(图来源:奇安信)
针对即将到来的HW行动、
近两年来一直在做红队的HW,针对防守这块能力欠缺太多,好在这段时间在某HW做裁判,见证了大大小小的攻击与防守,使我真正懂得了“攻防无绝对”这句话的真正意义,让我全面掌握了攻防经验与思路,故发表本文希望大家的应对HW防的能力有所提升。
技术出身,不会文案,不废话,凑合看,如若不全,欢迎补充。
红队角度
对抗!对抗!对抗!
在打目标的时候,一般都是使用迂回战术
因为目标的系统多而杂,有些企业甚至可能不知道自己有哪些系统 ,利用这点从底往上摸,但凡有交互的地方都会摸一遍,只要给个口,里外摸个透。
外紧内松,门户网站或重要系统 多个防护设备,蜜罐,而内网为了办公的便利,防护巨差,甚至内网0防护,一旦从外面打进去,内网横向去打 就会发现一片光明。
什么运维机,什么密码.xls xxx拓扑,里外翻个遍。
上帝视角
最近一段时间,在某行业的HW中做裁判,收到的防守方报告基本都是防御、处置、溯源。 (这里说一下,如果在大HW的时候,自身溯源能力差的话,尽早找外援吧,某行业的HW,红队被反控,各个都能去搞情报,如果不是亲眼所见.!)
前期排查
HW的准备阶段也是尤为重要,建议可以在HW前先自行开展一次小HW,发现问题,解决问题。
资产梳理
对废弃边角资产梳理是重中之重,在HW行动开始之前,企业需对自身的资产进行梳理,减少被攻击面。
排查服务器补丁情况,业务系统安全性自查
排查企业自身信息是否泄漏 如:csdn,github,码云,百度文库,百度网盘 等
信息清理
梳理出来的资产进行分组,无用资产 该关就关吧。
蜜罐
蜜罐是个好东西,只能多不能少,能否得分还得靠蜜罐。
防钓鱼
加强对员工的安全意识培训!加强对员工的安全意识培训!加强对员工的安全意识培训!
划重点,很多主目标被沦陷,入口点在钓鱼直接控运维机(你说你气不气)
包括但不限于:邮件、QQ、微信、电话等手段进行钓鱼社工
exe就别说了,想要年终奖 就别乱点。
办公PC机可以安装火绒,因为目前只找到了火绒的策略(文末下载,附使用方法)
防不胜防
各种防护设备放上去 你就觉得你行了?
一般能参加HW的都是国内渗透能力较强的大佬,手里有些Day也比较常见。甚至可能会遭受APT攻击,而大多企业针对定向0day、1day、APT攻击毫无还手之力,尽管手里购买了很多设备,也只能进行被动防御
心态
比赛&发现问题
如果奔着打个比赛。拿个名次,那没救看 该撸穿撸穿吧。
如果本着发现问题为前提的心态,你就会发现 如今的HW,已经实战化,在实战中发现全面问题,大概这才是HW的真正意义。
应急小组
明确应急小组职责,定期排查邮件系统,个人PC机是否被控
面对的问题
-
防火墙或网闸买得再多、访问控制策略做得再细致和规范,若它们自身就存在0day漏洞或1day漏洞未修补,则直接可被攻破
-
业务系统接入了云防御,即使云端防御再好,一旦攻击者找到了未做信任策略的源站地址,一切防御将全部失效
-
内网部署了很好的防御产品和策略,包括防病毒、反垃圾邮件等,但内部员工被鱼叉攻击,依然会泄露重要和敏感信息
-
业务系统防范严密,却在某个具有出口的测试环境中存在暗资产,或者在GitHub上泄露了数据,导致其成为跳板甚至被进行内网漫游或使攻击者直接获得了某些重要资料和信息
等等场景,不胜枚举
守住自身系统后,也该拿点分数证明实力
得分点
发现
通过日志审计,蜜罐发现攻击日志及路径,快速响应攻击者是否已攻破
处置
尽可能在未攻破时,将漏洞修复,或清除webshell 。
发现钓鱼邮件后分析回连IP,由应急小组进行通知并排查分析是否被钓鱼。
溯源
蜜罐,威胁情报设备。 此项可助你获得N+分,自动化设备会通过攻击者指纹,结合社会关系。溯源到QQ、姓名、手机号等一系列信息。
反制
恕我无可奉告,不能说太多了,说太多怕被红队揍~
ps:有太多不能说,不然红队组团 真要挨揍了,以后自己去打架也打不进去可太尴尬了。
多介绍介绍,我是蓝方