专题｜网络攻防技战法及对策建议浅析

1.目标选择

在选择攻击目标时，攻击方往往重点关注以下几类目标。

（1）“网络资产多、下属企业多、边缘系统多”的“三多”目标。

（2）组织机构庞大的单位，从关注度较低的二级单位、子公司所属系统寻找突破口。

（3）互联网资产较多的单位，重点选取用户量大业务线长的目标系统作为突破口，如总部和子公司多级联动互通使用的系统。

（4）新上线系统往往存在安全漏洞和防护措施缺失等情况，易成为攻击突破口。

（5）测试系统、已停用未下线的系统缺乏统一安全管控。

（6）云计算、移动应用、物联网等新技术应用防护措施不到位，存在安全漏洞。

（7）通过攻击供应链上的供应商，迂回攻击目标系统。

2.攻击路径

攻击方大都从互联网外侧发起网络攻击，在突破互联网入口后，进入信息内网，之后进一步突破内网隔离，进而控制位于核心网络区域的目标系统。攻击路径如图1所示。

图1 网络攻击路径示意图

（1）入口突破。攻击者选定攻击目标后，通常会对目标网络进行信息搜集、对象建模和画像，收集域名、IP、服务、供应商，以及可能在互联网上泄露的员工邮箱、源代码、测试账号等敏感信息，再利用一些交互式数据挖掘工具（比如Kali里的Maltego），通过分析各种信息片段之间的关系，发现安全漏洞，寻找突破口。在信息搜集的基础上，对目标网络进行针对性漏洞探测扫描。除了利用系统和应用软件的漏洞外，弱口令也是使用最多、攻击效果最显著的手段。利用发现的漏洞展开攻击，针对口令的攻击方式主要是字典攻击，通常会利用员工账号及个人信息等构造针对性字典，攻击目标主要有电子邮件、移动办公、VPN以及应用管理后台等。

（2）内网渗透。攻击者突破互联网边界进入信息内网之后，通常会做以下几个动作，如图2所示。进入信息内网后，首先要立足，建立后门，隐藏起来，长期控制。通常内网的网络和端口是不允许互联网外侧直接访问的，所以攻击者首先要找到合适的主机建立跳板（这个跳板机可以是DMZ区的一台应用服务器，或者是一台被忽视的老旧系统），利用网络端口转发、数据代理等反向代理技术建立攻击数据通道，为下一步的内网横向拓展做准备。其次，数据通道建立后，在内网进行低强度的网络扫描，开展内网侦察，发现识别内网的各类设备资产，摸清网络拓扑结构。最后，通过漏洞利用、弱口令、内网嗅探、抓取域管理员口令等方法展开网络渗透，在同网段内进行横向渗透，跨网段和安全域进行纵向渗透，目标是控制域控服务器、DNS服务器、运维人员主机、堡垒机等关键主机，从而进一步突破区域隔离，控制核心系统。

图2 内网渗透方法及过程

1. 网络安全风险清理

（1）敏感信息清理

敏感信息主要包括网络及应用系统相关的技术文档、网络拓扑图、设备密码表、系统源代码、VPN、邮箱账号口令、证书等。清理方法主要是以IT资产信息(如域名、IP、开放端口、证书信息、企业名称、ICP备案信息、WHOIS信息等)作为搜索的敏感特征，再配合关键词（如网络架构图、网络拓扑图、邮箱、密码、文件名、通讯录、内部资料、安装说明等）搜索清理暴露的敏感信息。

敏感信息在互联网上的主要暴露源有以下几类。

搜索引擎类：百度搜索、360搜索、搜狗、谷歌、必应、搜搜、雅虎、有道、阿里云搜等；

学术网站类：CNKI、Google学术、百度学术等；

网盘类：百度云盘、新浪微盘、360云盘等；

代码托管平台类：Github、Bitbucket、Gitlib、Gitee等；

招投标网站类：自建招投标网站、第三方投标网站等；

文库类：百度文库、豆丁网等；

社交平台类：微信群、QQ群、论坛、贴吧等；

其他类：Pastebin（黑客共享信息平台）、暗网等。

（2）网络边界梳理

对互联网、主干网、第三方专线外联区等网络边界进行梳理，形成网络边界清单，如图3所示。

图3 网络边界清单示例

（3）网络资产清理

对互联网、内网的各类网络资产进行摸底清理，对暴露在互联网上的设备、应用、数据库等网络资产进行彻底排查，关闭不必要的主机、应用和开放端口。全面开展内网信息系统、网络设备的资产排查工作，摸清资产情况，下线废弃和不明归属的主机系统。

2.网络加固防护

为有效识别和防护网络环境中的各种安全威胁，采取有效的措施防范，消除安全隐患，要利用不同区域、不同层面的安全保护措施，构建纵深防御体系，综合运用态势感知、流量监测、追踪溯源等手段进行动态防护，并对域控服务器、堡垒机、单点登录系统等“集权系统”和核心网络边界开展重点防护，形成有机的安全保护体系。

（1）纵深防御。部署安全态势感知系统、流量监测分析系统加强全局监测；部署0day漏洞监测设备，加强0day漏洞攻击监测防护；对于网络边界，可以通过增加防火墙、入侵检测等必要防护措施加固，同时要收紧访问控制和安全防护策略；内网的安全域之间，要按照最小化权限原则收紧各安全域间的访问控制策略；主机层面，可以采取修改密码、关停不必要进程和端口等，对主机和服务器系统进行加固。

（2）动态防护。利用态势感知系统对全网安全态势进行实时监测；采用流量监测系统对全网流量进行回溯分析；结合威胁情报对安全事件进行快速分析；通过在重点防护部位部署蜜罐和安全沙箱等措施，诱捕恶意攻击行为，引流攻击流量；部署网络行为追踪溯源防护设备加强攻击行为的反向溯源。

（3）重点防护。在重点主机上部署主机防护监测系统进行加固防护，采取IP白名单和强口令等方法，加强堡垒机、域控服务器等集权系统的防护；将Web防护组件编译到服务器上，在服务器上启用WAF功能，部署软WAF；部署数据库实时审计系统和数据库防火墙，部署探针到中间件服务器，加强数据库访问审计；对核心网络采取网闸等隔离措施进行有效隔离防护。

网络安全是一项系统性工作，安全风险存在于员工安全意识、技术防护措施、系统运维管理等多个维度，下面针对具体安全风险给出针对性的对策建议。

1.安全风险描述：网络和服务器设备及邮件、OA等重要应用系统存在弱口令。

对策建议：在安全运维管理规范中明确口令设置管理规则，管理员在管理网络、安全、服务器等设备时，不使用相同口令，避免采取特定规则设置，口令满足复杂度要求，并定期更换；对于员工和用户使用的邮箱、OA及其他应用系统密码，建议设置强制定期更改口令策略，并严格口令复杂度要求。

2.安全风险描述：邮件或主机中存储设备资产及密码表、VPN账号证书、网络安全设计方案、拓扑图等敏感信息，被攻击者利用。

对策建议：加强员工网络安全意识培训，培养邮件安全使用意识；通过操作规程约束、签署保密协议等方式，加强敏感信息存储使用管理，限制内部人员通过邮件发送或在主机内存储、传输设备资产及密码表、VPN账号证书、网络安全设计方案、拓扑图等敏感信息；通过经常性安全检查和网络监测技术手段，排查敏感信息泄露问题。

3.安全风险描述：源代码、账号/密码、证书等敏感信息在互联网上泄露（GitHub、百度文库等）。

对策建议：对在互联网上泄露的敏感信息进行定期排查和清理（网盘、搜索引擎、学术网站、代码托管平台、招投标网站、文库等）；在与供应商合同中明确系统开发过程中关于源代码泄露、安全漏洞等安全责任。

4.安全风险描述：员工遭到社会工程学攻击。

对策建议：加强员工网络安全教育培训，提高员工安全防护意识；加强外来人员安全管理，防止未授权设备和移动介质非法接入。

5.安全风险描述：域管理员账号及密码被攻击者抓取，导致域控服务器很快被攻破。

对策建议：加强域账号密码管理；加强域账号密码管理使用，不随意使用域管理员账号登录域终端;在域控服务器上配置本机防火墙，限定特定IP地址访问域控服务器3389管理后台;将域控服务器与业务服务器划分到不同安全域，通过交换机访问控制策略限制域控服务器的3389等端口访问权限，采取白名单方式限定特定管理主机登录域控服务器3389后台权限；启用堡垒机进行服务器运维管理。

6.安全风险描述：邮件、OA、VPN等重要系统应用遭到字典攻击或撞库攻击。

对策建议：设置密码安全策略强制用户定期更改密码，并设定复杂度要求;设置连续错误登录账户锁定等登录次数限制;重要业务系统身份认证采取双因子认证方式。

7.安全风险描述：VPN账号被破解。

对策建议：VPN用户身份认证采取双因素认证方式;设置VPN账号登录次数限制;按照最小化权限原则设置VPN账号权限限制，禁止使用VPN账号拨入内网进行系统运维、后台管理等操作。

8.安全风险描述：内网安全漏洞未及时修补，被攻击者利用进行横向移动。

对策建议：在安全运维管理规范中明确安全漏洞补丁管理职责分工，定期组织落实补丁更新和漏洞修补工作;通过搭建补丁更新服务器、部署企业版终端防护系统等方式，集中管理推送各终端和服务器的安全漏洞补丁。

9.安全风险描述：部署在互联网上的知名厂商OA、邮件、VPN等系统存在0day漏洞，被攻击者利用。

对策建议：采取在服务器上采取部署主机安全监测、代码修改监测等技术措施，加强互联网上重要应用系统的安全运行监测，及时发现攻击行为;通过引入威胁情报信息，及时发现攻击线索和高危漏洞安全风险，提高0day漏洞攻击响应处置能力。

来源：《网络安全和信息化》杂志

作者：中核核信信息技术（北京）有限公司 吉梁 张士莹 王逸鹤