实战攻防演习探讨:今年的演习会有哪些变化?我国需要怎样的攻防演习?越权类的攻击是否有好的检测思路?| 总第143周

admin 2022年4月25日02:10:01HW&HVV评论13 views5289字阅读17分37秒阅读模式

实战攻防演习探讨:今年的演习会有哪些变化?我国需要怎样的攻防演习?越权类的攻击是否有好的检测思路?| 总第143周


实战攻防演习探讨:今年的演习会有哪些变化?我国需要怎样的攻防演习?越权类的攻击是否有好的检测思路?| 总第143周


0x1 本周话题TOP2


话题1: 如果大家最近有关注行业动态,应该有看到,一年一度的实战攻防演习可能临近了,开个实战攻防演习话题讨论:

1.实战攻防演习经验分享

2.你认为今年的演习会有哪些变化?以及你认为我国需要什么样的攻防演习

3.吐槽(Anything)

A1:其实实战演练应该在不知不觉中开展,这样才能摸底安全现状在演习也越来越卷了,已经不局限于守得住,还要在守得住的基础上去争取得分,亚历山大。另外国家力量是否也应该参与演习呢,体现国家队的整体监测防护能力


个人观点是攻防演习该常态化,你不搞,一样每天有大把的人想搞你。一旦一个漏洞防护不到位,就会出事,log4j就是个典型。今年会不会把供应链安全作为一个专项纳入演习目标:安全产品、重点行业重要系统通用软件?


A2:常态化是挺好,但是不好组织,除非用固定人员,目前不太现实。安全团队得逐步投入,现在真的常态化搞,一般的企业7*24抗压太大,安全团队还需要不断壮大


关于演习评分,比如打进去就先扣分感觉不是非常合理。打进去一定时间内如果能发现,清理,正是安全建设需要的把目标定成“不存在漏洞,不会被黑进去”不科学,不应该 打进去 == 扣分。


A3:常态化搞,只要不与指标挂钩,估计躺平的也多,boss对长期投入和短期投入的态度不一样。一年搞一次频率太高了,揠苗助长,容易走向极端,建议3年搞一次。


A4:大多数的单位安全就那3-5个人,要搞常态化防护,也很难的,只能躺平了。逼着买乙方服务,只能靠外部力量。目前不靠外部力量的少,特别是关基单位。


而买服务,可能申请近百万,到手能有20万就不错了,应该立法安全投入在单位信息化建设中不得少于一定比例


A5:演习不在攻防那一刻,在于平时的建设、维护和运营,攻防是验证的时刻,所以其他得持续做,不断投入我认为任何单位搞安全人数少于 10人,都不能形成比较有效的攻防对抗,都只停留应付合规、救火、擦屁股类的工作


Q:今年攻防演习确认还搞么?


A6:目前计划是的。应该也不要求能对抗,能防守住就行,有利于攻击方,不利于防守方。


A7:建议常态化搞,真正帮企业找找问题,不要搞横向纵向比,发现的漏洞可以报给企业,也可以报给金融监管单位,并将漏洞和整改情况报一把手审阅


A8:攻防演习就像薛定谔的猫,处于进来和没进来的量子叠加态。一旦观测了,就打破了叠加态,只能是进来或者不进来。从信息论角度,是增加了确定性,属于熵减过程。从这个角度说,也是对安全水平的衡量指标比不参加强。


A9:如果常态化搞,能不能搞个收费模式,发现谁的漏洞就谁来给钱,这样既激励了攻击队,也鞭策了防守方。


Q:攻防演习结束后会不会有报告,进去的是如何进去的,进不去的是如何落地防护的,大家相互交流、相互讨论的,最后会不会达成一个类似于风评或者安全服务形式?或者大家还有什么合理化建议,可以统一收集向上反馈一下,尤其是关于规则的。


A10:有攻防技战法合集的,不过不公开只有摒弃了得分、排名,攻防演习才会更趋于理性,才能接近最初的目的。即得到改进和落地才是最终的目的。


A11:感觉今年供应链和数据安全是较大变化,攻击规则会发生一些变化。另外要求企业买单,按照企业规模进行投入,强制要求企业出安全预算


A12:攻防规则今年应该会改,路径分会降低,靶标分核心系统分会提高。很多攻击队已经把攻防演习做成像应试考试了,研究规则,利用规则刷分。还有数据安全分,可能也会是一个变化,只是小道消息


A13:是的,平时不主动出,出问题的就要被动出,一定程度上能调动企业的主观能动性。听说今年演习的重点是金融机构数据安全分是以拿到攻击对象的数据类别和量级么?


A14:我觉得首先看数据的内容(敏感度),其次是数据量,根据两个造成的影响危害来评估。总体上,攻防演习参加的好处更大,一方面可以实际检验一下自身的安全措施是否到位,还可以提高全员的安全意识,同时还可以让高层老板更加的关注和支持安全建设


A15:可以按漏洞等级和数量参考行业价收费,可适当浮高一点(比如加20-50%,算是“惩罚”或弥补组织成本)


A16:攻防演习分级分类标准往年是没有的,数据安全其实往年也有,一般裁判都不会给高分,大成果造成较大影响的都是需要攻击队申诉然后指挥部研判。


所以这里有个问题,目前如果只有部分行业的数据实现分级分类,那大概率不会全面统一记分标准,数据安全方面的评分难度就太大了……


A17:以个人信息衡量数据安全就很容易啊,毕竟个保法都生效了。


A18:去年演习用了300个0day(虚数)不还是有防住的。今年起码有一个变化,那就是攻防演习写进了条例,你要面临的场景就是攻击队用0day都不会给你打招呼


A19:不管是数据还是同等重要系统,其实关注的核心点都一样,之关注造成的危害、影响,这个都是靠裁判组来综合研判的。


A20:道理是这样的,但是回过头来,攻防演习的目标是否应该寻求重点行业机构的总体安全能力上升,关注的是最短板重点行业头部机构,没有攻防演习加持,安全依然投入很大,人才汇集,整体做的必然更出色。但是对于小企业,各方面受限,短板更突出。0day更多是攻击队内卷的结果。


A21:不要把0day想象得是银弹,之前听农行一位领导做分享,让我感触很深,他原本是做数据的,不是做安全的,拼漏洞技术肯定拼不过各位,但是安全工作做得很有章法,很细,很有成效。资产,区域,纵深,这些大家都清楚,等保也写,但是落不了地的细节,他通过攻击的方式逼业务主动去落地。


你有个漏洞没来得及修,这个太常见了,1day不也进来了,但是要往里走还是有行为的,还是可总结可监测的,不是去检测那个攻击特征,而是整体怎么纵深,攻防演习本意拼的就是检出响应,而不是拼运气没用有漏洞的组件


A22:一般的布防重点肯定是在互联网边界,被突破后,内部渗透的难度小很多。内部的检测响应稍微有投入和方法的金融机构都能做到的,但是这点加分比起攻击队的直接拿到目标显得有点拙荆见肘,而且这个响应时间完全不好说。


A23:这几年演习基本从刷web全线转移到钓鱼,我在某所和大部分队伍聊,基本7成入口都是靠钓鱼撕的,这可能是一个演习形式和演习双方博弈的结果

  • 一个是目标多,大家现在也都知道修复漏洞了,web攻击面收紧的很多(还有大规模拔网线情况)0day类大家会有一些,但其实主要看支持的人手和资金实力。(现在只要肯花钱,大部分漏洞都能买到)并且通过web撕进去有些目标(比如金融类)网络做的很好,手里没有任何信息等同于重新打点。
  • 然后是时间紧,人手有限,一个人看好几个目标,所以大家只能被迫去使用通用的手段,最后就发展成了全民钓鱼。所以今年疫情很多人居家办公了,这很有趣,不知道在会不会对这招造成影响。
  • 关于一些建议,现在演习确实有点运动式了,大规模拔网线其实有点使演习失去意义。我们曾碰到过目标在演习结束后5分钟上线了,还有同一个目标在公安部演习(会提前通知防守)和地方演习(背靠背)上防御水位天差地别的情况。其实演习期间的联防威胁情报同步是个很有意义的事,如果能常态化应该会很有价值。

A24:钓鱼成功之后,有时候光靠本机信息收集攻击队就能吃饱,直接拿浏览器、xshell、securecrt、navicat等客户端软件保存的账密,开个代理连上去,就能拿分了,都不用横移,运气好还能登录标靶。

A25:演习渐渐变了味道,甲方投入大量的人力物力为演习而演习,为了不被通报不出局,而不是为了切实增强能力,甚至不惜停业务下线系统,但仍免不了被0day群殴。

乙方的红蓝队们当然也有众多问题,手机码字就不多说了。我认为形式是该考虑变化一下了,把这种一年一度的考试模式转变一下,关键一点是不能拿通报批评、扣分作为惩戒措施,那样只会让一众参与者们失去了初心。以上有我亲身经历也有道听途说,观点仅限个人眼界高度,求各位轻喷。

A26:对好多大型机构来说,不需要担心投入问题,攻防演习期间堆了大量的设备人员,这种应考型的演练活动我个人认为没办法体现一个机构真正的安全能力。积极意义在于,借着攻防演习期间的安全投入,确实提高了很多机构安全能力,全民安全意识也提高了。

A27:参加一次,能把演习中告警检测、研判、处置、响应的流程沉淀下来,常态运营的会比较有意义。攻防演习HV驱动型,我们就是通过攻防演习驱动安全建设。

A28:个人感觉攻防演习(红蓝对抗)还是有用的,可以发现企业内部忽略或者建设不到位的地方,然后查漏补缺是对于企业来讲最有用的一环。演习前的查漏(排查)可以推动一部分安全的建设;演习后的补缺也是一个完善的过程,中间的护网也能考验安全人员的实战能力
 
话题2:请教个问题,越权类的攻击有好的检测思路吗?

A1:人工测试,但在运营监控这块有发现越权的手法吗?

A2:记录请求,记录每个请求包,结合用户信息(权限)进行分析呢(事后异步进行分析)。可以检测是否被攻击。

A3:这个是从事后审计的角度去看了,前提也要有完善的权限控制逻辑,才能进一步去实现审计。

A4:几个特征,接近规律和顺序的参数枚举,增量的数据口和关联度,异常的接口跳跃和关联。目前实时发现是比较困难。如果完整的测试环境,用黑盒会好点。

总体上,两个方法:一是通过安全测试主动发现,二是做特征事后审计

A5:自行扫描出漏洞后进行手工复测吧,或者关注下安全情报。

A6:自行扫描针对越权这类逻辑漏洞无效吧?扫描器对越权的检测作用不大。

A7:针对不同的越权漏洞,写一些针对性的扫描插件,通过人工运营不断调整参数。但一般的精确率不高,50%就很优秀了

而且针对性的扫描插件需要针对系统定制,据业务场景,最好是联合业务侧共同开发维护,比如电商。

A8:还是得靠人工去测。那些说可以支持越权漏洞扫描的工具,基本都是样子货。就靠一些简单的规则,比如递增一些参数值,配置2个不同cookie后期需要各种个性化维护才行。那通过agent采集流量进行自动化的重放修改,应该可以实现一部分简单的场景,但是场景适合在测试环境,生产环境可能会影响数据(例如:增删改)

A9:可以通过测试流量镜像获取,若是cookie失效可以再更新。当然的确是需要持续的运营团队合作。另外流量镜像采集到流量之后,可以和IAM权限管理系统结合起来,进行不同用户不同权限的流量重放,水平和垂直越权漏洞可以都检测到

A10:像这个例子:中通安全开源项目之越权漏洞自动化检测越权漏洞一般都是人工测试出来了,工具一般跑不出吧?

A11:反正我基本上以情报为主,像polkit的,exp出来马上去测。逻辑漏洞还是更信赖人工的,但人工审计逻辑漏洞相对挺花时间的。

A12:逻辑漏洞其实应该在需求评审、威胁建模阶段识别出来。后续上线后做一个复测。只是不知道有没有做自动化验证的,也知道现成的产品有做过实际测试,检测率能达到多少。

0x2 本周精粹

供应商及人员安全管理

金融实践群精华回顾之三 - 职业欠钱理解的安全运营

金融实践群精华回顾之四-测试环境安全管理漫谈

0x3 2022年第15周运营数据

金融业企业安全建设实践群 | 第143期
本周群里共有 103 位群友参与讨论,群发言率为 22.83 %,群发言消息数为 410 条,人均发言数为 3.98 条。

企业安全建设实践群 | 第68期
本周群里共有 98 位群友参与讨论,群发言率为 28.9 %,群发言消息数为 318 条,人均发言数为 3.24 条。 

0x4 群友分享

【漏洞情报】

【漏洞通告】关于 Apache Struts2 远程代码执行漏洞的通告

【安全资讯】

滴滴发布自美退市公告!证监会深夜回应

焦点访谈:失算的数据买卖 首例涉案数据被鉴定为情报案件

专题工作 | “个人信息保护影响评估专题工作”首次研讨进展情况

APTMalInsight:基于系统调用信息和本体知识框架识别和认知APT恶意软件

【安全管理】

ATT&CK 变成安全“元宇宙”?

守牢金融网络和数据安全防线

上海市网络安全事件应急预案 (2019年版)全文

--------------------------------------------------------------------------------

【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送(每周)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。

往期群周报:

突发灾难状况下单位的开发工作如何解决?安全远程办公方案暨大数据分析技术栈ELK vs clickhouse探讨| 总第142周

如何用量化指标梳理网络安全等级保护系统定级?疫情形势下怎样确保远程工作安全?算法备案与算法安全管理制度建设探讨 | 总第141周

如何有效杜绝员工github泄密?应用漏洞数量的增降改变 VS 安全与研发能力向上汇报?数据安全运营怎么做?| 总第140周

如何进群?

如何下载群周报完整版?
请见下图:

实战攻防演习探讨:今年的演习会有哪些变化?我国需要怎样的攻防演习?越权类的攻击是否有好的检测思路?| 总第143周

原文始发于微信公众号(君哥的体历):实战攻防演习探讨:今年的演习会有哪些变化?我国需要怎样的攻防演习?越权类的攻击是否有好的检测思路?| 总第143周

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月25日02:10:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  实战攻防演习探讨:今年的演习会有哪些变化?我国需要怎样的攻防演习?越权类的攻击是否有好的检测思路?| 总第143周 http://cn-sec.com/archives/938781.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: