让世界更安全,更美好!

360数字安全 核心优势 行业地位 资质荣誉 大事记 资讯中心

安全夜话-实网攻防演习特辑

2020-04-17

企业安全防护不断升级,今年红队上分很难?

从红队视角看,企业安全防线还存在哪些漏洞?

渗透测试工程师都是高薪职业?

……

有干货有趣谈,周五下班的路上听360安全夜话,给忙碌的一周再加点料。

 

本期主题:实网攻防演习的那些事儿

本期嘉宾: “王小明”

嘉宾介绍:360实网威胁感知产品部-灵腾安全实验室成员,日常主要负责渗透测试和公司内部安全相关工作,参与过2018年贵阳大数据攻防演练及2019年多个企事业单位的实网攻防演习项目,在攻防演习相关的工作上面有自己的经验和见解。

本期四问:

0x00 企业为什么要做实网攻防演习?

从个人意义讲,如今技术演变的趋势越来越趋近万物互联的状态,大部分人们的生活和工作都越来月离不开网络,所以网络安全对每一个人都至关重要。从宏观层面看,各国围绕互联网关键资源的角逐日趋激烈,黑客组织和网络恐怖组织等非国家行为群体发起的网络安全攻击也在持续增加,我们面临的网络安全形势也是比较严峻的。所以攻防演习对于各类大型组织和企业来说也是一个查漏补缺的重要机会。

因此对于企业来说,拥有足够高水准的网络安全防护能力是非常重要的。一个企业或组织是不是具备关键基础设施的安全防护能力,是否具备突发网络安全事件应急处置的能力,以及在安全事件发生之后能否溯源和追究。这些工作的流程机制和综合能力水平,都可以通过攻防演练的成绩得到很好的体现。

 

0x01 实网攻防演习为什么越来越难打?

随着近年来各企业综合安全防护能力的提升,实网攻防演习中的攻击队拿分难度也在逐渐上升。综合看,各个企业的进步有如下3点。

1.    从我们近几年服务的甲方看,大部分甲方已经逐渐开始建立较为完善的自我预演习流程,可以在预演习中发现比较多的问题。

2.    部分企业会邀请红队(攻击队)定期开展攻防演习,排查问题,“羊毛已经被薅秃了”。

3.    防守方的经验在逐年提高,并且各类新型安全防护设备的出现,给企业加持能量,web层面的攻击难度确实大了很多。

 

0x02 从攻击队视角看,企业应该如何做防护?

从访谈嘉宾过往的项目经验看, web应用层面的攻击仍然占有一个较大的比重,同时红队会在在征得客户同意的情况下利用社工和物理渗透进行辅助攻击。其实只要打开由外到内的突破口,内网当中的问题还是比较多的,像通用密码、堡垒机做跳板等等。以下几点防护建议可以用于作为企业安全防护上的参考:

1.    对员工安全意识的培训必不可少,尤其是人力资源和网络运维部门的员工,因为这两个部分都是收到网络钓鱼攻击的重灾区。

2.    对于可以接触公司机密资产的外包人员、众测人员以及白帽子,需要进行相应的保密约束。

3.    内部业务安全应有合规的先安全审计,后上线的流程,这样可以大大减少安全问题的出现。

4.    企业内网的安全告警设备也是必不可少的,例如流量威胁监测设备、蜜罐等设备的应用,都可以快速监测到异常攻击,并进行妥善安全处置。

5.    对于企业内外网的防护设备的部署要规范合理,物尽其用。

 

0x03 2020年的实网攻防演习有哪些需要注意的点?

1.    相对于往年来说,今年因为疫情这个特殊时期,远程办公会变成一个比较重要的突破口:

1)     因为现阶段远程办公场景多见,并且VPN的使用频率大大增加,可能会出现相应的安全问题以及攻击场景。

2)     因为疫情原因,企业会新上线一些网络资产,这些资产可能是给自己用的,也可能是给客户用的,部分脆弱资产可能会被攻击者利用。

3)     对于远程办公的使用和新资产的上线,会出现相应的新供应商或开发商,这一部分人群也可能会成为新的攻击目标。

2.    技术或者工具方面可能会发生的变化:

1)     过去常用的一些webshell管理工具及远程控制工具,在去年大多是被 “打标签”的状态,在这些工具方面可能会有一个革新。

2)     攻击者利用0day漏洞发起攻击,可能会导致0day漏洞的披露和扩散更加迅速。

3)     站在攻击者角度,相对于之前的实网攻防来说,会有很多新型防护设备的出现,例如内网流量检测设备、蜜罐、针对域的安全产品等等。

3.    针对以上两点,访谈嘉宾也给出了防护建议:

对于未知的变化,攻防演习中的防守方相对会处于一个比较被动的状态,建议蓝队同学在实网攻防演习开始之后,多多关注相关的威胁情报,紧跟各个安全厂商发布的安全动态。如果出现新的漏洞和安全问题,及时更新相应的软件和设备。