论道攻防|大型企业攻防演练之主防守分秘籍揭晓

admin

102331
文章

87
评论

2022年6月17日03:44:52评论48 views字数 4144阅读13分48秒阅读模式

↑ 点击上方“安全狗”关注我们

客户背景

该客户是国有大型企业，信息IT架构复杂度高，对网络安全整体保障建设高度重视。

项目目标

按照 “大型攻防演练行动”网络安全保障工作要求，切实做好“大型攻防演练行动”期间网络安全监测和应急保障工作，及时发现安全事件并向各防护单位预警和确认，确保企业各系统安全稳定运行。该客户高度重视“大型攻防演练行动”期间网络安全保障工作，召开动员部署会明确人员保障工作职责和任务，编写大型攻防演练行动保障方案。

在原有基础上新增部署了WAF、IPS、蜜罐、流量分析等网络安全设备，搭建了云眼（主机防护）、云御（软WAF）、云隙（微隔离）、云固（防篡改）、态势感知等安全防护系统，基本完成了边界防护加内网防护的纵深防御体系搭建。

论道攻防|大型企业攻防演练之主防“守分秘籍”揭晓

图1-安全狗纵深防御体系助力攻防实战

项目人员保障

为保障项目顺利进行，项目团队主要分为：

演练准备期：包括项目经理、项目助理、解决方案工程师、实施工程师、安全研究员、安全服务工程师等前后15人以上的团队。

演练决战期：包括项目总指挥、专家组、监控预计组、技术分析组、应急处置组、联络保障组等前后30人以上的团队。

项目过程

演练准备期

在准备期花费了两个月的时间，进行现状分析、风险排查、风险整改、风险加固、内部红蓝演练、安全意识宣贯培训等工作。

论道攻防|大型企业攻防演练之主防守分秘籍揭晓图2-整体进度表

现状分析：现状分析最关键的是做资产收集，搞清楚自己的家底。其分类主要有：互联网暴露面（IP、端口、应用系统）、网络设备、网络结构、安全设备、应用系统、数据库、中间件、服务器（云服务器、物理服务器、ip）、存储设备、监控设备、音视频设备、个人终端电脑、打印机等。在整理资产的同时，需针对网络安全架构分析，制定整体增强体系保障方案。

在与客户花费近一周的时间，通过台账梳理、网络扫描、现场摸排等方式对信息系统、硬件设备、网络IP等多个维度的信息化资产记录进行比对，对客户总部进行了全面的资产梳理，确保无资产遗漏。

风险排查：通过梳理出来所有的资产，采用渗透测试、安全扫描、主机资产采集等多种方式，评估出业务系统风险、互联网暴露面风险、网络架构风险、硬件设备风险、核心管理平台风险、主机风险等，其中重点系统邮件、域控、VPN、堡垒机、WIFI、互联网防火墙、集团内网防火墙、DMZ映射系统逐一评估，并给出风险点和整改建议。

风险整改：通过前期的风险排查，整改风险40大项，其中修复大量漏洞，互联网暴露面缩减端口70余个，发现部分存在挖矿木马风险主机，梳理优化防火墙策略34条。对违规使用跳板机，VPN的访问合规问题整改。排查清理存放未加密的资产信息文档。

风险加固：在网络层通过梳理业务系统的访问关系来重新划分内部网络信任区域。在系统层上对服务器进行了弱口令、风险账号进行修复，通过主机平台对应用系统端口策略采用最小化原则，对危险的组件如powershell禁止执行。在应用层对存在的配置缺陷修复，对重要系统关键目录使用防篡改锁定，对网站部署WAF进行攻击拦截。

内部演练：主要分为两次

第一次一支攻击队为期7天，主要攻击目标为客户总部基础网络，其目的是为发现安全隐患，防守队采取监控不做任何防御措施的方式，在前5天发现攻击队以为进入集团内网，实际还是在互联网DMZ区，故拿出网络拓扑与攻击队交流，希望能发现更多安全风险，最终攻击队通过一台双网卡设备穿透进入集团内网，拿下更多服务器。

从被攻击进入的路径来看，主要从边缘、准备淘汰替换的系统进入，由于无法整改加固，基本在可控范围，唯一的意外是遗漏的双网卡设备，此次最大的收获。

第一次演练的总结

经过为期两周的整改，第二次的演练四支攻击队为期7天，攻击目标为全集团成员单位。此次按照正式演练规则，防守人员各小组现场值守，开启监控与防御手段，在前5天各安全平台未检测到有被攻破的系统或者主机，在指挥部的协调下，解除攻击队被屏蔽的IP，改为监控、人工不防守的模式，第六天开始检测到攻击队通过VPN进入内容扫描，随后通过未整改的0day漏洞，获取服务器权限、获取数据库权限。

从攻击队的报告来看，还是有暴露出新的问题，发现前期有2个系统未渗透出的高危漏洞；从攻击路径来看，vpn在正式演练期间会改为短信验证方式，风险面可以控制。

第二次演练的总结

安全意识宣贯：通过钓鱼邮件，发现发送1500邮件，有10%用户打开邮件链接，安全意识非常薄弱。为加强安全意识，通过全员邮件通知钓鱼邮件的统计数据与提醒安全注意事项，同时召集全集团信息负责人开展安全座谈分享日常安全事项，并且通过域控发送终端屏保提醒日常安装措施。

演练决战期

组织架构

论道攻防|大型企业攻防演练之主防“守分秘籍”揭晓图3-小组架构说明

工作职责

序号	团队	职责
01	统筹协调小组	根据上级演习工作安排，批准行动方案和重大决策，指挥协调、统筹整体演习工作，下达系统停运、恢复关键操作以及对外信息报送授权指令。
02	工作小组	工作小组主要职责：主要负责协调保障工作中人、财、物等资源。统一协调公司内部和外部人力、财力、物力等资源的工作；根据大型攻防演练行动攻击特点和对象，统一进行部署、监督、管理整体防护工作；
03	监控预警组	监测预警负责安全告警监测预警主要职责：针对各自负责的系统，事件告警日志进行分析和初步研判，提供处置建议，提交分析组进行综合研判。负责检查各自系统上的业务应用系统安全，执行应急处置小组提交的应急处置措施。
04	技术分析组	技术分析小组负责对安全事件分析研判、溯源取证等主要职责：对重要系统日志进行分析；对监控小组提交的安全事件分析研判，提交处置意见或启动应急响应；对已经发生的网络安全攻击事件进行追踪溯源，并进行截图取证；对取证事件提交联络保障组。
05	应急处置组	应急响应组主要负责保障阶段的应急响应和处置工作，主要职责：在攻击开始阶段，负责实时监测网络安全事件；对网络攻击采取及时的现场处置措施，避免攻击进一步加大；提供事件整改加固建议，防止重复利用；与专家组商议需要采取断网或者关闭应用的措施。
06	联络保障组	负责做好信息传递工作，主要职责：与上下级单位的演习指挥部联络；负责做好信息传递工作，与集团上下级单位的演习指挥部联络；负责做好演习期间相关人员物资保障工作。
07	技术专家组	主要职责：协同处理重大突发网络安全事件应急响应工作；分析HW中哪些地方需要改进的地方；对于执行过程中风险，及时提出整改建议，协助领导小组执行。

工作流程

论道攻防|大型企业攻防演练之主防“守分秘籍”揭晓图4

预警监控组日常监控（或技术分析组日志分析）发现入侵行为、对该事件做初步的判断分析存在被入侵的可能，提交技术分析组；

技术分析组接到预警监控组可疑事情通知（或日志分析发现）开始对该事情进行分析研判，判断该事件的等级：1）一般事件则由预警监测组调整相关策略；2）普通事件则将事件分析结果提交应急处置组；3）重大事件则将事件分析结果提交应急处置组及专家技术组进行协同分析；

专家技术组协同应急处置组对重大事件进行协同分析，分析事件的影响及后续处置建议；

应急处理组根据事件分析结果提出相关处置措施及整改建议，并交由预警监控组进行事件处理；

同时技术分析组对事件进行溯源取证并提交联络保障组，由联络保障组进行事件上报。

防守情况

正式演习期间，累计拦截各类攻击259670次，排查处置安全威胁3639次，应急处置安全事件0次，封禁攻击IP数量5994个，向集团指挥部提交防守报告28份。

演习期间，发现的攻击类型主要包括：

序号	攻击类型	次数统计（汇总）
01	数据库攻击	177
02	漏洞利用	41202
03	网络扫描	103979
04	未授权访问	3699
05	暴力破解	88020
06	跨站脚本攻击	4384
07	木马上传	23
08	钓鱼邮件	13
09	其他事件	18173
合计		259670

较大及以上网络安全事件描述

无

其他未造成后果的威胁或攻击事件处置情况描述

通过集团总部部署的网络安全防护平台，防守团队第一时间发现多家成员企业被入侵迹象，攻击队通过其所属设备为跳板探测攻击集团内网。防守团队发现后果断决策，应急处置，保证集团内网不被攻陷，同时第一时间上报集团指挥部，并发挥协同作用，组织专家调查溯源，提供技术支持。事件具体情况如下：

子公司A恶意扫描事件

某日凌晨4点33分，防守团队监测预警组发现大量外部扫描异常流量，技术分析组研判分析后怀疑有该行为设备已被入侵，经确认，该设备为子公司A所属服务器，应急处置组随即采取处置措施于4点58分阻断子公司A某专线连接，并通知子公司A相关负责人。8点30分，组织技术专家及技术分析人员前往现场协助子公司A进行溯源分析，经研判基本确认子公司A三台服务器已被攻击队控制，随后协助集团指挥部完成安全事件报告。

子公司B暴力破解事件

某晚7点58分防守团队监测预警组发现有攻击队通过广域网专线对集团主数据系统进行暴力破解，技术分析组研判分析后怀疑有该行为设备已被入侵，经确认，该设备IP属于子公司B，应急处置组随即采取应急处置措施，于8点19分阻断子公司B专线连接及通知相关负责人。防守团队技术专家组协助该公司进行溯源分析，确定其虚拟桌面服务器已被控制，并以植入后门的虚拟终端作为跳板攻击集团网内其他资产，随后协助集团指挥部完成安全事件报告。

总结

最大的成绩

所防守的部分无任何扣分！

工作中的难点