0x1 本周话题TOP2
话题1: 如果大家最近有关注行业动态,应该有看到,一年一度的实战攻防演习可能临近了,开个实战攻防演习话题讨论:
1.实战攻防演习经验分享
2.你认为今年的演习会有哪些变化?以及你认为我国需要什么样的攻防演习
3.吐槽(Anything)
A1:其实实战演练应该在不知不觉中开展,这样才能摸底安全现状。现在演习也越来越卷了,已经不局限于守得住,还要在守得住的基础上去争取得分,亚历山大。另外国家力量是否也应该参与演习呢,体现国家队的整体监测防护能力。
个人观点是攻防演习应该常态化,你不搞,一样每天有大把的人想搞你。一旦一个漏洞防护不到位,就会出事,log4j就是个典型。今年会不会把供应链安全作为一个专项纳入演习目标:安全产品、重点行业重要系统通用软件?
A2:常态化是挺好,但是不好组织,除非用固定人员,目前不太现实。安全团队得逐步投入,现在真的常态化搞,一般的企业7*24抗压太大,安全团队还需要不断壮大。
关于演习评分,比如打进去就先扣分感觉不是非常合理。打进去一定时间内如果能发现,清理,正是安全建设需要的。把目标定成“不存在漏洞,不会被黑进去”不科学,不应该 打进去 == 扣分。
A3:常态化搞,只要不与指标挂钩,估计躺平的也多,boss对长期投入和短期投入的态度不一样。一年搞一次频率太高了,揠苗助长,容易走向极端,建议3年搞一次。
A4:大多数的单位安全就那3-5个人,要搞常态化防护,也很难的,只能躺平了。逼着买乙方服务,只能靠外部力量。目前不靠外部力量的少,特别是关基单位。
而买服务,可能申请近百万,到手能有20万就不错了,应该立法安全投入在单位信息化建设中不得少于一定比例。
A5:演习不在攻防那一刻,在于平时的建设、维护和运营,攻防是验证的时刻,所以其他得持续做,不断投入。我认为任何单位搞安全人数少于 10人,都不能形成比较有效的攻防对抗,都只停留应付合规、救火、擦屁股类的工作。
Q:今年攻防演习确认还搞么?
A6:目前计划是的。应该也不要求能对抗,能防守住就行,有利于攻击方,不利于防守方。
A7:建议常态化搞,真正帮企业找找问题,不要搞横向纵向比,发现的漏洞可以报给企业,也可以报给金融监管单位,并将漏洞和整改情况报一把手审阅。
A8:攻防演习就像薛定谔的猫,处于进来和没进来的量子叠加态。一旦观测了,就打破了叠加态,只能是进来或者不进来。从信息论角度,是增加了确定性,属于熵减过程。从这个角度说,也是对安全水平的衡量指标。比不参加强。
A9:如果常态化搞,能不能搞个收费模式,发现谁的漏洞就谁来给钱,这样既激励了攻击队,也鞭策了防守方。
Q:攻防演习结束后会不会有报告,进去的是如何进去的,进不去的是如何落地防护的,大家相互交流、相互讨论的,最后会不会达成一个类似于风评或者安全服务形式?或者大家还有什么合理化建议,可以统一收集向上反馈一下,尤其是关于规则的。
A10:有攻防技战法合集的,不过不公开。只有摒弃了得分、排名,攻防演习才会更趋于理性,才能接近最初的目的。即能得到改进和落地才是最终的目的。
A11:感觉今年供应链和数据安全是较大变化,攻击规则会发生一些变化。另外要求企业买单,按照企业规模进行投入,强制要求企业出安全预算。
A12:攻防规则今年应该会改,路径分会降低,靶标分核心系统分会提高。很多攻击队已经把攻防演习做成像应试考试了,研究规则,利用规则刷分。还有数据安全分,可能也会是一个变化,只是小道消息。
A13:是的,平时不主动出,出问题的就要被动出,一定程度上能调动企业的主观能动性。听说今年演习的重点是金融机构?数据安全分是以拿到攻击对象的数据类别和量级么?
A14:我觉得首先看数据的内容(敏感度),其次是数据量,根据两个造成的影响危害来评估。总体上,攻防演习参加的好处更大,一方面可以实际检验一下自身的安全措施是否到位,还可以提高全员的安全意识,同时还可以让高层老板更加的关注和支持安全建设。
A15:可以按漏洞等级和数量参考行业价收费,可适当浮高一点(比如加20-50%,算是“惩罚”或弥补组织成本)
A16:攻防演习分级分类标准往年是没有的,数据安全其实往年也有,一般裁判都不会给高分,大成果造成较大影响的都是需要攻击队申诉然后指挥部研判。
所以这里有个问题,目前如果只有部分行业的数据实现分级分类,那大概率不会全面统一记分标准,数据安全方面的评分难度就太大了……
A17:以个人信息衡量数据安全就很容易啊,毕竟个保法都生效了。
A18:去年演习用了300个0day(虚数)不还是有防住的。今年起码有一个变化,那就是攻防演习写进了条例,你要面临的场景就是攻击队用0day都不会给你打招呼。
A19:不管是数据还是同等重要系统,其实关注的核心点都一样,之关注造成的危害、影响,这个都是靠裁判组来综合研判的。
A20:道理是这样的,但是回过头来,攻防演习的目标是否应该寻求重点行业机构的总体安全能力上升,关注的是最短板。重点行业头部机构,没有攻防演习加持,安全依然投入很大,人才汇集,整体做的必然更出色。但是对于小企业,各方面受限,短板更突出。0day更多是攻击队内卷的结果。
A21:不要把0day想象得是银弹,之前听农行一位领导做分享,让我感触很深,他原本是做数据的,不是做安全的,拼漏洞技术肯定拼不过各位,但是安全工作做得很有章法,很细,很有成效。资产,区域,纵深,这些大家都清楚,等保也写,但是落不了地的细节,他通过攻击的方式逼业务主动去落地。
你有个漏洞没来得及修,这个太常见了,1day不也进来了,但是要往里走还是有行为的,还是可总结可监测的,不是去检测那个攻击特征,而是整体怎么纵深,攻防演习本意拼的就是检出响应,而不是拼运气没用有漏洞的组件。
A22:一般的布防重点肯定是在互联网边界,被突破后,内部渗透的难度小很多。内部的检测响应稍微有投入和方法的金融机构都能做到的,但是这点加分比起攻击队的直接拿到目标显得有点拙荆见肘,而且这个响应时间完全不好说。
A23:这几年演习基本从刷web全线转移到钓鱼,我在某所和大部分队伍聊,基本7成入口都是靠钓鱼撕的,这可能是一个演习形式和演习双方博弈的结果。
-
一个是目标多,大家现在也都知道修复漏洞了,web攻击面收紧的很多(还有大规模拔网线情况)0day类大家会有一些,但其实主要看支持的人手和资金实力。(现在只要肯花钱,大部分漏洞都能买到)并且通过web撕进去有些目标(比如金融类)网络做的很好,手里没有任何信息等同于重新打点。 -
然后是时间紧,人手有限,一个人看好几个目标,所以大家只能被迫去使用通用的手段,最后就发展成了全民钓鱼。所以今年疫情很多人居家办公了,这很有趣,不知道在会不会对这招造成影响。 -
关于一些建议,现在演习确实有点运动式了,大规模拔网线其实有点使演习失去意义。我们曾碰到过目标在演习结束后5分钟上线了,还有同一个目标在公安部演习(会提前通知防守)和地方演习(背靠背)上防御水位天差地别的情况。其实演习期间的联防威胁情报同步是个很有意义的事,如果能常态化应该会很有价值。
如何进群?
原文始发于微信公众号(君哥的体历):实战攻防演习探讨:今年的演习会有哪些变化?我国需要怎样的攻防演习?越权类的攻击是否有好的检测思路?| 总第143周
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论