可能被外部攻击利用的脆弱性和风险;
包括人员安全管理方面的整改、相应制度流程的整改和修订等;
业务主管单位协同安全部门完善网络安全专项应急预案,针对可能产生的网络安全攻击事件建立专项处置流程和措施。
2.2、🥧 保持软件和操作系统更新
在服务器安全方面,掌握软件和与操作系统相关的安全性修补程序至关重要。未安装修补程序的软件,经常会发生黑客攻击和入侵系统的情况。
通常情况下,软件供应商会将补丁或软件更新的通知发送给用户。
2.3、🍬 更改默认值
在大多数系统中,默认帐户是 root 帐户或者 administrator,这是黑客所针对的目标,所以需要进行更改。对于名为 admin 的帐户也是如此,不要在网络上使用令人关注的帐户名。
企业可以通过减少所谓的攻击向量来提高服务器安全性,这是运行所需的最低限度服务的过程。Windows 和 Linux 的服务器版本附带许多服务,如果不需要这些服务,则应将其关闭。
2.4、🍯 正确创建密码
密码始终是一个安全问题,因为很多人轻视对密码的管理。他们在多个帐户使用相同的密码,或者使用容易让人猜到的简单密码,如 “password” 、“abcde”或“123456”,甚至可能根本 没有设置任何密码 。
在设置密码时需要包含大小写字母、数字和符号的混合,如0419*_Quber@ONE。并定期更改密码,另外在使用一次后禁止使用原有的密码。
2.5、🍨 关闭隐藏的开放端口
并不是绝对必要的端口都应关闭。Windows Server 和 Linux 共享一个称为 netstat 的通用命令,该命令可用于确定正在侦听哪些端口,同时还显示当前可能可用的连接的详细信息。
显示本机活动的 TCP 连接:
显示所有连接的端口并用数字表示:
2.6、🍜 安装杀毒软件
现在网络上的病毒非常猖獗,这就需要在网络服务器或终端上安装网络版的杀毒软件来控制病毒传播。
同时,在网络杀毒软件的使用中,要定期或及时升级杀毒软件,并且每天自动更新病毒库。
2.7、🍚 定期进行备份
为防止不能预料的系统故障或用户不小心的非法操作,必须对系统进行安全备份。
除了对全系统进行每月一次的备份外,还应对修改过的数据进行每周一次的备份。
2.8、🍤 漏洞修复
漏洞是严重危害系统安全的重要原因之一。
定期对各系统进行漏扫,及时修复漏洞。
时刻关注各厂商发布的更新补丁,进行修补。
3、🍋 开展演练防护
3.1、🍖 攻防过程
攻防过程如下图所示:
3.2、🍗 安全事件实时监测
攻防演习活动中监控工作主要由实时监测小组完成。活动中应重点关注核心目标业务系统,同时针对核心业务系统外与之关联的服务,对目标系统的出入流量和日志进行集中式的监控和分析。
全网流量监控:
通过合理分配安全监控设备的部署,对企业外部与内部间的所有流量进行监控和分析,对于日志中存在的可疑攻击行为提交至快速反应小组进行研判,如果判定为攻击行为,则针对攻击 IP 地址进行封禁或采取其他防护措施。
主机流量监控:
通过合理部署主机安全防护软件,应对操作系统层面的日志进行统一的集中汇总和监控分析工作。
日志监控:
对业务系统日志的实时监控,应对重要系统日志实施独立的日志收集和存储机制,避免日志本地存储导致被攻击者删除情况,重要业务系统可安排专人进行实时监控分析。
3.3、🌭 常见攻击手段及防御方法
攻击人员从互联网对目标系统攻击,攻击中除禁止使用的攻击方式外,可能使用的攻击方式包括但不限于如下方式:
Web 渗透
Web 渗透攻击是指攻击者通过目标网络对外提供 Web 服务存在的漏洞,控制 Web 服务所在服务器和设备的一种攻击方式。
旁路渗透
旁路渗透攻击是指攻击者通过各种攻击手段取得内部网络中主机、服务器和设备控制权的一种攻击。内部网络不能接受来自外部网络的直接流量,因此攻击者通常需要绕过防火墙,并基于外网(非军事区)主机作为跳板来间接控制内部网络中的主机。
防御:内部网络划段隔离,安装杀软做好内网防护。
口令攻击
口令攻击是攻击者最喜欢采用的入侵系统的方法。攻击者通过猜测或暴力破解的方式获取系统管理员或其他用户的口令,获得系统的管理权,窃取系统信息、修改系统配置。
防御:使用大小写字母、数字、特殊字符组合成强口令。
钓鱼欺骗
鱼叉攻击是黑客攻击方式之一,最常见的做法是,将木马程序作为电子邮件的附件,并起上一个极具诱惑力的名称,发送给目标电脑,诱使受害者打开附件,从而感染木马,或者攻击者通过诱导受害者(IM,邮件内链接)访问其控制的伪装网站页面,使得受害者错误相信该页面为某提供其他正常业务服务的网站页面,从而使得攻击者可以获取受害者隐私信息的一种攻击方式。
防御:增强安全意识,严格审查邮件,通过杀软对其进行扫描,确认发件人身份,不轻易点击邮件中的链接。
社会工程学
人为因素才是安全的软肋。很多企业、公司在信息安全上投入大量的资金,最终导致数据泄露的原因,往往却是发生在人本身。对于黑客来说,通过一个用户名、一串数字、一串英文代码,社会工程师就可以通过这么几条的线索,通过社工攻击手段,加以筛选、整理,就能把你的所有个人情况信息、家庭状况、兴趣爱好、婚姻状况、你在网上留下的一切痕迹等个人信息全部掌握得一清二楚。一种无需依托任何黑客软件,更注重研究人性弱点的黑客手法正在兴起,这就是社会工程学黑客技术。手段有:伪装熟人、利用面试、伪造背景等。
防御:注重保护个人隐私,增强安全意识,提高警惕保持理性。
4、🍎 做好应急响应
4.1、🎿 应急响应流程
应急响应快速处置成功的关键是根据预设流程进行有条不紊的对已经发生的安全事件进行解决,以保证最大限度地减少安全事件造成的损害,降低应急处置中的风险。
4.2、🛷 分析
分析三大件:日志、流量和样本。
日志主要注意的是: 时间、动作、结果;这个行为什么时候开始、什么时候结束,这个动作是登陆、退出或修改等,造成的结果是登陆成功/失败、上传/下载了文件或执行了代码等。
流量主要注意的是: 状态码、交互过程、数据合理性;每一次交互的状态码,交互过程中是否符合该种协议的正确交互过程,每个字段的填充、每次流量的渲染是否正常。
样本主要注意的是: 启动方式、伪装方式、作用;根据启动方式去选择沙箱或者分析工具;伪装方式判断是否加壳做免杀和打击方式;根据作用去判断受害范围。
4.3、🎯 处置
发现被入侵首先进行阻断处理,阻断有三步:关站、关服务和拔网线并留存相关证据。
切断网络
切断网络的目的:观察木马行为、观察流量特征、阻断对内通信、阻断对外连接。
隔离核心资产
这一步是应急响应的最终目的,无论实施过程如何、无论使用什么工具都必须保证被保护与沦陷方的隔离。
隔离核心资产是为了做到三个原则:
保护、避害和不损害。
4.4、🎨 排查
排查的重点:
系统内是否有非法账户;
系统中是否含有异常服务程序;
系统是否存在部分文件被篡改,或发现有新的文件;
系统安全日志中的非正常登陆情况;
网站日志中是否有非授权地址访问管理页面记录;
根据进程和连接等信息关联的程序,查看木马活动信息;
假如系统的命令(例如 netstat lsof 等)被替换,为了进一步排查,需要下载新的或者从其他未感染的主机拷贝新的命令;
发现可疑可执行的木马文件,不要急于删除,先打包备份一份;
发现可疑的文本木马文件,使用文本工具对其内容进行分析,包括回连 IP 地址、加密方式、关键字(以便扩大整个目录的文件特征提取)等。
更多排查思路,详见如下思路:
5、🍑 溯源整改追责
5.1、💐 溯源三原则
全溯原则
即溯源所有 IP,不漏掉任何一个 IP 一条告警,同时通过威胁情报、蓝队群、C 段等尽可能搜集更多的攻击 IP(跟红队打蓝队时一个道理,面越大越容易找到突破点)。
反钓原则
即溯源时不使用防守单位的网络,浏览器也要开启无痕模式(防止红队反向钓鱼)。
即时原则
即发现攻击 IP 立马进行溯源(此时 IP 正在使用中,可以避免溯源到一半红队更换或弃用 IP 的情况)。
5.2、🌸 攻击源捕获
5.3、🌹 溯源反制
5.4、🌺 形成画像
5.5、🍁 整改
通过安全自查和应急响应等发现问题所在,各阶段提出整改建议,出具整改报告,具体整改报告格式如下所示: