其他
攻防演练中常见的8种攻击方式及应对指南
本文将针对红队常用的8种攻击方式及其应对方法做较为深入的解读。
(了解更多攻防实战化材料,扫码在线咨询)
• 蓝队:防守队,一般是以参演单位的网络防护体系为基础,在演练期间组成的防守队伍。
• 紫队:组织方,作为攻防演练活动的组织者,负责活动过程的监控指导及应急保障等工作,并在最后做出演练总结,提出优化建议。
举个简单例子,如下图所示,整个攻击链包含多个不同阶段和不同攻击手法。
• 通用产品组件漏洞利用。信息化产品虽然提高了企业的运行效率,但其自身的安全漏洞也给企业带来了很多潜在隐患。红队在攻防演练中就经常通过利用产品组件的漏洞来达成攻击目标,比如:OA漏洞、中间件漏洞、数据库漏洞等。
• 0day攻击。在攻防演练中,0day攻击已成为常态,由于0day漏洞能够穿透现有基于规则的防护技术,被视为红队最为有效的手段之一。2021年演习期间,红队不断爆出各类0day漏洞,这些漏洞大部分和暴露在互联网上的Web应用相关,直接威胁到核心系统的安全。
• 弱密码。除了系统、应用等漏洞以外,红队还会探测目标企业在人员和管理上的漏洞,最典型的方法就是弱密码,包括弱强度密码、默认密码、通用密码、已泄露密码等不同类型。在攻防演练中,红队通过弱密码获得访问权限的比例高达90%。
• 供应链攻击。这是一种典型的迂回攻击方式。攻击者将目光聚集在目标企业的上下游供应商,比如IT供应商、安全供应商等,从这些上下游企业中找到软件或系统、管理上的漏洞,进而攻进目标企业内部。
• 相关单位攻击。这个方法与供应链攻击类似,都是采用迂回战术。一般来说,参与演练的企业总部的安全防护比较严格,很难正面攻破,而其下属单位的防护相比之下则弱很多。此外,一个集团内部各个分公司之间的内网的隔离并不彻底,很容易从一个公司的内网,进入同一集团下另一个公司的内网。
• 多点潜伏。攻防演练中,红队为避免在短时间内被发现、查杀,通常会在多个据点开展渗透工作,比如采取不同的Webshell、利用不同的后门和协议建立不同特征的据点。这种情况下,如果目标企业的安全人员不对告警设备做完整的攻击链梳理,而只是处理告警IP的服务器,那么他们就无法将所有攻击点及时清除。
• 社工钓鱼。社工钓鱼在实战中的应用越来越广泛。红队会从人的角度下手,给相应的员工、外包人员发钓鱼邮件,搭建钓鱼用的WiFi热点,插U盘、植入木马等等。
PPDR自适应攻击保护架构四个阶段分别要求蓝队具备以下能力:
• 事前准备工作——资产梳理、脆弱性评估整改、漏洞无效化实施、东西向流量控制;
• 事中值守工作——攻击队入侵监控、攻击告警研判、攻击事件调查、内存马攻击监控、文件完整性监控、0day攻击专项防护;
• 事后演练后续——平战能力积累与传递、落地安全运营标准化、自动化、实战化。
青藤这一攻防演练保障体系与基于Gartner自适应保护模型的PDCA安全防御闭环完全契合,覆盖了预测(P)、防御(P)、检测(D)、响应(R)的全流程。
资产清点:通过青藤万相进行细粒度的资产清点,摸清企业组织的网络安全架构及具体各种资产的情况,全面了解网络边界到靶标系统的所有路径。
安全评估:利用渗透测试、红队评估等手段,发现和评估信息系统原有的脆弱性,预测攻击者可能采取的攻击方式。
威胁建模:基于用户环境,通过青藤猎鹰对核心数据系统、业务系统、权限控制系统迅速构建精确的威胁检测模型,形成安全基线,并对主机层面的细粒度数据进行实时监控、体检,主动捕获异常行为,提前发现问题。
2、防御阶段,加固原有系统提升防御能力
安全加固:通过补丁升级、策略优化、部署安全设备等手段,将风险降到最低,并增强对威胁的可见、可防、可溯源等综合能力。
安全培训:从安全技术和意识等方面提高技术人员处置能力以及全员安全意识,最大程度限制红队通过网络钓鱼等非技术性攻击的成功率。
3、检测阶段,威胁狩猎确定入侵行为是否存在
调查确认:根据所收集的情报数据,通过青藤猎鹰,采用相关技术和工具来分析不同来源的数据,确认系统中是否存在威胁。
在攻防演练实际场景中,青藤还会提供网络攻防经验丰富的蓝队专家现场服务,全程参与并提供安全态势监控、威胁情报值守、安全大数据分析、威胁主动诱捕等服务支撑,保障演练的防守效果。
4、响应阶段,修复或变更防御策略
整改提升:全面复盘在演练中暴露的脆弱点,并根据需求升级防护策略,以进一步提高目标系统的安全防护能力,为下一步安全建设规划提供必要的支撑。
青藤的愿景与这个目标不谋而合,我们致力于提升各个行业的网络安全防护水平。如果您有关于攻防演练或网络安全方面的任何问题,欢迎致电400-188-9287,或直接扫描下方二维码,添加青藤安全专家进行详细咨询。点击文末“阅读原文”,了解攻防演练更多信息。