九维团队-蓝队(防御)| 以攻防之道论企业防御

admin 2023年2月3日02:00:07评论21 views字数 3361阅读11分12秒阅读模式

九维团队-蓝队(防御)| 以攻防之道论企业防御


背景描述


未知攻,焉知防。攻防演练自开展以来一直贯彻的核心便是红队与蓝队之间的技术交流,互相攻防。随着技术的不断突破,攻击方的手段操作层出不穷,防守方不仅要适应红队的攻击视角,还要熟悉攻击的手法和“套路”,如此方能“以己之盾断其之矛”。


本文将会结合笔者在某次演练中遇到的某反制案例,展开说说在蓝队视角下如何有效进行防御→反制。


防御视角


俗话说“千里之堤溃于蚁穴”,一些事件的结果导向往往可能是由于一些细小方面上的问题,许多安全事件触发的源头不是设备缺陷、系统漏洞、防护不到位,而是在于“人”,因为“人”个性分明且不可控。


当然了,虽然说人员可能存在风险,但同样的解决风险也是在于人。下面以一个集团单位规模来讲:


站在集团视角:

我方单位基于新型网络安全技术与当前网络安全状况,在演练前期组织内部攻防演练。在发现内部安全隐患的同时,开展技术赋能培训,提升各单位人员技术能力,加强基层员工人员安全意识。


站在下属单位视角:

对于拥有多家二级单位的集团来说,一般采取的是树状垂直管理体系,各单位发展战略不同,导致安全防护能力存在差异,因此建立沟通联络机制显得尤为重要。


以各单位管理人员牵头,在内部沟通平台上实时分享各单位平日及演练期间概况,集合各单位之长,打破部分单位无力反攻的现象,弥补各单位防护能力之短,发扬“一根筷子易折,十根筷子难断”的团结精神,以此全面抵抗各方面网络安全风险,筑造企业最强防御堡垒。


站在集团员工视角:

在演练前开展以集团、下属单位等多个视角开展社工钓鱼(包括不限于钓鱼网站、钓鱼邮件、通讯软件钓鱼等)。结合前期的技术赋能培训,旨在集团及其下属单位在遭遇到外界社工攻击时能够有所警觉,并且能够及时对其进行发现-分析-处置-溯源,上下联动,同步威胁情报,通过系统性的互联网溯源渠道流程对攻击者进行画像还原,加强企业纵向、水平防御。


防御战术


24h安全监测值守,建立主动监测和防御机制


依托全流量监测,结合各类安全设备日志,进行全方位、全天侯网络态势感知,及时发现阻断有效攻击行为。


在演习前期,需梳理好网络路径情况,针对互联网区域、核心交换区、关键交换区域分别部署流量采集探针,实时采集目标系统和关联系统的网络流量,全面分析重要系统的可疑网络行为,通过对本地流量进行全量还原、存储与深度分析,结合威胁情报数据,对一些高级威胁能够进行分析和定位。


并根据日常安全运营工作情况,集中部署了分析平台对攻击告警进行过滤、汇总,提高分析工作效率。安排专职的安全监测分析人员,7*24小时开展未知威胁告警分析,确保及时有效的发现攻击行为,修复安全漏洞隐患。


战略运筹,制敌制胜


攻击是最好的防守,打破以往的防守观念,重拳出击,以攻击者视角,以其之道还彼之身,结合孙子兵法其中的战术谋略,作为攻击反制思路的四大核心。在得知敌方来意后,将计就计。


反制核心之笑里藏刀

信而安之,阴以图之;备而后动,勿使有变。刚中柔外也。指表现出十分友好、充满诚意的样子,使对方信以为真,从而对我方不加戒备,我方暗中策划、积极准备、伺机而动。


在初步分析了解不法分子的目的意图后,顺其之势,积极顺从其想法进行工作配合,建立良好交际关系,无形间降低其对我方的安全警惕性,故作一副懵懂无知、木讷易骗的模样,从而消除内心防备,一步步反引诱其上钩。


反制核心之偷梁换柱:

阵有纵横,天衡为梁,地轴为柱。梁柱以精兵为之,故观其阵,则知精兵之所有。指用偷换的办法,暗中改换事物的本质和内容,以达蒙混欺骗的目的。在了解目标所需之后,借由偷梁换柱之际。例如将其所要的文件替换成远控程序,通过修改文件名、Logo等形式,将其包装成pdf的文件样式,从而替换其所想的文件为远控程序。


反制核心之瞒天过海:

备周则意怠,常见则不疑。阴在阳之内,不在阳之对。指一而再、再而三地用伪装的手段迷惑、欺骗对方,使对方放松戒备,然后突然行动,从而达到取胜的目的。


例如在打造远控程序之后,对其进行常用杀毒软件免杀,紧接着对其进行伪装,不引起目标怀疑。利用文件夹多层嵌套的形式,消磨其耐性,在借助其获利心切的想法,使其本能地双击执行打开目标文件;嵌套完后,对文件夹进行压缩加密,从而打造敏感文件加密传输的假象,消除其猜疑。


反制核心之顺手牵羊:

微隙在所必乘,微利在所必得。指记住可乘之机,不费劲的得到所想要的东西。


在与目标建立控制权限后,第一时间切勿打草惊蛇,通过一段时间的监控,寻找可乘之机。例如在目标放松防备之后,恢复平常办公模式,通过监视其工作动向与聊天内容,逐渐收集证据链。亦或在设备终端无人控制情况,尝试进行操作,冒充其对他人进行信息套取,收集信息。


公开合规信息捕获,绘制攻击者画像


千防万防,社工难防。人心千变幻化,社工一直是比较有效的攻击手段之一,并且花样层出不穷。对此,以互联网公开信息作为基点出发,联合汇聚,逐步揭开隐藏信息的面纱。


首先建立攻击溯源流程机制:

九维团队-蓝队(防御)| 以攻防之道论企业防御


通过大数据时代的便利,借助各大交际、娱乐、业务平台的个人信息暴露面,逐步完善攻击者画像,最终利用各渠道获取的信息点,以点绘面,得到目标画像。


实战应用 


某日,某集团下属单位在值守保障期间,收到一封疑似钓鱼的邮件,附件为txt,由于自身单位能力有限,通过内部沟通联络平台将攻击信息同步至集团。


九维团队-蓝队(防御)| 以攻防之道论企业防御
九维团队-蓝队(防御)| 以攻防之道论企业防御


通过初步分析发现为网络诈骗团伙攻击,接下来就通过上述的防守战略进行实践。


孙子兵法之笑里藏刀:

攻击者在要进行目标信息获取时,肯定会借由某种说辞,尝试进行交互,例如说发给您某文件需要你查阅(实则宏病毒,或者伪装后的exe),或者假冒领导、老板找你要一些信息资料等,这时我们可顺从其所图,积极配合,通过配合的方式调整,制造出我们被其主导的假象,从而降低其对我方的猜疑,放下心里防御,为后期的反制做准备。


孙子兵法之偷梁换柱:

在攻击者与我们互动之后,必然会暴露其目的,索要文件或套取信息,假如是文件,我们可以尝试将文件进行“加工”,借由偷梁换柱,从而替换其所想的文件为远控程序。


例如说攻击者问我们要某单位的一些人员信息凭证,可以说目前没有对人员的数据做好梳理归纳,但是公司所有的人员信息都在某XX上,可以登上平台自行查看,这时把钓鱼链接或者windows应用程序(实则 远控exe)发送给攻击者,让其自然去访问点击。


孙子兵法之瞒天过海:

在打造远控程序之后,对其进行常用杀毒软件免杀、伪装、文件夹多层嵌套、压缩加密等形式,消磨其耐性,并打造敏感文件加密传输的假象,消除猜疑。


如果尝试通过网页钓鱼获取凭证,我们可以通过高仿真的站点制作来消除其质疑,并且在站点的登录凭据适当加强,例如图形验证码、随机码、短信验证码,让站点显的更为真实。当然这类站点真实凭据作为攻击者自然是没有,所以也需要前期的一些话术铺垫,并假借配合攻击者工作,给予有效的凭证,待攻击者登录后自然就也可获取到其IP地址等信息。


孙子兵法之顺手牵羊:

在与目标建立控制权限后,做好权限维持,应沉住气,切勿打草惊蛇。待目标放松防备之后默默监视其动向,逐渐收集证据链


在这一步骤,我们可通过其终端现有的资料进行翻阅收集,如本地聊天记录、文件材料等;此外可能还需要长时间监控的方式(人为监控或录屏)去实时记录攻击者动态,在此过程中很有可能就会出现我们所需的目标信息。


互联网信息捕获:

通过持续化监测,根据捕获到的聊天记录、购买凭据、手机号以及一些通知材料,以及社交平台的联动,成功定位出目标的办公地点、手机号、人员模样等信息,在此不做赘述。


小结 


在当今网络环境下,无论什么行业或单位,都可能会存在着牵一发而动全身的风险。因此单位网络安全防御建设需面面俱到,但往往会因预算、人力等问题变得相对困难。


因此应充分地学会汇总现有资源,例如建立一个实时沟通、上下联动的合作机制就显得尤为重要。资源内容使用得当,亦可在小成本投入的情况下,获得成倍的防御效果回馈。成于人,败亦于人。




—  往期回顾  —


九维团队-蓝队(防御)| 以攻防之道论企业防御

九维团队-蓝队(防御)| 以攻防之道论企业防御
九维团队-蓝队(防御)| 以攻防之道论企业防御
九维团队-蓝队(防御)| 以攻防之道论企业防御
九维团队-蓝队(防御)| 以攻防之道论企业防御



关于安恒信息安全服务团队
安恒信息安全服务团队由九维安全能力专家构成,其职责分别为:红队持续突破、橙队擅于赋能、黄队致力建设、绿队跟踪改进、青队快速处置、蓝队实时防御,紫队不断优化、暗队专注情报和研究、白队运营管理,以体系化的安全人才及技术为客户赋能。


九维团队-蓝队(防御)| 以攻防之道论企业防御

九维团队-蓝队(防御)| 以攻防之道论企业防御
九维团队-蓝队(防御)| 以攻防之道论企业防御

原文始发于微信公众号(安恒信息安全服务):九维团队-蓝队(防御)| 以攻防之道论企业防御

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年2月3日02:00:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   九维团队-蓝队(防御)| 以攻防之道论企业防御http://cn-sec.com/archives/1342966.html

发表评论

匿名网友 填写信息