1.什么是蓝队
蓝队一般是以参演单位现有的网络安全防护体系为基础,在实战攻防演习期间组建的防守队伍。蓝队的主要工作包括前期安全检查、整改与加固,演习期间进行网络安全监测、预警、分析、验证、处置,后期复盘总结现有防护工作中的不足之处,为后续常态化的网络安全防护措施提供优化依据。
2.蓝队组成
下面是组成蓝队的各个团队在演习中的角色与分工情况:
**目标系统运营单位:**负责蓝队整体的指挥、组织和**安全运营团队:**负责整体防护和攻击监控工作;
**攻防专家:**负责对安全监控中发现的可疑攻击进行分析研判,指导安全运营团队、软件开发商等相关部门进行漏洞整改等一系列工作;
**安全厂商:**负责对自身产品的可用性、可靠性和防护监控策略是否合理进行调整;
**软件开发商:**负责对自身系统安全加固、监控和配合攻防专家对发现的安全问题进行整改;
**网络运维队伍:**负责配合安全专家对网络架构安全、出口整体优化、网络监控、溯源等工作;
**云提供商(如有):**负责对自身云系统安全加固,以及对云上系统的安全性进行监控,同时协助攻防专家对发现的问题进行整改。
某些情况下,还会有其他组成人员,这需要根据实际情况具体分配工作。
防守的3个阶段
为了及时发现安全隐患和薄弱环节,需要有针对性地开展自查工作,并进行安全整改加固,内容包括系统资产梳理、安全基线检查、网络安全策略检查、Web安全检测、关键网络安全风险检查、安全措施梳理和完善、应急预案完善与演练等。
一是建立合理的安全组织架构,明确工作职责,建立具体的工作小组,同时结合工作小组的责任和内容,有针对性地制定工作计划、技术方案及工作内容,责任到人、明确到位,按照工作实施计划进行进度和质量把控,确保管理工作落实到位,技术工作有效执行。
二是建立有效的工作沟通机制,通过安全可信的即时通讯工具建立实战工作指挥群,及时发布工作通知,共享信息数据,了解工作情况,实现快速、有效的工作沟通和信息传递。
成立防护工作组并明确工作职责,责任到人,开展并落实技术检查、整改和安全监测、预警、分析、验证和处置等运营工作,加强安全技术防护能力。完善安全监测、预警和分析措施,建立完善的安全事件应急处置机构和可落地的流程机制,提高事件的处置效率。
在实战防护中,分析研判应作为核心环节,分析研判人员要具备攻防技术能力,熟悉网络和业务。分析研判人员作为整个防护工作的大脑,应充分发挥专家和指挥棒的作用,向前,对监测人员发现的攻击预警进行分析确认并溯源,向后,指导协助事件处置人员对确认的攻击进行处置。
安全监测须尽量做到全面覆盖,在网络边界、内网区域、应用系统、主机系统等方面全面布局安全监测手段,同时,除了IDS、WAF等传统安全监测手段外,尽量多使用天眼全流量威胁检测、网络分析系统、蜜罐、主机加固等手段,只要不影响业务,监测手段越多元化越好。
安全事件发生后,最重要的是在最短时间内采取技术手段遏制攻击、防止蔓延。事件处置环节,应联合网络、主机、应用和安全等多个岗位人员协同处置。
演习的结束也是防护工作改进的开始。在实战工作完成后应进行充分、全面复盘分析,总结经验、教训。应对准备、预演习、实战等阶段工作中各环节的工作进行全面复盘,复查层面包括工作方案、组织管理、工作启动会、系统资产梳理、安全自查及优化、基础安全监测与防护设备的部署、安全意识、应急预案及演练和注意事项等所有方面。
蓝队应对攻击的常用策略
攻击者首先会通过各种渠道收集目标单位的各种信息,收集的情报越详细,攻击则会越隐蔽,越快速。前期防踩点,首先要尽量防止本单位敏感信息泄露在公共信息平台,加强人员安全意识,不准将带有敏感信息的文件上传至公共信息平台。
社工也是攻击者进行信息收集和前期踩点的重要手段,要定期对信息部门重要人员进行安全意识培训,如:来路不明的邮件附件不要随便点开,聊天软件未经身份确认不要随便添加。此外,安全管理和安全意识培训难免也会有漏网之鱼,安全运营部门应定期在一些信息披露平台搜索本单位敏感词,查看是否存在敏感文件泄露情况。
门用于防盗,窗户没关严也会被小偷得逞。攻击者往往不会正面攻击防护较好的系统,而是找一些可能连防守者自己都不知道的薄弱环节下手。这就要求防守者一定要充分了解自己暴露在互联网的系统、端口、后台管理系统、与外单位互联的网络路径等信息。哪方面考虑不到位、哪方面往往就是被攻陷的点。互联网暴露面越多,越容易被攻击者“声东击西”,最终导致防守者顾此失彼,眼看着被攻击却无能为力。结合多年的防守经验,可从如下几方面收敛互联网暴露面。
由于网络不断变化、系统不断增加,往往会产生新的网络边界和新的系统。蓝队(防守单位)一定要定期梳理自己的网络边界、可能被攻击的路径,尤其是内部系统全国联网的单位更要注重此项梳理工作。
一些系统维护者为了方便,往往会把维护的后台、测试系统和端口私自开放在互联网上,方便维护的同时也方便了攻击者。攻击者最喜欢攻击的WEB服务就是网站后台,以及安全状况比较差的测试系统。蓝队须定期检测如下内容:开放在互联网的管理后台、开放在互联网上的测试系统、无人维护的僵尸系统、拟下线未下线的系统、疏漏的未纳入防护范围的互联网开放系统。
如果正面攻击不成,红队或攻击者往往会选择攻击供应商、下级单位、业务合作单位等与目标单位有业务连接的其他单位,通过这些单位直接绕到目标系统内网。防守单位应对这些外部的接入网络进行梳理,尤其是未经过安全防护设备就直接连进来的单位,应先连接防护设备,再接入内网。
由于API接口、VPN、WiFi这些入口往往会被安全人员忽略,这往往是攻击者最喜欢打的入口,一旦搞定则畅通无阻。安全人员一定要梳理WEB服务的API隐藏接口、不用的VPN、WiFi账号等,便于重点防守。
前期工作做完后,真正的防守考验来了。防守单位在互联网上的冠名网站、接口、VPN等对外服务必然会成为攻击者的首要目标。一旦一个点突破后,攻击者会迅速进行横向突破,争取控制更多的主机,同时试图建立多条隐蔽隧道,巩固成果,使防守者顾此失彼。
此时,战争中的纵深防御理论就很适用于网络防守。互联网端防护、内外部访问控制(安全域间甚至每台机器之间)、主机层防护、重点集权系统防护、无线网络防护、外部网络接入防护甚至物理层面的防护,都需要考虑进去。通过层层防护,尽量拖慢攻击者扩大战果的时间,将损失降至最小。
互联网作为防护单位最外部的接口,是重点防护区域。互联网端的防护工作可通过部署网络防护设备和开展攻击检测两方面开展。需部署的网络防护设备包括:下一代防火墙、防病毒网关、全流量分析设备、防垃圾邮件网关、WAF(云WAF)、IPS等。攻击检测方面。如果有条件,可以事先对互联网系统进行一次完整的渗透测试,检测互联网系统安全状况,查找存在的漏洞。
互联网及内部系统、网段和主机的访问控制措施,是阻止攻击者打点、内部横向渗透的最简单有效的防护手段。防守者应依照“必须原则”,只给必须使用的用户开放访问权限,按此原则梳理访问控制策略,禁止私自开放服务或者内部全通的情况出现,通过合理的访问控制措施尽可能地为攻击者制造障碍。
当攻击者从突破点进入内网后,首先做的就是攻击同网段主机。主机防护强度直接决定了攻击者内网攻击成果的大小。防守者应从以下几个方面对主机进行防护:关闭没用的服务;修改主机弱口令;高危漏洞必须打补丁(包括装在系统上的软件高危漏洞);安装主机和服务器安全软件;开启日志审计。
集权系统是攻击者最喜欢打的内部系统,一旦被拿下,则集权系统所控制的主机可同样视为已被拿下,杀伤力巨大。集权系统是内部防护的重中之重。
蓝队或防守者一般可从以下方面做好防护:集权系统的主机安全;集权系统访问控制;集权系统配置安全;集权系统安全测试;集权系统已知漏洞加固或打补丁;集权系统的弱口令等。
不安全的开放无线网络也有可能成为攻击者利用的攻击点。无线开放网络与业务网络应分开。一般建议无线网接入采用强认证和强加密。
如果存在外部业务系统接入,建议接入的系统按照互联网防护思路,部署安全设备,并对接入的外部业务系统进行安全检测,确保接入系统的安全性,防止攻击者通过这些外部业务系统进行旁路攻击。
核心目标系统是攻击者的重点攻击目标,也应重点防护。上述所有工作都做完后,还需要重点梳理:目标系统和哪些业务系统有联系?目标系统的哪些服务或接口是开放的?传输方式如何?梳理得越细越好。同时还须针对重点目标系统做一次交叉渗透测试,充分检验目标系统的安全性。协调目标系统技术人员及专职安全人员,专门对目标系统的进出流量、中间件日志进行安全监控和分析。
任何攻击都会留下痕迹。攻击者会尽量隐藏痕迹、防止被发现;而防守者恰好相反,需要尽早发现攻击痕迹,并通过分析攻击痕迹,调整防守策略、溯源攻击路径、甚至对可疑攻击源进行反制。建立全方位的安全监控体系是防守者最有力的武器,总结多年实战经验,有效的安全监控体系需在如下几方面开展:
任何攻击都要通过网络,并产生网络流量。攻击数据和正常数据肯定是不同的,通过全网络流量去捕获攻击行为是目前最有效的安全监控方式。蓝队或防守者通过全流量安全监控设备,结合安全人员的分析,可快速发现攻击行为,并提前做出针对性防守动作。
任何攻击最终都会落到主机(服务器或终端)上。通过部署合理的主机安全软件,结合网络全流量监控措施,可以更清晰、准确、快速地找到攻击者的真实目标主机。
对系统和软件的日志监控同样必不可少。日志信息是帮助防守者分析攻击路径的一种有效手段。攻击者攻击成功后,打扫战场的首要任务就是删除日志,或者切断主机日志的外发,以防止防守者追踪。防守者应建立一套独立的日志分析和存储机制,重要目标系统可派专人对目标系统日志和中间件日志进行恶意行为监控分析。
高端攻击者会用0day或Nday漏洞来打击目标系统、穿透所有防守和监控设备,防守者对此往往无能为力。防守单位可通过与更专业的安全厂商合作,建立漏洞通报机制,安全厂商应将检测到的与防守单位信息资产相关的0day或Nday漏洞快速通报给防守单位。防守单位根据获得的情报,参考安全厂商提供的解决方案,迅速自查处置,将损失减到最少。
文章来源:https://blog.csdn.net/xhy18634297976
关注公众号:HACK之道
本文始发于微信公众号(HACK之道):攻防演练之蓝队
评论