论道攻防|大型企业攻防演练之主防“守分秘籍”揭晓
客户背景
该客户是国有大型企业,信息IT架构复杂度高,对网络安全整体保障建设高度重视。
项目目标
按照 “大型攻防演练行动”网络安全保障工作要求,切实做好“大型攻防演练行动”期间网络安全监测和应急保障工作,及时发现安全事件并向各防护单位预警和确认,确保企业各系统安全稳定运行。该客户高度重视“大型攻防演练行动”期间网络安全保障工作,召开动员部署会明确人员保障工作职责和任务,编写大型攻防演练行动保障方案。
在原有基础上新增部署了WAF、IPS、蜜罐、流量分析等网络安全设备,搭建了云眼(主机防护)、云御(软WAF)、云隙(微隔离)、云固(防篡改)、态势感知等安全防护系统,基本完成了边界防护加内网防护的纵深防御体系搭建。
项目人员保障
为保障项目顺利进行,项目团队主要分为:
演练准备期:包括项目经理、项目助理、解决方案工程师、实施工程师、安全研究员、安全服务工程师等前后15人以上的团队。
演练决战期:包括项目总指挥、专家组、监控预计组、技术分析组、应急处置组、联络保障组等前后30人以上的团队。
项目过程
1演练准备期
在准备期花费了两个月的时间,进行现状分析、风险排查、风险整改、风险加固、内部红蓝演练、安全意识宣贯培训等工作。
图2-整体进度表
现状分析:现状分析最关键的是做资产收集,搞清楚自己的家底。其分类主要有:互联网暴露面(IP、端口、应用系统)、网络设备、网络结构、安全设备、应用系统、数据库、中间件、服务器(云服务器、物理服务器、ip)、存储设备、监控设备、音视频设备、个人终端电脑、打印机等。在整理资产的同时,需针对网络安全架构分析,制定整体增强体系保障方案。
在与客户花费近一周的时间,通过台账梳理、网络扫描、现场摸排等方式对信息系统、硬件设备、网络IP等多个维度的信息化资产记录进行比对,对客户总部进行了全面的资产梳理,确保无资产遗漏。
风险排查:通过梳理出来所有的资产,采用渗透测试、安全扫描、主机资产采集等多种方式,评估出业务系统风险、互联网暴露面风险、网络架构风险、硬件设备风险、核心管理平台风险、主机风险等,其中重点系统邮件、域控、VPN、堡垒机、WIFI、互联网防火墙、集团内网防火墙、DMZ映射系统逐一评估,并给出风险点和整改建议。
风险整改:通过前期的风险排查,整改风险40大项,其中修复大量漏洞,互联网暴露面缩减端口70余个,发现部分存在挖矿木马风险主机,梳理优化防火墙策略34条。对违规使用跳板机,VPN的访问合规问题整改。排查清理存放未加密的资产信息文档。
风险加固:在网络层通过梳理业务系统的访问关系来重新划分内部网络信任区域。在系统层上对服务器进行了弱口令、风险账号进行修复,通过主机平台对应用系统端口策略采用最小化原则,对危险的组件如powershell禁止执行。在应用层对存在的配置缺陷修复,对重要系统关键目录使用防篡改锁定,对网站部署WAF进行攻击拦截。
内部演练:主要分为两次
第一次一支攻击队为期7天,主要攻击目标为客户总部基础网络,其目的是为发现安全隐患,防守队采取监控不做任何防御措施的方式,在前5天发现攻击队以为进入集团内网,实际还是在互联网DMZ区,故拿出网络拓扑与攻击队交流,希望能发现更多安全风险,最终攻击队通过一台双网卡设备穿透进入集团内网,拿下更多服务器。
从被攻击进入的路径来看,主要从边缘、准备淘汰替换的系统进入,由于无法整改加固,基本在可控范围,唯一的意外是遗漏的双网卡设备,此次最大的收获。
第一次演练的总结
经过为期两周的整改,第二次的演练四支攻击队为期7天,攻击目标为全集团成员单位。此次按照正式演练规则,防守人员各小组现场值守,开启监控与防御手段,在前5天各安全平台未检测到有被攻破的系统或者主机,在指挥部的协调下,解除攻击队被屏蔽的IP,改为监控、人工不防守的模式,第六天开始检测到攻击队通过VPN进入内容扫描,随后通过未整改的0day漏洞,获取服务器权限、获取数据库权限。
从攻击队的报告来看,还是有暴露出新的问题,发现前期有2个系统未渗透出的高危漏洞;从攻击路径来看,vpn在正式演练期间会改为短信验证方式,风险面可以控制。
第二次演练的总结
安全意识宣贯:通过钓鱼邮件,发现发送1500邮件,有10%用户打开邮件链接,安全意识非常薄弱。为加强安全意识,通过全员邮件通知钓鱼邮件的统计数据与提醒安全注意事项,同时召集全集团信息负责人开展安全座谈分享日常安全事项,并且通过域控发送终端屏保提醒日常安装措施。
2演练决战期
组织架构
图3-小组架构说明
工作职责
工作流程
图4
预警监控组日常监控(或技术分析组日志分析)发现入侵行为、对该事件做初步的判断分析存在被入侵的可能,提交技术分析组;
技术分析组接到预警监控组可疑事情通知(或日志分析发现)开始对该事情进行分析研判,判断该事件的等级:1)一般事件则由预警监测组调整相关策略;2)普通事件则将事件分析结果提交应急处置组;3)重大事件则将事件分析结果提交应急处置组及专家技术组进行协同分析;
专家技术组协同应急处置组对重大事件进行协同分析,分析事件的影响及后续处置建议;
应急处理组根据事件分析结果提出相关处置措施及整改建议,并交由预警监控组进行事件处理;
同时技术分析组对事件进行溯源取证并提交联络保障组,由联络保障组进行事件上报。
防守情况
正式演习期间,累计拦截各类攻击259670次,排查处置安全威胁3639次,应急处置安全事件0次,封禁攻击IP数量5994个,向集团指挥部提交防守报告28份。
演习期间,发现的攻击类型主要包括:
较大及以上网络安全事件描述
其他未造成后果的威胁或攻击事件处置情况描述
通过集团总部部署的网络安全防护平台,防守团队第一时间发现多家成员企业被入侵迹象,攻击队通过其所属设备为跳板探测攻击集团内网。防守团队发现后果断决策,应急处置,保证集团内网不被攻陷,同时第一时间上报集团指挥部,并发挥协同作用,组织专家调查溯源,提供技术支持。事件具体情况如下:
子公司A恶意扫描事件
某日凌晨4点33分,防守团队监测预警组发现大量外部扫描异常流量,技术分析组研判分析后怀疑有该行为设备已被入侵,经确认,该设备为子公司A所属服务器,应急处置组随即采取处置措施于4点58分阻断子公司A某专线连接,并通知子公司A相关负责人。8点30分,组织技术专家及技术分析人员前往现场协助子公司A进行溯源分析,经研判基本确认子公司A三台服务器已被攻击队控制,随后协助集团指挥部完成安全事件报告。
子公司B暴力破解事件
某晚7点58分防守团队监测预警组发现有攻击队通过广域网专线对集团主数据系统进行暴力破解,技术分析组研判分析后怀疑有该行为设备已被入侵,经确认,该设备IP属于子公司B,应急处置组随即采取应急处置措施,于8点19分阻断子公司B专线连接及通知相关负责人。防守团队技术专家组协助该公司进行溯源分析,确定其虚拟桌面服务器已被控制,并以植入后门的虚拟终端作为跳板攻击集团网内其他资产,随后协助集团指挥部完成安全事件报告。
总结
1最大的成绩
所防守的部分无任何扣分!
2工作中的难点
准备阶段:大型企业的资产梳理和整改工作需涉及众多部门和分子公司的协调与配合,幸好得到业主单位高层领导的强力支持和推动,工作组成员、项目组成员加班加点配合,梳理出来的风险、漏洞基本都整改完成,为取得的成绩打下坚实的基础。
决战阶段:连续15天每天24小时的高强度对抗,对现场人员的身体和心里,都是极大考验,需要团队强烈的集体荣誉感、责任心和敬业精神。
3思考
攻防对抗,目前基本处于防守方被动挨打,需要研究更多的防守反制手段。目前常用的只有蜜罐,防守方是否也可以有攻击团队,起到主动下饵,反制攻击方跳板机、溯源攻击队等作用?
