随着网络的发展,新的漏洞利用方法及攻击手段也不断的被曝光,网络攻击的门槛越来越低,黑灰产业也越来越成熟和组织化,如wannacry恶意蠕虫,批量挖矿僵尸主机等大规模攻击也越来越多,APT攻击也越来越容易
No.2 什么是APT
Advanced Persistent Threat,高级持续性威胁,堪称是在网络空间里进行的军事对抗
No.3 典型的APT攻击流程
No.4 红蓝对抗
“红蓝对抗”最早出现与军事领域,目前渐渐成为信息安全领域演练的主流,由负责进攻的“红队”和负责防守的“蓝队”相互对抗,进行实战演练,进而完善蓝队的防御体系。”
红蓝对抗可以拆解为两大步骤:
外网突破 内网渗透
如何快速发现外网突破口,并且进行实时封堵呢?
No.5 外网突破
外网突破往往分成两步
1、广域资产收集
广域这个概念,可以涵盖以下几个维度:
a、子域名、同IP域名、同IP段、域名备案信息
b、微信公众号、微信小程序
c、shadon、fofa、zoomeye等资产收集引擎
d、github信息泄露、百度网盘信息泄露
e、供应链、上下级公司的广域资产
2、常见突破外网手段
a、Struts、Weblogic、shiro等中间件漏洞getshell
b、fastjson等组件漏洞getshell
c、弱口令 后台漏洞getshell
d、邮件系统弱口令与社工钓鱼
e、注入、任意文件下载、中间件解析漏洞、代码/命令执行
f、第三方获得源代码进行代码审计
g、通用系统0day,通常集中在:OA系统、邮件系统等
h、VPN弱口令与0day
No.6 如何应对
1、详尽的资产梳理,发现外网资产,并对这些外网资产进行清理
2、常见RCE漏洞专项检测
3、常见getshell组件梳理与专项检测
4、弱口令清理与口令猜解的封堵
5、安全意识培训与钓鱼邮件演练
6、邮件网关部署防病毒引擎、APT检测设备
7、将邮件服务器Web登录界面移至内网,外网仅开放pop3、smtp端口
8、保证外采系统升级至最新版
9、确保安全防护设备策略开启并开启封堵策略
10、企业网络白名单梳理与内部网络隔离
由于企业本身网络资产的不断扩大,导致的攻击面增加,黑客攻击手法的“不择手段”,新的攻击技术、思路的不断涌现,传统的渗透测试服务已很难有效发现和防御黑客的攻击路径。使得企业面临被攻击的风险大幅提升,为了能在遭受攻击前发现安全问题,提升企业自身的防护能力及快速处置能力,
雷神众测“众包悬赏”的模式,在用户授权情况下,邀请大量业界高级白帽发现外网安全问题,封堵攻击路径的入口,再配合红蓝对抗进行实战演习,可最大程度降低安全风险。
Tips
建议搭配
选用雷神众测进行查漏补缺
选用安恒红队进行实战演练
安恒战略支援部有六大实验室,研究方向主要覆盖Web漏洞、内网渗透、复杂对抗、互联网威胁情报、数据分析、红队武器,拥有自动化的红队武器平台以及漏洞库,通过落地ATT&CK矩阵攻击技术,拥有非常完善的红队攻击方案。