年度大型攻防实战全景:红蓝深度思考及多方联合推演
概要:本报告通过六张实战推演图,结合安全能力者、第三方机构和安全运营者的观点,展示了攻击方从攻击面分析、边界突破、横向渗透到靶标攻陷的攻击过程,防守方从基础保护、强化保护到协同保护的纵深防御体系,描绘了大型网络安全攻防实战演习的全景对象和步骤推演。
图解:红蓝双方围绕保护对象(神经中枢靶标)进行攻击与防御策略制定,在攻击面分析与暴露面收敛、边界突破与防御、横向渗透和区域控制,核心区攻陷或强控开展推演;
重点: 攻击防守策略的制定犹如作战计划和防御计划是推演的前提,不同阶段制定不同的攻击和防守策略,攻击方总体是由点到面再回到点,防守方则是由面到面再回到核心点,策略方法与攻防双方的能力结合进行层层渗透和纵深防御;
攻击:策略制定-攻击面分析-边界突破-横向渗透-攻陷目标-潜伏/掩盖/撤退;
防御:策略制定-暴露面收敛-边界防护-区域控制-强化控制-基础/强化/协同;
图解:红蓝攻守双方围绕保护对象(神经中枢靶标)进行攻击与防御策略制定后,第一步双方开展的则是攻击面分析与暴露面收敛;
重点:互联网信息、组织结构、人员信息、第三方平台(开源平台、云平台等)、供应链体系(设备、人员、服务、DNS、ISP、ICP)等,以及对外服务的业务应用层、系统层、数据层、网络层、平台层等的弱点以及互联网IP、端口、域名、VPN、邮件等以及各方面的用户信息,口令等;
攻击:信息收集、社工、多层扫描、爬虫、钓鱼、撞库、SQL注入等;
防御:规范上线第三方平台安全要求、提高供应链服务商安全要求、规范组织互联网信息、减少不必要的互联网出口、关闭不必要的业务、服务和端口、常态化动态化实时深度监测、识别嗅探者工具、清楚暴露面以及实时更新弱点问题及时加固、安全组织常态化、意识培训常态化等。
图解:红蓝攻守双方围绕保护对象(神经中枢靶标)进行攻击与防御策略制定后,第一步双方开展的则是攻击面分析与暴露面收敛,第二步进入到边界突破/防守阶段。
重点:攻击方根据攻击面分析与攻击方案推演,洞悉可以利用的各种漏洞,进行攻击路径的选择、渗透与突破。边界突破利用的攻击手段将会是多种多样,目的就是撕开靶标的最外层防御系统,突破的点往往是常令人疏忽的或难于管理的地方。防守方意识是第一位的、应清晰了解自身的边界防御情况,了解短板,做好第一道防线,开展管理、技术、运营体系落地建设与运营;
攻击:漏洞利用、自动及手工渗透、字典攻击、口令爆破、DDOS、后门、钓鱼等
防守:多因素认证、访问控制、双冗余、异构、web监测及防御、蜜罐、流量监测与清洗、恶意代码防护、入侵监测与防护、实时弱点监控与加固、特权用户管控、弱口令策略及清理、清除冗余安全策略、威胁情报、攻击溯源等。
图解:红蓝攻守双方围绕保护对象(神经中枢靶标)进行攻击与防御策略制定后,第一步双方开展的则是攻击面分析与暴露面收敛,第二步进入到边界突破/防守阶段,渗透成功将进入第三步横向渗透和区域控制的较量阶段;
重点:攻击方突破边界防护的概率是和防守方防御成熟度有很大关系,突破第一道防线以后攻击方一方面会尽可能的伪装自己,同时在黑暗处持续寻找下一步进攻路径和跳板,防守方丢失第一防线其实还不算可怕,虽然形势非常严峻和被动,如果深度监测检测方法有效、安全域控策略和加固做的到位,还可以及时发现渗透横向移动的异常行为,致使攻击方只能短期进入,也可以通过强大的区域控制策略和手段,在第三阶段取得胜利;
攻击:漏洞利用、自动及手工渗透、字典攻击、口令爆破、提权攻击等;
防守:安全域分层划分、域访问制定强控制策略、清除冗余策略、内部账号强认证与监控、分层区域边界异构、实施深度流量监测与预警、恶意代码防护异构、实施可信、实时弱点监控与加固、特权用户管控、弱口令策略及清理、清除冗余安全策略等。
图解:红蓝攻守双方围绕保护对象(神经中枢靶标)进行攻击与防御策略制定后,第一步双方开展的则是攻击面分析与暴露面收敛,第二步进入到边界突破/防守阶段,第三步横向渗透和区域控制后如果域控失陷,就将进入核心较量的第四步神经中枢靶标攻陷/强控阶段;
重点:攻击方一旦突破域控,一般拿下核心靶标不会遥远,虽然这个过程往往需要有较长的一段时间,但确实已到了关键时刻,如果这个时候防守方还没有监测发现,核心靶标被攻陷的概率几乎是100%,但并不是完全没有机会,防守方如果在一些核心点做好,虽然肯定有较大损失,但还可以保护好核心神经中枢靶标不被攻陷;
攻击:漏洞利用、自动及手工渗透、字典攻击、口令爆破、提权攻击等;
防守:实时深度流量监测与预警、实时弱点监控与加固、强控特权用户、关闭靶标不必要的服务和端口,实施可信黑白名单强策略、清除靶标不必要的用户、强化靶标多因素认证和增强口令强度等。
图解:综上所述,攻击方不会耗费大量资源和精力去攻击没有价值的系统,防守方的防御思路从被动到主动、从边界到纵深、从基础保护踏实做起(明确保护对象、暴露面进行收敛、多因素认证、访问策略落地清晰、实时深度监测和做好可信加固、管理好用户信息、强管控特权用户,杜绝弱口令等、以合规为基础,完成管理、技术和运维体系基本要求),围绕重点和关键环节,进行强化保护建设
(安全策略一体化、深度监测与溯源、深度实时监测、日常加强演练和推演、建立清晰的全量和动态的资产库、建立完整和实时的风险库、建立较为全面的能力库,建设安全运营一体化中心,实现防御、检测、预测和响应核心关键环节的ID、IP、ACT的动态的异常的精准监控和分析,进行精准响应和防御),在大规模攻击和紧急事件的发生时,可以调集运营者自身、行业单位、民间力量、监管单位开展协同保护(信息共享和指挥协同)。