攻防演练之防守方资产收集与管控

  • 攻防演练之防守方资产收集与管控已关闭评论
  • 13 views
  • A+
所属分类:安全文章

本文选自《交易技术前沿》总第四十二期文章

摘要:根据中国互联网信息中心(CNNIC)发布的第46次《中国互联网络发展状况统计报告》(以下简称“报告”)显示,2020年上半年,国家信息安全漏洞共享平台收集信息系统安全漏洞11073个,较2019年同期(5853个)增长89.2%;2020年上半年,国家计算机网络应急技术处理协调中心(CNCERT)共监测发现我国境内被植入后门网站40086个,较2019年同期(30199个)增长32.7%。我国互联网信息资产仍面临较大安全威胁,近年来,国家机关、政府部门、企业内部通过网络攻防演练的模式,以攻促防、攻防相长,以此深入推动我国网络安全建设。信息资产是安全漏洞、攻击威胁的基本载体,资产暴露面程度意味着攻击者攻击面范围,资产收集与管控的好坏直接决定了防守方的胜败。

、概述

所谓知己知彼,方能百战不殆,网络攻防演练攻击方首要核心任务便是通过各种方式收集防守方信息资产,以期发现更多的暴露面资产、脆弱面资产,扩大攻击范围,进而利用各种安全漏洞迅速攻陷防守方,可见信息收集的好与坏决定了攻击方攻击的效率,甚至直接决定了攻击方能否达成攻防演练目标。对于防守方而言,防守方工作主要包括资产收集、安全检测与加固、网络路径收敛、安全产品部署、安全意识宣贯、安全值守、应急响应、溯源分析等,但不难发现所有的检测、加固、监测类工作均以信息资产为载体,如果不能较好的完成资产收集、管控工作,则直接导致安全检测、加固、监测等工作片面化、无重点性,整体效率降低,甚至可能出现本末倒置的情况,明确信息资产的重要性并做好信息资产的收敛与管控工作,直接决定了这场没有硝烟的网络攻防演练的成败。

本文以多次防守经验为依托,全面阐述资产收集、管控的方法和思路,理清信息资产、管控风险资产、降低攻击面,提升防守成效。

二、资产收集

明确资产收集与管控的重要性,对资产开展全面、有效的梳理,资产梳理的价值在于资产关联整合、有效管控,方能有效发挥其价值,资产收集管控作为安全运营工作的一部分,是一个持续整理、优化的过程,需要甲方单位、安全厂商多方配合方能高效完成。

攻防演练之防守方资产收集与管控

图1:全球实时网络攻击态势

(一)资产类型

信息资产划分粒度越精细,管控越精确,则整体防护工作越明朗。根据攻击队信息收集特点、攻陷目标特征以及防守方防护经验,将资产类型分为如下种类:

IP资产:外网开放使用的所有IP资产,该类资产需要精确到具体的IP地址、IP地址归属地、运营商类型等,特别是企业存在分支机构的情况,归属地便尤为重要。

端口、服务、中间件版本等资产:互联网开放的所有端口信息以及端口对应的服务信息、所使用的软件版本等信息,如IP地址1.1.1.1,开放80端口,中间件版本为shiro 1.2.4。

域名资产:域名、子域名资产、域名资产所对应的主办单位、可访问的URL等信息,特别是子域名资产,一般情况下,子域名无需备案,安全系数相对较低,是域名资产中的重点管控对象。

应用程序资产:移动应用程序、客户端、小程序、公众号等资产,该类资产和服务端直接通信,安全防护能力整体偏弱,特别是非主用的应用程序资产,安全防护更是微乎其微。

敏感信息资产:非资产拥有者指定范围之内的数据访问,则认为存在敏感信息泄露。源代码、企业员工信息、企业客户信息、密码、网络架构、内部受控文档、交易信息等等,该类资产可为攻击者提供直接、有效的攻击信息。

后管资产:即后台管理资产,如中间件默认后台管理页面、自研系统后台管理页面、运维后台管理页面等资产,该类资产权限一般较高,可查询数据、调整配置,甚至可直接执行系统命令,安全风险系数极高。

关键成员信息:常规情况下,通过企业组织架构即可查看完善的人员资产信息,但人员流动、职位变动可能导致组织架构更新不及时,通过收集、更新各部门、各小组安全责任人或信息系统维护人员信息,确保关键人员信息准确,做到随时可查询、可联系。

攻防演练之防守方资产收集与管控

图2:资产类型

(二)资产收集范围

1、外网资产

外网资产,即对互联网开放,任何人员通过互联网络在任何时间、任何地点可直接访问的网络资产。该类资产直接暴露于互联网,等同于城池的城门,是兵家战略攻击的首要目标,破门而入、横向移动、直取靶标,外网资产安全性直接威胁整个企业的网络安全。精细化梳理外网资产,全面、重点防护外网资产成为攻防演练的首要核心任务。

总部资产:总部外网资产特征是防护较为全面,但资产类型众多,具备一定的安全防护能力。

分支资产:分支机构资产特征是,单一分支外网资产数量有限,但分支机构、营业厅等单位众多,总体资产数量较多,类型较为繁杂。且受经费、安全重视程度等因素影响,缺乏必要的安全防护设备,基础防护能力较弱。

2、内网资产

内网资产即通过企业内部网络直接或间接方式(堡垒机、VPN等)访问的信息资产。该类资产未直接对互联网开放访问,攻击者需先行获取与外网有交互的资产权限后,进一步对内网资产进行横向渗透攻击。内网资产较外网资产防护较为脆弱,且该类型资产数量众多,是攻击方获取内网权限后,得分的重要依据,防守方理清内网资产,明确网络路径,是在外网交互资产失陷后,及时阻损的基础。

总部资产:总部内网资产具备数量庞大、模板化程度高、网络区域划分明显等特征,但风险在于单个网络区域资产数量众多,域间强隔离,域内防护薄弱等特点。单个安全域内的资产便可供攻击方获取充分的得分。

分支资产:分支内网资产具备资产数量相对较少、网络区域弱隔离等特征,分支机构内网资产同总部资产存在业务交互,网络通路较多,为攻击队内网横向至总部,乃至横向至靶标系统提供可能。

(三) 资产收集方式

资产收集方式众多,集技术方式、非技术方式、黑盒方式、白盒方式于一体,目的是能够收集较为全面的信息资产,笔者将从多个方面进行整体性介绍,供读者参考。

1、白盒方式

资产台账:制定资产台账并下发各部门,台账至少包含业务系统名称、内外网IP及端口映射关系、访问方式、框架组件版本信息、管理后台地址、资产类型、维护人信息等关键字段,收集较为全面的资产信息。

流量监测:通过部署在内外网的流量监控类产品,自动捕获资产信息,自动化收集、完善资产信息。

网络配置清单:最为有效、直接的梳理内外网关联资产清单是协调网络侧维护人员,导出F5、防火墙等设备内外网映射配置,根据配置梳理内外网关联资产清单。

DNS记录:通过企业DNS配置,直接导出DNS配置清单,DNS分为内网DNS服务清单以及DNS域名提供商配置清单,较为全面的收集域名资产。

2、黑盒方式

关键字典探测:制作具备企业特征的关键字字典,字典以企业全称(包括分支结构)、企业名称缩写、域名、业务系统名称及缩写、法人名称、官网电话等为基础数据,通过关键字变形形成企业内部关键字字典。利用关键字字典检测域名、网站后台路径,弱口令等。同样,利用关键字反向检测历史域名关联IP资产,发现更为全面的IP资产信息。

资产存活扫描:利用内外网扫描器,针对互联网已收集到的资产开展全量端口、服务资产探查。内网则采用网段式扫描,通过扫描器探测主机存活性。

搜索引擎探测:利用已制作的关键字典,通过爬虫、搜索引擎主动搜索等方式,主动发现企业信息资产。

其他方式:资产收集、探活方式众多,诸如企业信息反向检索域名、历史域名解析记录、证书查询、HIDS探活等等,本文不做过多赘述。

攻防演练之防守方资产收集与管控

图3:资产收集模式

(四)资产整合管控

1、资产属性

孤立的资产信息犹如一座孤岛,资产的价值在于其完整性,通过资产串联、整合来完善资产完整性,有效推进防守方防守工作建设。资产整合过程中,资产以端口为粒度,精细化梳理管控,建议资产管理平台、CMDB等平台设置关键标签字段,方便开展查询、分析及处置工作, 建议设置如下关键标签:

内、外网IP地址:内网IP地址,如有映射的公网IP地址,则应填充内网IP对应的外网IP地址。

端口信息:内网IP地址开放的端口信息,如有映射的外网端口,则应填充对应的外网端口信息。

域名信息:企业主域名、多级子域名信息,包括总部、分支机构涉及的域名信息。

互联网开放情况:标记是否对互联网开放应用,方便安全检测、加固、监测工作的开展。

中间件信息:资产端口对应的中间件类型及版本信息,当出现0day、nday漏洞攻击时,能够立即确定影响资产,迅速有效加固处置。

业务信息:资产所属业务系统,业务系统类型等信息。

访问地址:包括前端访问地址、后台管理访问地址等信息,后台管理平台集信息发布、平台管理、维护于一体,是攻击者的首选目标。

资产类型:如生产系统、测试系统、UAT系统、办公终端、运维终端类等等,当发生安全事件时,该标签能够有效帮助应急分析人员评估影响,确定处置手段;

资产属性:对资产分门别类,设置诸如堡垒机集权系统、域控集权系统、CMDB集权系统、网管集权系统、内部网盘共享系统、OA办公系统、VPN系统、内部扫描器、F5网关资产,nginx网关资产、合作商专线资产等,方便安全防护过程中,重点防护和监测,防止单个系统被攻击后,导致严重损失。

资产归属:资产所属分支机构、部门、对应责任人信息,责任人建议A、B角,保证在关键时刻可即时联系到责任人。

2、响应等级

不同的信息资产,重要程度不同,发生安全事件时,所触发的应急响应等级同样存在差异。根据资产所属网络区域以及资产属性特征,预先为资产设置不同的等级,能够在安全事件发生时,迅速判断并启动所触发的应急响应等级,降低因安全事件导致的损失。根据资产类型不同,可将资产标记为如下4个应急响应(Incident Response)等级。

攻防演练之防守方资产收集与管控

表1:资产应急响应等级分类表

攻防演练之防守方资产收集与管控

图4:应急响应等级

3、资产管控

资产梳理管控是安全运营过程中需要持续开展、优化的工作。根据信息资产属性,对资产形成整体性把控,下线诸如测试、临时、已过期等非必要系统,下线诸如文件上传、外网后管地址等非必要功能,关闭无主资产、缩减安全域范围、减少暴露面资产,全面控制可能被攻击的范围。收敛后的信息资产犹如推演沙盘,排兵布阵,边界资产全面防护与监控,核心资产重点精细化梳理、收敛访问通路并进行侧重性防护、关键路径通过蜜罐捕获攻击者特征,形成防护、监控、捕获三位一体的防守体系。

攻防演练之防守方资产收集与管控

图5:资产管控

精细化收集、集中化管理的信息资产,为防守方提供有效信息的同时,一旦其落入攻击方手中,将严重危害防守方防守工作。资产存储安全作为资产管控的重中之重,需要重点关注。

CMDB等平台集中存储企业资产信息,需要开展专项安全检测、加固、监测等工作;邮件往来过程中,邮件系统、邮件客户端中留存了大量的资产收集信息,内容应加密传输,收、发件箱、回收站、废纸篓彻底清理等工作保障信息资产安全性;移动存储介质、终端设备传输及保存信息资产时,存储介质加密、存储内容加密、及时清理留存的资产信息为信息资产安全保驾护航。

三、总结

网络安全犹如一场没有硝烟的战场,任何企业、个人都有可能成为这场战争中的受害者。攻防演练模拟真实网络攻击,能够有效推动企业网络安全建设。信息资产作为网络组成的基本单位,同时也是网络攻击的载体和最终目标,开展全面、完整、有效的资产收集和梳理工作,是打赢这场没有硝烟的战争的关键和基础工作。

信息源于:freebuf-wiki