隨著網路的發展,新的漏洞利用方法及攻擊手段也不斷的被曝光,網路攻擊的門檻越來越低,黑灰產業也越來越成熟和組織化,如wannacry惡意蠕蟲,批次挖礦殭屍主機等大規模攻擊也越來越多,APT攻擊也越來越容易
No.2 什麼是APT
Advanced Persistent Threat,高階持續性威脅,堪稱是在網路空間裡進行的軍事對抗
No.3 典型的APT攻擊流程
No.4 紅藍對抗
“紅藍對抗”最早出現與軍事領域,目前漸漸成為資訊保安領域演練的主流,由負責進攻的“紅隊”和負責防守的“藍隊”相互對抗,進行實戰演練,進而完善藍隊的防禦體系。”
紅藍對抗可以拆解為兩大步驟:
外網突破 內網滲透
如何快速發現外網突破口,並且進行實時封堵呢?
No.5 外網突破
外網突破往往分成兩步
1、廣域資產收集
廣域這個概念,可以涵蓋以下幾個維度:
a、子域名、同IP域名、同IP段、域名備案資訊
b、微信公眾號、微信小程式
c、shadon、fofa、zoomeye等資產收集引擎
d、github資訊洩露、百度網盤資訊洩露
e、供應鏈、上下級公司的廣域資產
2、常見突破外網手段
a、Struts、Weblogic、shiro等中介軟體漏洞getshell
b、fastjson等元件漏洞getshell
c、弱口令 後臺漏洞getshell
d、郵件系統弱口令與社工釣魚
e、注入、任意檔案下載、中介軟體解析漏洞、程式碼/命令執行
f、第三方獲得原始碼進行程式碼審計
g、通用系統0day,通常集中在:OA系統、郵件系統等
h、VPN弱口令與0day
No.6 如何應對
1、詳盡的資產梳理,發現外網資產,並對這些外網資產進行清理
2、常見RCE漏洞專項檢測
3、常見getshell元件梳理與專項檢測
4、弱口令清理與口令猜解的封堵
5、安全意識培訓與釣魚郵件演練
6、郵件閘道器部署防病毒引擎、APT檢測裝置
7、將郵件伺服器Web登入介面移至內網,外網僅開放pop3、smtp埠
8、保證外採系統升級至最新版
9、確保安全防護裝置策略開啟並開啟封堵策略
10、企業網路白名單梳理與內部網路隔離
由於企業本身網路資產的不斷擴大,導致的攻擊面增加,駭客攻擊手法的“不擇手段”,新的攻擊技術、思路的不斷湧現,傳統的滲透測試服務已很難有效發現和防禦駭客的攻擊路徑。使得企業面臨被攻擊的風險大幅提升,為了能在遭受攻擊前發現安全問題,提升企業自身的防護能力及快速處置能力,
雷神眾測“眾包懸賞”的模式,在使用者授權情況下,邀請大量業界高階白帽發現外網安全問題,封堵攻擊路徑的入口,再配合紅藍對抗進行實戰演習,可最大程度降低安全風險。
Tips
建議搭配
選用雷神眾測進行查漏補缺
選用安恆紅隊進行實戰演練
安恆戰略支援部有六大實驗室,研究方向主要覆蓋Web漏洞、內網滲透、複雜對抗、網際網路威脅情報、資料分析、紅隊武器,擁有自動化的紅隊武器平臺以及漏洞庫,透過落地ATT&CK矩陣攻擊技術,擁有非常完善的紅隊攻擊方案。