作者简介
赖杨健,WIS-HUNTER资深安全架构师,17年以上安全行业工作经验,白帽黑客;曾供职于启明星辰、爱立信、阿朗、上汽国内大型企业;多次承担过某金融企业护网行动保障及攻防演练负责人;多次参加过某市红蓝对抗实战,担任红蓝队总指挥。
2022年,受全球疫情及经济发展等诸多因素影响,网络黑产和APT攻击大行其道,且技术界限正日渐模糊,根据《APT攻防趋势半年洞察》数据显示,当前0day漏洞数量激增,直指历史峰值,且APT攻击技巧持续创新,对防御和溯源带来前所未有的挑战。同时,经济、科技、民生发展需求之下的供应链安全隐患也变得愈发迫在眉睫。另外一方面,API已经成为网络应用流量最重要的出入口,通过攻击API来破坏信息系统和窃取数据,将成为数字时代黑产活动最集中的方向之一。
为全面提升我国关键信息基础设施整体安全防护水平,构建多部门协同合作、共同提高、攻防相长的网络安全综合防御体系,从而举行网络攻防演习。通过攻防实战,提高攻防双方技术对抗、决策指挥及应急处置能力,排查化解网络安全领域重大风险。本次内容将围绕蓝队防御实践展开,旨在构建以能力为核心的安全理念,从资源,技术,管理和持续迭代对抗训练落地。
红队攻击模式“红蓝对抗”目标
落地层面:实战攻击,检验防御体系有效性,找风险,找方向;
执行层面:以查带打,抓薄弱环节;以点带面,定责促改进;
战略层面:摸底企业信息安全保障能力,提升安全防御能力。
“红蓝对抗”企业价值
①挖掘渗透测试不关注的漏洞或者无法覆盖的点;
②检验整体安全态势和防护水平,检验企业安全防护体系:态势感知、防护阻断、响应溯源的能力,完成安全闭环;
③梳理风险盲点和攻防场景,梳理系统每个攻击面、路径,分离出关键场景;
④提高公司全员安全意识,提升安全防御能力。
红队突破方向
模拟真实黑客,无所不用其极的攻击手法,全面深入盘点企业防护短板。红队常用的攻击手段有:弱口令、攻击集中管控类、0day、钓鱼软件、供应链攻击等。
企业安全应急响应体系应急响应概念
安全事件(Security Accident)是指影响一个系统正常工作的情况。这里的系统包括主机范畴内的问题,也包括网络范畴内的问题,例如黑客入侵、信息窃取、拒绝服务攻击、网络流量异常等。
应急响应(Emergency Response)是指组织为了应对突发/重大信息安全事件的发生所做的准备以及在事件发生后所采取的措施。应急响应是信息安全防护的 最后一道防线!
应急响应体系(Emergency Response System)是指在突发/重大信息安全事件后对包括计算机运行在内的业务运行进行维持或恢复的各种技术和管理策略和规程。
信息安全应急响应体系的制定是周而复始、持续改进的过程,包含以下几个阶段:
a) 应急响应需求分析和应急响应策略的确定;
b) 编制应急响应计划文档和技术管理规范;
c) 应急响应计划的测试、培训、演练和维护。
团队组织结构
领导小组:
领导小组统一组织并协调安全工作,对重要事件提供决策意见。领导组成员由企业(组织方)CSO或者其他负责人组成。
综合研判组:
负责制定方案、梳理资产、负责安全检查、和演习准备工作、与公安部联系沟通。
防护监测组:
一是梳理现有网络安全监测、防护措施,查找不足;
二是对全网系统资产进行安全检查,发现安全漏洞、弱点和不完善的策略设置;
三是根据综合协调组安全自查发现的安全漏洞和风险进行整改加固及策略调优,完善安全防护措施。
应急处理组:
一是制定应急方案;
二是负责攻防演习攻击事件的应急响应处置工作;
三是完善应急响应体系。
应急响应流程
应急响应流程分为:响应、阻断、分析、清除和加固,具体步骤操作可参考下图:
应急响应体系重大信息安全事件报告表
应急溯源分析思路——架构版级别
网络流量分析:通过日志异常请求,抓取网络的网络包回溯,使用wireshark即可。
日志分析:tail -10f 1.log
网络关系分析:A<-->B A/=C
应急溯源分析思路——流量分析和回溯
采用wireshark 存储的方式
攻击特点及常用手法
网络杀伤链:“网络杀伤链”由洛克希德-马丁公司提出,用来描述针对性的分析阶段攻击。每一环节都是对攻击做出侦测和反应的机会。
安全攻击溯源追踪方式
溯源分析思路
溯源分析的整体思路可以依据:文件排查-进程排查-系统信息排查-工具排查-日志排查,五个进程。
病毒溯源分析工具Windows
1. 病毒分析
PCHunter:http://www.xuetr.com
火绒剑:https://www.huorong.cn
Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
autoruns:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
2. 病毒查杀
卡巴斯基: http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe
火绒安全软件: https://www.huorong.cn
3.webshell查杀
D盾_Web查杀: http://www.d99Net.net/index.asp
河马webshell查杀: http://www.shellpub.com
常用分析工具windows
系统启动相关:Autoruns、Msconfig、Net
系统进程分析监控:Process explorer、Process Monitor、Tasklist
端口网络状态:Tcpview、Currports、Netstat
综合安全检测:Wsyscheck、PowerTool、PCHunter、WIN64AST
病毒溯源分析工具linux
Rootkit查杀
chkrootkit 网址:http://www.chkrootkit.org
webshell查杀
linux版:
河马webshell查杀:http://www.shellpub.com
linux安全检查脚本
Github项目地址:
https://github.com/grayddq/GScan
https://github.com/ppabc/security_check
https://github.com/T0xst/linux
常用分析工具linux
rookit检查:
Rkhunter、chkrookit、LiveCD引导拯救光盘
系统相关命令:
Ps、pstree、pmap、top、kill
ls、strings、strace、readelf、rmp lsof、netstat
Chkconfig、crontab
蓝队防御溯源分析实践红蓝对抗全景攻防体系
红队攻击方向:查找短板、突破边界、内网横向移动、总攻目标
蓝队防守手段:主动诱捕,防守反制
△ 实操视频
可利用工具
安全检测:主机扫描、web扫描、配置检查checklist
安全检测分析:APT、网络审计、日志审计、流量分析系统
安全防护:WAF、EDR、入侵分析中(DAC)
应急处置:应急检查工具箱、文件威胁分析平台
威胁情报:安全数据大脑、HVV专项情报
欺骗诱捕:蜜罐、蜜网
红队目标
不限制攻击路径,以提取、控制业务、获取数据为最终目的。
- 查找短板、突破边界
目标:VPN、邮件、边缘系统(项目管理系统、论坛、职工家园)
手段:扫描探测,常规web漏洞利用、弱口令、0day、钓鱼邮件、社会工程学
- 内网横向移动
目标:操作系统、数据库、web应用程序、网络设备、安全设备、管理员平台
手段:弱口令、常规漏洞利用、暴力破解、0day、多为一次性尝试、隐蔽攻击
- 总攻目标、消除痕迹
目标:域控、生产系统、控制系统、指挥调试系统
手段:弱口令、常规漏洞利用、暴力破解、口令碰撞、敏感信息利用
蓝队目标
检测与检测并重;关键和核心目标重点防护;主动诱捕、防守反制。
- 事前:缩减互联网暴露面
资产扫描探测 网络架构梳理
配齐补强安全设备 主机漏洞扫描
WEB应用漏洞扫描 数据库漏洞扫描
弱口令扫描 应急演练
红队行动 众测评估
协助安全加固 安全策略配置调优
- 事中: 监测、封堵、溯源、诱捕
异常流量监测 安全告警分析
威胁狩猎 弱口令爆破监测
漏洞攻击监测 内网一次性攻击监测
恶意文件监测 钓鱼邮件监测
木马远控监测 攻击IP封堵
漏源分析 攻击诱捕
- 事后: 复盘、技战法总结、提升
攻击者画像 攻击路径溯源
安全风险梳理 安全风险普查
协助安全加固 总体安全策略优化
防守技战法总结 安全能力提升
安全防护体系优化
- End -
,
