隨着網絡的發展,新的漏洞利用方法及攻擊手段也不斷的被曝光,網絡攻擊的門檻越來越低,黑灰產業也越來越成熟和組織化,如wannacry惡意蠕蟲,批量挖礦殭屍主機等大規模攻擊也越來越多,APT攻擊也越來越容易
No.2 什麼是APT
Advanced Persistent Threat,高級持續性威脅,堪稱是在網絡空間裏進行的軍事對抗
No.3 典型的APT攻擊流程
No.4 紅藍對抗
“紅藍對抗”最早出現與軍事領域,目前漸漸成為信息安全領域演練的主流,由負責進攻的“紅隊”和負責防守的“藍隊”相互對抗,進行實戰演練,進而完善藍隊的防禦體系。”
紅藍對抗可以拆解為兩大步驟:
外網突破 內網滲透
如何快速發現外網突破口,並且進行實時封堵呢?
No.5 外網突破
外網突破往往分成兩步
1、廣域資產收集
廣域這個概念,可以涵蓋以下幾個維度:
a、子域名、同IP域名、同IP段、域名備案信息
b、微信公眾號、微信小程序
c、shadon、fofa、zoomeye等資產收集引擎
d、github信息泄露、百度網盤信息泄露
e、供應鏈、上下級公司的廣域資產
2、常見突破外網手段
a、Struts、Weblogic、shiro等中間件漏洞getshell
b、fastjson等組件漏洞getshell
c、弱口令 後台漏洞getshell
d、郵件系統弱口令與社工釣魚
e、注入、任意文件下載、中間件解析漏洞、代碼/命令執行
f、第三方獲得源代碼進行代碼審計
g、通用系統0day,通常集中在:OA系統、郵件系統等
h、VPN弱口令與0day
No.6 如何應對
1、詳盡的資產梳理,發現外網資產,並對這些外網資產進行清理
2、常見RCE漏洞專項檢測
3、常見getshell組件梳理與專項檢測
4、弱口令清理與口令猜解的封堵
5、安全意識培訓與釣魚郵件演練
6、郵件網關部署防病毒引擎、APT檢測設備
7、將郵件服務器Web登錄界面移至內網,外網僅開放pop3、smtp端口
8、保證外採系統升級至最新版
9、確保安全防護設備策略開啓並開啓封堵策略
10、企業網絡白名單梳理與內部網絡隔離
由於企業本身網絡資產的不斷擴大,導致的攻擊面增加,黑客攻擊手法的“不擇手段”,新的攻擊技術、思路的不斷湧現,傳統的滲透測試服務已很難有效發現和防禦黑客的攻擊路徑。使得企業面臨被攻擊的風險大幅提升,為了能在遭受攻擊前發現安全問題,提升企業自身的防護能力及快速處置能力,
雷神眾測“眾包懸賞”的模式,在用户授權情況下,邀請大量業界高級白帽發現外網安全問題,封堵攻擊路徑的入口,再配合紅藍對抗進行實戰演習,可最大程度降低安全風險。
Tips
建議搭配
選用雷神眾測進行查漏補缺
選用安恆紅隊進行實戰演練
安恆戰略支援部有六大實驗室,研究方向主要覆蓋Web漏洞、內網滲透、複雜對抗、互聯網威脅情報、數據分析、紅隊武器,擁有自動化的紅隊武器平台以及漏洞庫,通過落地ATT&CK矩陣攻擊技術,擁有非常完善的紅隊攻擊方案。