专题｜攻防视角下初看企业内网攻击面管理

从2021年某网络攻防演习情况来看，250多家防守单位中，130多家被突破，也就是“54%的防守方会被攻入内网”，比例较高。整体来看，80%~90%的攻击方可以攻入内网。从攻击手段和价值来看，关于0Day漏洞的利用数量，2018年是极个别，2019年大概有十四五个，2020年是四五十个,而2021年统计收集的0Day漏洞接近300个,到了2022年单单防守方提交的0Day漏洞就有1 500多个。当然，这些0Day漏洞不一定都是用来突破边界的，但有如此多0Day漏洞利用，一定说明单独靠边界防护肯定是防不住的，攻进来是大概率的，这已经成为一种共识，只有“发现了攻进来”的和“攻进来没发现”的。

因此，被动的网络防御已经沦为一种渐渐失效的安全策略，以外部攻击者视角来审视企业所有资产可被利用的攻击可能性，将是向进攻性或主动式安全方式转变的开始。通过攻方视角可以看到外部远远超出自己边界的情况，尽早洞察内部威胁，并采取适当措施来缓解威胁和降低风险。

1.攻击方攻击路径及方法

攻击方攻击路径一般采取如下方式：初始探测及入侵-攻击维稳-内网信息收集-漏洞嗅探-漏洞利用横向移动。初始信息收集以人工探测为主，渗透经验非常重要；在初始入侵后增加了“攻击维稳”环节，避免掉线；内网信息收集先单人单点摸排，再集中火力有目标的扫描；漏洞嗅探时，先确定版本、补丁、进程等信息，在尽可能全面了解的前提下进行漏洞探测，多伪装；漏洞利用过程中，尽可能伪装自己的流量，构造攻击载荷Payload时，尽量贴合对方业务，在合适的时间进行合适的探测；横向移动时多人合作，以最快速度寻找下一个内网缺陷以突破边界。

在初始探测及入侵阶段，主要会收集真实IP、端口、域名、应用及版本等，会尝试采用钓鱼邮件社工等方法入侵。近年来有两个特点：一是常态化，攻击方一般会常态化进行资产扫描探测，提前储备资产及漏洞信息；二是自动化，攻击方会研发自有工具集，实现信息收集、扫描探测、漏洞利用的一键自动化。所以，对于高水平的攻击方，攻击起点是“内网”。

在利用漏洞突破互联网边界环节，主要是通过各种比较容易利用的漏洞，可以直接执行命令获取权限，比如RCE漏洞、文件上传、反序列化漏洞、第三方组件框架漏洞等，或者直接用0Day漏洞或1Day漏洞进行边界突破。

进入内网后，攻击方主要通过信息收集、弱口令、各类漏洞、内网社工等方式进行横向扩展攻击，最终直至目标系统。

2.攻击方得分点

从攻击得分情况来看，攻击方的得分主要分为四个方面：获取权限类、突破边界类、发现隐患类、攻陷目标类。通过分析这些得分，发现防守方绝大多数都是在内网丢的分，例如：单点登录系统口令及权限；堡垒机、运维机等集权系统权限；域控系统权限；防火墙、路由器、VPN等网络设备权限；突破物理隔离业务内网；突破核心生产网(核心账务网、工控调度网等)；发现前期已被植入的木马、破解的主机、新增的账号等；获取和目标系统同等或更重要系统权限；获取业务内网的目标；获取核心生产网的目标等。根据经验分析，攻击方90%以上的得分是在内网。

1.打破边界局限性

设备之间查漏补缺无可厚非，但一定要结合企业实际情况，重全局、轻落地。在设备多的情况下，要做好统一调度，从多源检测、多级汇聚入手，将监测到的信息数字化，才能做到精准高效处置，实现从人工到半自动化再到自动化的终极转变。要多关注一些没经过安全设备的流量，补齐这些缺口。

作为攻方屡屡成功的手段，钓鱼攻击是非常常见且有效的攻击方式，因此应注重钓鱼邮件防范，做好常态化钓鱼邮件演练，甄别高危人员，提高全员防范钓鱼邮件意识，并通过演练提高对钓鱼邮件的应急处置水平。

2.加强监测及预警

（1）摈弃只关注重要资产和特定类型告警的运营习惯。所有资产在运营方面本质上一视同仁，结合资产业务重要性、资产级别、资产部署区域等多个维度、多视角制定监测规则，重点要做到监测规则的可动态调整。

（2）加强业务逻辑类漏洞的风险监测与预警。通过分批次有重点地收集业务日志，基于业务场景梳理业务规则，逐步增强安全运营在业务层面的攻击面管控，以大数据平台即态势感知技术赋能业务，引起业务部门对数字化安全运营的兴趣并提高重视程度。

（3）加强事件型漏洞和高危0Day漏洞的监测和响应。针对事件型漏洞，建立安全响应剧本。一方面，结合业务场景进行常态化应急响应剧本创建；另一方面，将攻防演练过程中发现过的事件处置过程进行总结提炼，以自动化响应剧本的形式纳入攻击面管理。安全响应剧本的建设对提升企业安全运营的自动化编排响应能力颇有裨益。

针对0day漏洞，不要局限于如何防住它，而是要侧重于0day漏洞利用后的及时发现和封阻处置。

3.提升安全策略的有效性迭代与冲突管理能力

增加业务安全测试频率和强度。业务与安全一直以来就容易存在一定的冲突，这种冲突往往容易给攻击者攻入企业内部的口子，造成攻击面的不必要扩大。针对这类情况，防守方不能因为怕影响生产稳定就“一刀切”，不去做业务安全测试与策略验证，反而应该善于在实践中总结业务与安全策略的冲突。本着“大胆猜想，小心验证”的策略，可以在梳理业务资产属性的前提下，优先挑选非重要同类业务模块在非业务高峰期进行安全策略的验证，提前做好应急响应方案，不断对安全策略进行有效性迭代优化，同时做好策略记录及回退管理。

4.突破流量监控覆盖面的局限性，分而治之

加强企业攻击面管理，通过漏洞扫描及攻防演练发现和梳理监控盲点，在演练过程中有目的地重点关注影子资产、供应链资产、三方API接口等攻击面重灾区，不断补充流量和日志监控缺口，完善攻击面的管理。

5.加强安全运营产品的整合和运营团队建设

由于各企业内部安全建设需求的不同现状，短期来看，安全运营产品的堆叠不可避免，但是一定要从全局布局，引进新产品时，多从信息科技甚至业务场景所涉及到的攻击面出发，全面调研。除了了解安全产品的底层运行原理、主要功能及优劣势外，还要重点考虑与存量已部署安全产品或企业网络架构是否存在冲突，引入此类冲突的必要性及冲突解决方案。另外，在引入新产品时要考虑配套的运营人员支持与培训，给运营人员灌输攻击面管理的思维，多从攻击面风险出发，分析告警、加强研判，培养企业自己的具有攻击面管理思维的高精尖安全运营人才。

总之，攻击面的有效管理需要以外部视角来审视企业网络资产可能存在的攻击面及脆弱性，重点关注边界处存在被利用的攻击可能性，强调整个企业资产可能存在的脆弱性，而不仅仅是已知资产和漏洞。

规划上，要将任务做全、做细分阶段，并且细分领域实施单人责任制，纳入考核。初始阶段主要是摸排资产管理面的断链，查找管理漏洞；其次是将断链关联到部门或人，让一切不清晰的风险清晰可见；最后是针对性补充所缺，结合第二阶段的断链关联关系统一考核，风险下发，营造“全民皆兵”的攻击面管理整改氛围。

来源：《网络安全和信息化》杂志

作者：海洋石油富岛有限公司 郭晓宏 江居传