1、储备和信息收集。攻击方会对各类应用系统漏洞进行整理研究,包括已公开的漏洞和 0day 漏洞,尤其是容易利用、能够快速获取权限的漏洞,如各类远程命令执行漏洞。根据漏洞信息攻击方制作攻击工具,形成武器库。攻击方得知演练攻击目标后,会对目标开展互联网暴露面资产收集,通过持续性的扫描监测,确定资产属性及部署应用。根据收集的互联网暴露面资产信息,比对武器库,即可构建目标基本的互联网攻击面,在演练开始后可以迅速展开应用系统漏洞利用攻击。2.集权类设备攻击集权类设备如 VPN、云管平台、网管系统、堡垒机、监测系统等往往具有默认可信、敏感信息多等特性,演练中攻击方会重点攻击这类系统以快速获取内网信息并绕过隔离
2、与鉴权等防护措施。由于集权类设备价值较高,攻击方会花费更多代价进行攻击,每年演练都会暴露出各种集权类设备的0day漏洞。获取集权类设备权限后,攻击者会收集内网敏感信息,以该设备为跳板进一步获取更多主机权限。3.社会工程学攻击社会工程学攻击主要是利用人性弱点再结合黑客技术进行的网络攻击,演练中常用的社会工程学攻击为邮件和社交软件钓鱼,例如攻击者伪装成系统管理员向攻击目标发送钓鱼邮件,诱使目标下载恶意程序或点击恶意链接,达到控制目标电脑、收集敏感信息等目的,从而对内网发起进一步攻击。随着演练更加趋近于实战化,社会工程学攻击被纳入演练允许使用的攻击方法,因为其手法简单、成功率高,也逐渐成为攻击队常用
3、的攻击手段。攻击方在演练对抗中,对于社会工程学攻击的技巧也在持续提升,从最开始的无差别钓鱼,到如今经过精准信息收集后进行定向钓鱼,瞄准人力资源、系统管理员网络安全攻防演练中攻防双方技术概述 作者 中央广播电视总台刘秋尘摘要近年来国内外普遍增加了实战网络安全攻防演练的投入,网络安全攻防演练已经成为检验网络安全建设的重要手段。本文概述了网络安全攻防演练中攻击方的主要技术和主流战术,以及防守方的主要技术和应对策略,从攻防两端视角总结如何以攻促防,全面提升网络安全防护能力。关键词网络安全 攻防演练 纵深防御 暴露面管理 主动防御为适应新形势下的网络安全战略,网络安全攻防演练逐渐成为检验网络安全防护体系
4、、提升网络安全防护能力的重要手段。通过了解网络安全攻防演练中攻防双方技术应用、实战技战法,做到对攻防两端“知己知彼”,能够提升技术系统人员网络安全意识,完善防守准备工作,进一步优化实战中对网络安全事件的监测、响应及处置效率。一 攻击方主要技术 通过近几年网络安全厂商对演练防守方监测数据统计,攻击方经常使用的攻击技术有应用系统传统漏洞利用、集权类设备攻击、社会工程学攻击、办公类系统攻击、业务链接单位攻击、中间件和 API 接口攻击、供应链攻击、测试开发环境攻击等。以下对几个主要攻击技术进行简析。1.应用系统传统漏洞利用演练通常在规定的一段时间内完成,攻击方为了在演练开始后快速展开攻击,往往会提前
5、进行漏洞关注与交流VIEWPOINT&INTERACTION156对抗端点防御和流量监测的失陷检测;权限维持阶段,攻击者会使用多路出网跳板、隐蔽隧道、流量加密等,对抗流量监测的外联检测。攻击者利用混淆、加密、隐藏等技术绕过纵深防护体系,形成整套无感知入侵战术。3.利用软硬件及服务供应链迂回攻击面对目标暴露面少、防御措施完善、正面突破难度大的情况,利用软硬件及服务供应链进行迂回攻击是攻击者的主要战术。供应链包括行业专用软件、办公通用软件的软件开发商,云服务、运维外包的运维服务商等,攻击者通常采用源码窃取、漏洞挖掘、凭证泄露、软件投毒、定向社工等手段,利用供应链迂回攻击目标系统。三 防守方主要技术
6、 防守方应根据攻击技术,以动态、主动的防御举措,不断优化现有防护体系,从而满足实战对抗中的防守需求。1.纵深防护体系防守方建设纵深防护体系主要是为了在攻击各个阶段都能具备相应监测、防护手段,避免单点被突破造成大面积失陷的情况。(1)互联网边界防护互联网边界防护主要是为了对抗攻击方的侦查和初始入侵。防守方可以部署边界防火墙,对南北向流量进行访问控制,收敛互联网暴露面,同时可以部署入侵检测、Web 应用防火墙等攻击检测类设备,针对来自互联网的扫描探测行为进行实时监测告警。(2)内网防护内网防护主要是为了对抗攻击方的横向渗透。内网防护需要通过细粒度的访问控制来构建纵深,防止攻击者突破互联网边界后一马
7、平川。防守方可以通过虚拟局域网(VLAN)、安全组等访问控制技术对不同系统间进行隔离,系统内部也可使用东西向防火墙、主机防火墙构建DMZ域、接口域、核心域的隔离,通过隔离技术将互访权限限制在最小范围,增加攻击者横向渗透的难度。同时,可以在关键节点部署流量等重要岗位,话术进行个性化定制,隐蔽性更强,获取敏感信息更多,内网攻击威胁性更高。二 攻击方主流战术 在演练攻防对抗中,攻击方为了规避防守监测、绕过防守措施,采用了许多攻击技战法,最终总结形成了攻击战术,在战术指导下更高效地完成演练攻击,以下对几个主流攻击战术进行简析。1.情报搜集识别攻击最优路径演练中攻击方面临时间紧、目标资产多、靶标分散等困
8、难,为解决这些困难,情报搜集是核心要素。攻击方在演练前会对目标的组织、人员、资产进行全面收集,组织方面包括分支机构、业务关联单位、服务供应商等,人员方面包括通讯录、外包服务人员等,资产方面包括 IP 地址、域名、邮箱、OA、VPN、应用软件等,以上信息可以统称为目标的互联网暴露面。攻击者会进一步发现目标互联网暴露面的脆弱性,如应用漏洞、配置错误、人员安全意识等,针对脆弱性制作相应的武器库,如秒拨代理池、暴力破解工具、远程控制服务器、匿名伪造邮箱等。在互联网暴露面基础上,通过脆弱性发现和武器库制作,构建目标整体的攻击面。攻击队的情报搜集工作往往在正式演练前两至三个月就会开始,相对演练期间此时防守
9、方对于边界扫描警惕性较低,封禁规则较松,导致情报搜集更加容易。在日常持续探测的攻击面情报加持下,演练一开始攻击者就可以在短时间内识别攻击最优路径。2.对抗中的无感知入侵攻击者会在各个攻击阶段采用不同的技术规避防守监测,绕过防守措施。信息收集阶段,攻击者会使用代理池、秒拨攻击等,对抗边界防护的入网封禁。载荷投递阶段,攻击者会进行蜜罐识别、载荷混淆、加密投递等,对抗流量监测的攻击监测;安装植入阶段,攻击者会使用木马免杀、内存木马等,对抗端点防御的木马检测;横向移动阶段,攻击者会使用命令替换、沙箱对抗等,Advanced Television Engineering157防御技术。威胁情报主要指对攻
10、击威胁的知识和信息,常被防守方使用的威胁情报如攻击方 IP 地址、恶意域名、恶意软件指纹等,通过威胁情报防守方可以精准快速识别攻击意图、定位攻击阶段,及时采取阻断措施。针对集权类系统或重要业务系统,防守方可以在系统网段部署蜜罐设备,诱导攻击者攻击蜜饵、窃取虚假数据,从而达到延缓攻击、监测告警、分析研判、追踪溯源的目标。四 防守方演练应对 防守方应对网络安全攻防演练的关键在于准备阶段,防守方应充分利用主场优势,将管理与技术有机结合,使防守在有条不紊中进行。1.防守团队组建防守的靶标通常为重要业务系统,归属相应技术部门负责建设和运维,同时业务系统还会使用技术系统统一提供的计算资源、网络资源、安全资
11、源等,各相关部门应共同组建防守团队。防守团队通常可以由演习指挥部领导,下设办公室、管理组、监测组、处置组,各个部门分别在各组内设置岗位,在指挥部的统筹指挥下完成一线监测告警、二线分析处置、三线情报预警等工作。明确的管理架构和岗位职责可以提升事件协同处置效率,避免各方推诿导致延误处置。2.专项应急预案由于演练规则和重点应对,防守方应针对演练制定专项的网络安全应急预案,预案中需设定事件报告机制、应急处置流程等,并预设特定攻击场景,如钓鱼攻击、应用漏洞攻击等,进行应急保障预演,确保演练过程中应急预案的顺畅实施。3.网络安全风险梳理演练前防守方涉及的技术系统应摸清本系统资产,避免僵尸资产未接受网络安全
12、管理而带来风险。监测、运维审计、数据库审计等设备,捕捉攻击者内网渗透行为。(3)主机端防护主机端防护主要是为了对抗攻击方的安装植入和权限维持。可以通过在主机端安装端点防御软件,完成僵尸、木马、蠕虫的查杀,监测主机端执行的恶意命令,在最后一层提升主机防护能力,提供失陷检测告警。(4)关联分析攻击者各阶段的攻击存在关联性,从互联网最终到主机端可以构造完整的攻击链条。通过态势感知和网络安全管理平台对各项防护技术进行关联分析和联动处置,能够在海量安全日志中挖掘出有价值的信息,每一次的分析处置也可使监测策略和防护措施持续优化改进。2.互联网暴露面管理互联网暴露面是防守方对抗入侵的第一道防线,做好暴露面收
13、敛与脆弱性监测加固能有效提升防御能力。互联网暴露面管理一般会从以下几个方面着手。(1)暴露资产监测暴露资产监测一般包括发布至互联网的IP地址、域名、CDN、应用软件,监测过程中应重点发现违规发布至互联网的运维端口、管理后台,及时进行清理关闭。(2)脆弱性管理通过漏洞扫描、配置核查等方式识别暴露资产的应用层漏洞、系统层漏洞、不安全配置,分级分类完成加固,形成闭环管理。(3)全网敏感数据监测对于全网范围内防守方各类敏感信息进行监测,例如网络拓扑、资产表、通讯录、访问凭证、源代码等,发现泄露的敏感数据应及时删除源信息,对于无法删除的信息应对自身系统进行变更。(4)攻击向量验证对于暴露面攻击的可行性,
14、可以通过验证性扫描来确认漏洞是否可利用,以此预测边界可能的突破点。3.主动防御技术威胁情报和蜜罐是目前应用较为成熟的主动式(下转第117页)关注与交流VIEWPOINT&INTERACTION158路快速冗余切换,提供更高安全级别的保障。(3)JPEG-XS 远程制作业务2022 年 9 月至 2023 年 3 月,总台就长安大戏院的空中剧场栏目基于“SD-WAN+互联网”和JPEG-XS 编码的远程制作进行多次测试工作,均取得了圆满成功。如图 6 所示,长安大戏院部署 IP 摄像机,音频接口箱及通话设备,后场演播室系统部署在光华路办公区。前后场独立授时。前后场音视频组播流通过“SD-WAN+
15、1G 互联网”和裸光纤链路互联互通。SD-WAN 链路和裸光纤链路互为备份,采用 2022-7 技术保证视频完整性。视频信号格式采用1080i 50Hz、压缩比为 10:1 的 JPEG-XS 编码(码率109Mbps)传输至核心制作系统,经数据流缓冲并转码为 2110-20,音频和通话信号采用 2110-30 传输,控制信号、Tally 信号原码传输;经过十几次的测试工作,远程制作效果良好,“SD-WAN+1G 互联网”链路未出现视频卡顿现象,与现场制作高度相似,整场节目录制顺畅,为进一步探索基于公网的远程制作提供了宝贵的经验。四 总结 以往使用专线传输,存在开通慢、费用高、不容易监控等问题
16、。自从使用 SD-WAN 技术后,广域网传输部署灵活、链路成本大幅降低、传输业务可以实时监控。在提高网络传输效率的同时,大幅降低了广域网传输费用。然而相对于 MSTP 专线而言,互联网存在链路抖动大、运营商很难保障等问题。目前 SD-WAN 技术还处在一个初级阶段,各个厂家技术方向各不相同,还没有一个统一的技术标准。总台广域网传输中对组播、数据传输稳定性有极高的要求,大部分厂家还无法满足总台的技术要求。相信随着技术的不断发展,会有越来越多的 SD-WAN 产品可以满足总台的要求,SD-WAN 技术将有一个广阔的市场。远程制作拓扑图6对资产脆弱性进行评估,完成补丁更新和基线配置。对网络边界进行确
17、认,控制网络访问权限最小化。梳理以往在攻防演练和渗透测试中发现的应用漏洞,结合系统供应链,举一反三发现系统现存漏洞并加以修复。清理系统内的默认账号、离职调岗人员账号、僵尸账号。4.人员培训宣贯人往往是网络安全防护中最薄弱的环节,因为人员网络安全意识不足产生的风险是最常见也最容易被利用的,如弱口令、错误系统配置、被钓鱼攻击等。防守方应对参与演练的人员进行安全意识、安全规范、攻防技术等方面的培训,也可通过模拟钓鱼等方式,提升防守方人员网络安全意识。五 结语 攻防技术繁多,本文概述必有所遗漏,而且在不断对抗下攻防技术相互促进,处于动态发展之中,未来一定会有更多新技术涌现。网络安全建设绝非一朝一夕之事,没有一劳永逸的绝对安全,希望通过网络安全攻防演练以攻促防,使技术系统增强网络安全意识,锻炼网络安全队伍,强化各项网络安全措施落地实施,全面提升网络安全防护保障能力。(上接第158页)Advanced Television Engineering117117
浙ICP备2021020529号-1 | 浙B2-20240490 
