以下仅为个人观点,不代表任何专业评述,请选择阅读
周一国考就要开始了,这周估计是很多同行的噩梦,为期两个月的考试不知道会让多少人痛不欲生。
作为一个局外人,对于这种考试的感觉就是如果平时功课做足了,考试只是一个验证知识掌握能力的过程,甚至有些考官的水平还不如应考的学子,只不过任何时候都可能会有优待政策或加分政策或者爆点黑幕而已,这就是社会。那么我们先预测一下,今年的考题重点会在哪些场景:
-
软件供应链一定会成为热点。
太多的Ctrl C+V模式的开发使得软件问题成为一个老大难的问题。不管是开发商如何宣称自己的CMMX或者多么敏捷的安全和零信任,第三方库、组件、函数和类的问题在严重干扰软件问题。而且在行业化软件开发中,基本上一个代码级缺陷能干掉整个行业;在地区级中,同样的问题在政务系统更是不胜枚举,有时候可能问题严重性太高,只能说曾经拥有,但不可终身相守,懂的应该都懂,但是不代表漏洞不存在。而且软件供应链问题很快会蔓延到各种安全产品中,毕竟,没有绝对的硬件,任何设备最终的结果依旧是代码加硬件的组合。
-
惨不忍睹的内网业务存量系统
原本这个不需要被作为考虑的重点,但是疫情开始之后,一股居家办公的邪风越吹越烈,为了能够更好的居家办公,于是乎从最初的VPN通道到后来的Nginx反向代理映射。UI越来越漂亮,但是这些本身就不考虑安全性的内网办公系统根本就承受不起现实中的攻击。如果运气好,估计某队还能找到Apache 2.0的内核系统,SSL 2.5的协议框架。更不要说利用跳板机的横向切入,这种攻击基本绕过大多数的检测机制和设备。
-
账号攻击依旧是重中之重。
可能很多人说账号不就是弱口令和可猜接口令吗?其实你们想少了,这几年的国考考生为了应考,早就使出了当年应付高考的精力,第三方服务商在运维过程中掌握的特权账号成为追逐的重点。收购、套取、攻击第三方服务商终端获取账号和口令这几年一直没有停息过,很多账号攻击中,各种奇葩的字典和攻击效率,显而易见的是攻击者早就获得口令,只是为了掩盖口令获知的合法性有一些拙劣的字典掩盖现实罢了。所以,不要以为你改了口令就可以解决问题,重要的是你得知道谁持有你的口令。
-
安全设备的0Day使用越来越隐秘
这个不意味安全设备的自身安全性加强了,而是受到更高层的因素,今年安全设备的漏洞利用只会多不会少,但是这种漏洞的公布只会少不会多。越是市场占有率高,重点机构使用多的设备,安全漏洞会更多的会被利用,同时漏洞的公布会更少甚至公布后存活的周期更短。毕竟,盯着这次考试的不是一个区域,记住地缘政治的问题才是我们真正对抗的重点。
-
会不会有更高端的工具使用
从今年的重视程度而言,一定会,而且主要会重点关注关键基础设施,我猜想能源行业、交通行业和金融行业必然会成为第一批接受真正对抗的领域。
-
VPN
没有谁会忘记这个优秀的叛徒。这么多年来,厂商的误导使得很多客户认为VPN具有访问控制功能,将VPN后端的应用访问通过VPN来建立控制,但现实中针对VPN漏洞的利用和VPN账号的利用导致VPN一旦被捕获,后端成为一马平川。
-
数据作为最大的受害者
数据安全成为真正的国家安全的体现,因此,更多的收益再于从各种稀奇古怪的设备和组件中提取用户数据作为成果,这个问题比较扯淡,因为业务数据的各种形式的存放成为一个难以破解的谜题。尤其是数据都没有管好的机构还搞出一堆大数据平台,特别是所谓的大模型的部署,为数据的输出提供了太多的场景。
在这没有提应用层攻击的场景,很简单,现在防护设备对应用层攻击的检测能力和溯源能力出奇的准确和有效,所以今年针对应用层攻击基本是给蓝队送分,还是省省。另外社会工程学的广泛应用,会把攻击节点更多的从服务端转向无辜的路人甲。毕竟两个月的时间,构造一个较大的内部僵尸网还是有足够的时间。当然,我们不能忘记利用无人机近源攻击,通过802.11协议转发构成一个比较优秀的无线内网直接穿透的可能不是没有,最近看到你窗户外面有无人机的,建议准备个竹竿子,捅下来。
接下来我在扯扯日常功课怎么做
-
边界边界边界
不管是物理边界还是逻辑边界,如果日常工作中不能明确约定边界在哪里,下周也就不要考虑你能不能被打穿的问题,而是什么时候被打穿的问题。太多的时候,一个组织不知道自己的外网边界,不知道有多少VPN设备,不知道业务边界是如何把互联网/企业网贯穿的时候,你已经失去了保护的所有意义和期待,千万不要认为你买了多少安全设备,如果链路不经过这些设备,那你只能接受出局的悲惨命运。
边界的类型:网络边界、业务边界、数据边界、云平台边界。重点,为第三方提供的远程操作接口。云与物理区域的通信边界
-
账号
账号回收完没有?尤其是Root、Administrator、Supervisor。一直以来这类账号当且仅当只能用于分发和管理账号,不知道从哪个年代开始,竟然变成了运维账号,甚至多人持有,最恐怖的是第三方持有。除了这类账号之外,开发商持有的特权账号是不是也应该回收或者禁用了。从技术角度而言,一个组织最高权限不在自己手里的时候,不知道我们的管理员是怎么睡踏实的。账号监控必然要精细化到行为和时间,虽然你没有零信任的体系,但是看看你现在的设备能不能对访问的以下属性建立监控:账户、设备标识、IP地址、访问时间、登录频率、登录终端数量、日常访问轨迹。很多单位最大的问题不是没有检测手段,而是阈值设置不合理,很多事件无法形成报告。
-
意识教育
社会工程学的对象最好利用的对象是没有技术能力但又具备足够自信的大众工程师。邮件系统、即时通信工具、短信、微博等互联网媒体成为社工的重要工具,当然各单位更要关注DNS欺骗产生的钓鱼攻击。这种手段虽然土,但是实用,监控自身的DN解析和保护。组织内部的无线局域网能不用就别用了,一定要用的加个CA,不是坏事。另外,从基层人员做起,而不是从技术人员做起。
-
补丁和漏洞
这个问题可能每个人都可以认识到,但是这面临着一个难题,目前最好的方法就是信任安全产品,似乎目前也没有特别好的方法来解决。毕竟漏洞的利用工具和漏洞的不断产生,不是一个运维能够解决的;同样补丁能不能打也必然要考虑业务风险问题。最近打补丁还得考虑会不会被供应链攻击,两难的情况下,还是信任你自己的蓝队和安全产品吧,如果真穿了,可以好好教育一下你的安全厂商。
很多问题不是三言两语可以解释清楚的,这几年发现基于协议栈的攻击不多,比如老外最喜欢用的BGP流量牵引。如果今年能出现一些基于协议栈0Day的场景,应该比较振奋人心,毕竟要给IPv6和信创提供信心和必要性。而针对操作系统的漏洞今年应该会更多的涌现出来,让国民充分具有更换国产产品的需求。
最后在提醒一下各位,如果发现境外IP一定要小心,不一定是来自于红队的跳板,建议对所有境外IP的访问(当然业务中一定有境外业务的流量除外)进行深度检测,这几年,境外利用国考伴随攻击,让很多蓝队认为仅仅是跳板机,造成很多难以估量的损失。
好了,一个从来不参加国考的人扯点蹭热点的话题,混个面熟,其实我不懂技术很久了。而且告诉读者一个秘密:我没参加过高考,当年学习不好,直接就地毕业,禁止参加高考。所以你们应该比我更专业。
原文始发于微信公众号(老烦的草根安全观):临阵磨枪,枪易折
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论