2021HW参考|HW行动小总结

admin 2021年3月3日07:04:24评论1,888 views字数 2079阅读6分55秒阅读模式

2019年的HW行动,斗哥的团队有幸作为防守方参与演练。从5月份的准备到6月份的正式攻防,斗哥就和大家唠一唠这过程中,作为防守方,我们都做了哪些事情。

2021HW参考|HW行动小总结


1

HW行动

我们把整个HW行动包括前期准备分为三个部分:备战期、临战期、决战期。

2021HW参考|HW行动小总结
备战期


在备战期间,我们主要做了两件事情,一是减小攻击面,二是排查风险点。

2021HW参考|HW行动小总结

减小攻击面就是缩小暴露面。在这过程,客户进行多轮的暴露面排查。首先,我们通过收集到的客户资产进行爬取相关链接,确认是否无用页面、无用系统下挂关键系统域名下,接着对于一些已经业务需求不那么高的、无用的系统、闲置的服务器进行下电处理,最后对于有一定的业务需求但用户较少的系统直接迁入内网,通过VPN进行业务操作。通过一系列的缩小暴露面,最终客户对外仅开放几个端口,大大降低了攻击面。 

在排查风险点这块,我们主要做了两件事,一是人工渗透测试,二是webshell排查。人工渗透测试这块,倒是没发现大的问题,就是有个系统的某个功能模块存在权限漏洞,主要还是在功能提出需求的时候没有考虑到安全问题,整个功能模块的权限均存在问题。除了渗透测试,我们还对关键系统的服务器使用webshell排查工具进行后门排查,排查了14台服务器,发现并清除2232个后门文件及10个疑似后门文件,排查发现的木马文件发现非常多都是不可执行的图片马以及攻击者攻击的语句被应用日志记录的日志文件,暂无发现可执行的木马文件,应该都是早期黑客攻击留下的文件。

临战期


在临战初期,客户举行了两场攻防演练,通过公司内分队对攻到从上往下发起的攻击。这次演练发现了在备战期所忽略的地方:在备战期对风险点进行排查的时候侧重于WEB漏洞而忽视了其他漏洞的渗透及验证,导致在演练的时候被攻击方通过中间件漏洞攻破;还有就是在备战期对VPN没有做好严格的把控,以致于VPN的用户名及密码明文存储在APP中,被攻击方成功反编译出密码,直接进入内网。对于演练中发现的问题,我们进行以下处置:对于中间件漏洞及时升级补丁并且删除相关被利用的war包,对中间打补丁及删除war包的过程进行严格把控,对于进行的每个操作进行截图记录,确保每个过程都进行到位;对于VPN账号泄露问题,账号密码不写死在APP中,通过验证码进行VPN登录,且将APP进行混淆,防止攻击者通过反编译获取敏感信息。

2021HW参考|HW行动小总结

客户在临战期陆续将安全设备进行部署。针对这次HW行动,客户对原本已有的一些安全设备进行策略优化,同时也新增了一些安全设备。主要的类型有防御设备、监控设备等。防御设备还是最常见的WAF、IPS,对WAF、IPS的策略进行优化,增强设备的防御能力;监控设备这块就是我们自主研发了一个主机探针,主要作用就是对主机进程进行审计、webshell监控;除了主机监控还有就是网络流量监控设备,对监测的流量进行分析。

决战期


在决战期,最关键的就是应对每个安全事件的处置。

组织架构


2021HW参考|HW行动小总结

我们将所有的人员进行分工,主要有统筹组、监控组、研判组、网络处置组、应用处置组。统筹组主要就是对一些重大决定进行决策,统筹整个HW防守工作;监控组主要就是对WAF、IPS等安全设备进行7*24小时监控、派发、跟踪、反馈安全威胁;研判组主要是技术支撑,对于监控组发现的攻击行为进行技术研判;网络处置组主要职责就是发现攻击时在防火墙上对攻击方进行IP封锁;应用处置组主要就是对发现的攻击和漏洞进行风险处置、安全加固。

风险处置流程


根据监控设备告警划分风险等级,主机探针告警高于其他安全设备告警,主机探针作为防守的最后一道防线,若主机探针发出告警,则攻击已经进入内网,因此风险等级最高。根据风险等级不同,我们制定了两个风险处置流程:

2021HW参考|HW行动小总结

当收到主机探针告警,监控人员告知应用处置人员进行风险排查确认,同时通知网络处置组进行攻击IP封锁。应用处置组确认风险存在后,监控组立即通知机房管理员进行断网处置,随后,由应用处置组协助监控组进行溯源取证,并且对风险进行处置,删除shell脚本或木马程序。应用组处理后将结果反馈给监控组,监控组通知机房管理员将受攻击服务器进行下电处理,并且将事件记录在防御工作列表中。

2021HW参考|HW行动小总结

当其他安全设备监测到攻击时,监控组会将发起攻击源IP告知网络处置组进行封堵,同时将发现的告警信息发送给研判组进行研判,监控组根据研判结果通知应用处置组进行风险排查,应用处置组将加固结果反馈给监控组,监控组将事件记录在防御工作列表中。

2

总结


其实整个过程下来的话,对于斗哥来说还是颇有收获,有些小总结和大家分享一下: 
1.明确客户的所有开放资产,虽然这已经是老话长谈,但是确实也是最关键的,攻防从外到内,再从外围到靶机,还是要锁好每个入口,因此应和客户对于所开放的外网系统进行仔细梳理,缩小暴露面。 
2.每个环节都应进行闭环管理,不管是漏洞整改还是资产梳理,对于完成的每一个环节都要进行有效的管控。 
3.应急演练的重要性,对人员进行分工,提前演练真实攻防场景,明确对安全事件的处置流程,在应对安全事件发生时不会过于慌乱。

推荐阅读


2021HW参考|HW行动小总结

本文始发于微信公众号(乌雲安全):2021HW参考|HW行动小总结

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年3月3日07:04:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   2021HW参考|HW行动小总结http://cn-sec.com/archives/279442.html

发表评论

匿名网友 填写信息