freeBuf
主站

分類

漏洞 工具 極客 Web安全 系統安全 網絡安全 無線安全 設備/客戶端安全 數據安全 安全管理 企業安全 工控安全

特色

頭條 人物志 活動 視頻 觀點 招聘 報告 資訊 區塊鏈安全 標準與合規 容器安全 公開課

官方公眾號企業安全新浪微博

FreeBuf.COM網絡安全行業門戶,每日發布專業的安全資訊、技術剖析。

FreeBuf+小程序

FreeBuf+小程序

FreeBuf甲方群:從攻防演練看網絡安全新態勢
2021-03-04 15:02:47

FreeBuf甲方交流分享群

純甲方:囊括金融、政府、運營商、醫療、互聯網企業等多行業甲方安全從業人員,具備嚴格的入群審核機制,非甲方安全從業人員拒絕進群

真實有料:從甲方企業CSO到安全工程師,從安全方案應用到產品技術應用,社群定期組織相關主題話題討論,共同交流最真實有趣有料的甲方安全建設經驗

專屬權益:一旦認證成為FreeBuf甲方會員,即可享受FreeBuf報告在線免費閱讀權益,同時參與社群話題討論便有機會獲得FVIP月卡獎勵。更多權益,期待解鎖ing~

關鍵詞:攻防演練經驗合集

@FreeBuf

近年來,攻防演練越來越受到企業安全團隊的重視,通過演練的形式快速找到企業防御能力的缺陷和防守視角的缺失,以此提升網絡安全能力和實戰對抗能力。本期話題聚焦于以下三個維度,歡迎大家來聊。

討論1:從藍隊的視角,你認為企業防守團隊在演練前期準備階段應該從哪些方面著重進行風險排查?

1、第一步,先把手里有啥東西搞清楚:例如準確的資產識別、梳理資產。第二步,才是看看脆弱點,加策略、加防護、重點關照加整改…如果有時間的話。第三補充一個點,在明確資產的基礎上,明確和強化事件匯報和處理流程、明確責任人,確保出現異常的時候,直接人員知道找誰,知道怎么找。

2、著重排查員工弱口令,服務器端口監測有沒有未知端口開放、及時排查關閉;檢查是否有對外未知服務開放,進行及時排查關閉;排查安全設備、網絡設備安全策略是否失效,增強策略;安全意識培訓和強調、不點開未知郵件、不打開未知鏈接、不打開未知文件;所有服務器基線掃描、及時修復;所有主機、Web資產漏洞掃描,緊急修復;VPN統一上MFA。

3、供應鏈攻擊也需要注意,現在護網會找集團的分子公司以及與公司相關的上下游企業,找突破口?!堑?,供應鏈上下游管理也是難點,去年供應鏈打的美滋滋。

4、提一下防守團隊的內部問題吧,一定要提前安排好防守團隊的組織分工,確定監控/研判/處置/溯源組之間的聯動方式,各部門/系統干系人聯絡表等等,統一信息渠道,不然真打起來遇到情況就是一鍋粥?!獙?,明確接口人,避免多頭匯報,多人指揮。

5、補充一句,如果要保業務的話,還需要準備好或復盤下業務系統的應急方案,避免業務因為異常掛掉。

6、分享一個點需要注意的,去年演練發現的核心問題是外網某系統弱口令,然后就是本地保存密碼被內存讀取,此外還有0day。

7、說個特別點的,提前準備好紅牛、被褥、眼藥。

延伸討論:

@樓主:問題來了,如何排查影子資產?

1、我們現在遇到最大問題,就是部分單位偷偷開了阿里云,部署了垃圾業務,不上報。所以只能買互聯網服務來追蹤互聯網資產。

2、影子IT 之前我候遇到好多,下面單位總是搞一堆各類系統,然后我們被通報。

3、前幾天通報了一個JD云的開發環境,用了集團Logo,但一個月了還沒查到是哪個外包開發在搞...

4、我這邊遇到未知資產都是統一歸屬安全部門接管。

5、分享下我司之前主要幾個做法:

(1)流量識別。

(2)搜索引擎。

(3)從財務流程下手,所有和IT有關的申報全部要走IT部門審批。

(4)然后公司內部系統和互聯網的權限收緊,就算新弄了系統也沒法和內部系統對接。

討論2:工欲善其事必先利其器,在攻防演練中,有哪些值得推薦的藍隊實戰工具/產品?

1、藍隊得分只能靠溯源,行之有效的方法就是蜜罐or安服溯源。

2、我這推薦一下,斗象的VMS漏洞追蹤管理平臺,可以盯修復。青藤的HIDS+威脅狩獵平臺,可以盯主機安全,可以復原攻擊路徑,態勢的好幫手。安芯網盾的內存馬檢測基于內存+CPU命令集檢測,發現問題就可以拔網線了。

3、分享下去年演練的發現的問題吧,用的WAF和IPS有大問題,某回溯分析產品也有點問題,因為全量業務加密傳輸能攔截能檢測的東西太少了。我們還發現業務增加了傳輸加密并不代表更安全,這點挺出乎我們的意料。后續我們可能會在出口增加一層SSL卸載,把加密扔外邊去。

4、反向溯源,把紅隊打出局——之前還真有成功的案例的,直接查出攻擊者的姓名發郵件的。

5、我補充一個去年遇到的難點,紅隊用手機熱點IP進行掃描,然后不停地換IP,然后封IP導致大量用戶手機端無法使用業務,只能解開——對C端用戶的系統封IP需謹慎了。

6、攻防不對等啊,紅隊可以肆無忌憚的玩耍,藍隊束手束腳——防守方還得考慮業務持續性,否則沒那么容易被紅隊得手。

7、我們這邊邏輯很簡單,沒有絕對安全的業務系統,防守方要有一個清晰的自我認知,承認與攻擊方相比,防守方技術水平較低。在這種情況下,我們做的主要工作就是提高攻擊方在我單位業務系統的相對成本,通過消耗攻擊方的機會和時間成本,迫使攻擊方選擇其他目標。

8、我們采用龜縮戰術,放了大量蜜罐,然后蜜罐里明白表示進來的都是蜜罐,有紅軍看不懂明示,下載了我們的木馬后被反制了。

3、在紅藍軍對抗過程中,美人計、聲東擊西等“計謀”層出不窮,你經歷過哪些攻防演練“三十六計”,歡迎分享避雷。

1、你說的這幾種倒是沒遇到過,不過紅隊用的比較多的是用大量掃描器制造海量日志,增加分析難度,然后在里面夾雜針對性的攻擊。

2、還有從段子里面聽過,紅隊創建虛假的“藍隊交流群”,然后在里面收集信息,發布和污染藍隊的信息。

3、演練前一個月花錢找人去應聘面試的一大把。

4、總結一些藍隊溯源反制小技巧:

-最好的藍隊溯源——微信群:xxx你們誰認識?

-我們是直接找對應的接口銷售,登錄他們的內部通信軟件,比如釘釘,直接搜姓名,然后去匹配簡歷啥的,命中率極高——這種也算社會工程學溯源。

-再講一個溯源點,我們反制了攻擊隊后,通過系統讀了序列號出來,然后找聯想接口查誰買的——硬件序列號=訂單號=采購廠家。

FreeBuf甲方群進群方式

掃碼填寫申請表單,通過審核后即可入群:

1614841109_60408515ac795652d99a1.png!small?1614841118748

本文作者:, 轉載請注明來自FreeBuf.COM

被以下專輯收錄,發現更多精彩內容
+ 收入我的專輯
評論 按熱度排序

登錄/注冊后在FreeBuf發布內容哦

相關推薦
  • 0 文章數
  • 0 評論數
  • 0 關注者
文章目錄
登錄 / 注冊后在FreeBuf發布內容哦
收入專輯
四月天小说网