|
|
随着网络安全越来越受到各方重视,多种保护网络安全的方式得到热议。
其中攻防演练作为一种有效的安全手段,也成为了检验安全体系建设水平,促进安全运营能力提升的常备动作,甚至有的企业觉得比渗透测试更有用!
一、攻防对抗之红队实战演练
“攻防对抗”是基于“战时”模式,设置攻击方和防御方,在真实环境下对参演单位的目标系统展开攻击和防御的一种可控、可审计的网络安全实战演习。通过攻防对抗的方法来检验参演单位、国家重要信息系统和关键信息基础设施的安全防护和应急处置能力,提高网络安全的综合防控水平。
在攻防对抗中担任攻击方,又称“红队”,由网络安全问题的专家组成,通过技术手段获取系统权限,旨在发现网络软件、硬件,乃至于组织管理方面的隐患和薄弱环节。
注意:
红队人员并不是一般意义上的电脑黑客,黑客往往以攻破系统,获取利益为目标;而红队则是以发现系统薄弱环节,提升系统安全性为目标。
此外,对于一般的黑客来说,只要发现某一种攻击方法可以有效地达成目标,通常就没有必要再去尝试其他的攻击方法和途径;但红队的目标则是要尽可能地找出系统中存在的所有安全问题,因此往往会穷尽已知的“所有”方法来完成攻击。
换句话说,红队人员需要的是全面的攻防能力,而不仅仅是一两招很牛的黑客技术。
攻击流程:
二、企业为什么需要红队实战演练?
马上了解相关服务
网络安全是一个持续的过程而非短暂事件。
网络攻击技术和工具不断进化、企业的攻击面不断扩大、企业并购带来的新用户和新政策……所有这些变化都会产生新的安全问题。
解决这些安全问题意味着需要进行定期的安全评估和持续的侦察活动,而红队演练就是最好的安全评估方式之一。
它的主要价值在于帮助企业:
①衡量关键资产的风险;
②发现未知的攻击路径;
③确定优势和劣势;
④推进安全防护策略的改进。
以下这些企业组织非常有必要进行红队演练:
①上市公司及经常被攻击的资本密集型组织;
②拥有大量数字资产的组织;
③以信息安全为企业形象的组织;
④拥有需要保护的敏感数据的组织;
⑤想在攻防演习中取得好成绩的组织。
红队演练的目的在于通过攻击模拟揭示公司安全中的漏洞,发现网络安全防御中的暴露面及盲点,帮助企业深入了解自身安全体系的状态以及安全技术、流程和人员的有效性,并确定需要改进的领域。
通过红队评估,企业可以测试到以下内容:
①攻击面的大小;
②威胁检测技术的有效性;
③响应过程的效率;
④内部人员的安全意识。
三、比渗透测试更有用?
红队演练是识别漏洞的绝佳途径,它能在漏洞发展成为安全问题之前彻底将其发掘出来。
红队演练也常常与业界熟知的渗透测试被拿来作比较。
红队演练与渗透测试有什么区别呢?相信这也是企业在选择安全服务时会思考的问题。
渗透测试通常是按照规范技术流程对目标系统进行的安全性测试;而红队攻击一般只限定攻击范围和攻击时段,对具体的攻击方法则没有太多限制。
渗透测试过程一般只要验证漏洞的存在即可,一般都会明确要求禁止使用社工手段(通过对人的诱导、欺骗等方法完成攻击);而红队则可以在一定范围内使用社工手段,且红队攻击要求实际获取系统权限或系统数据,例如获取用户某个项目的源代码等。
红队演练某种程度上可以看作是合法的高级持续性攻击(APT),这种完全贴合真实攻击环境的演练过程,能够反映出企业安全防护体系的检测和响应能力。
两者之间的主要区别可以直观地概括为下表中的7点:
四、红队眼中的防守弱点
通过对政府、央企、银行、证券、民生、运营商、互联网等行业的红队实战工作,发现各行业安全防护具备如下特点:
资产混乱、隔离策略不严格
除了大型银行之外,很多行业对自身资产情况比较混乱,没有严格的访问控制(ACL)策略,且办公网和互联网之间大部分相通,可以直接使远程控制程序上线。
除了大型银行与互联网行业外,其他很多行业在DMZ区和办公网之间不做或很少做隔离,网络区域划分也不严格,给了红队很多可乘之机。
此外,几乎所有行业的下级单位和上级单位的业务网都可以互通。而除了大型银行之外,其他很多行业的办公网也大部分完全相通,缺少必要的分区隔离。所以,红队往往可以轻易地实现实施从子公司入侵母公司,从一个部门入侵其他部门的策略。
通用中间件未修复漏洞较多
通过中间件来看,Weblogic、Websphere、Tomcat、Apache、Nginx、IIS都有使用。Weblogic应用比较广泛,因存在反序列化漏洞,所以常常会被作为打点和内网渗透的突破点。所有行业基本上都有对外开放的邮件系统,可以针对邮件系统漏洞,譬如跨站漏洞、XXE漏洞等来针对性开展攻击,也可以通过钓鱼邮件和鱼叉邮件攻击来开展社工工作,均是比较好的突破点。
边界设备成为进入内网的缺口
从边界设备来看,大部分行业都会搭建VPN设备,可以利用VPN设备的一些SQL注入、加账号、远程命令执行等漏洞开展攻击,亦可以采取钓鱼、爆破、弱口令等方式来取得账号权限,最终绕过外网打点环节,直接接入内网实施横向渗透。
内网管理设备成扩大战果突破点
从内网系统和防护设备来看,大部分行业都有堡垒机、自动化运维、虚拟化、邮件系统和域环境,虽然这些是安全防护的集中管理设备,但往往由于缺乏定期的维护升级,反而都可以作为开展权限扩大的突破点。
全云在线的混合云一体化安全防护服务,可为企业提供一站式红队实战演练服务。依据红蓝对抗实战演练理念,以我方驻场或非驻场攻击人员的方式,开展一定周期,不定目标、不定路径的模拟攻击,全面深入的发现用户网络内的安全问题,在攻击的同时,检验用户内部安全防护机制,发现系统存在的安全问题隐患,不断的加强安全防护能力和内部监控处置能力。
马上了解相关服务
服务内容:在演练服务期间,红队会像真实的攻击者所采取的措施一样,包括网络攻击、社会工程攻击、近源攻击、钓鱼邮件等手段(这些手段不会对客户的基础设施或资产造成实质损害)。
演练服务步骤主要如下:
侦察-采用一系列网络威胁情报技术来尽可能多地收集有关用户的信息。红队人员使用这些信息来识别和确定攻击目标及方法。
武器化和交付-根据之前确定的范围和目标,红队可以执行诸如钓鱼邮件、社会工程攻击、物理入侵或命令和控制活动等方法来利用漏洞并获得对用户网络的访问权限。
开发、安装、指挥和控制-一旦红队建立了立足点,他们的接下来目标就是实现与企业共同商定的演练目标。在这个阶段,红队人员还可以模拟不同类型的攻击者。
输出报告-红队人员需要针对演练的每个阶段为企业提供清晰的报告。
服务方式:现场人工+设备工具
交付物:《安全应急预案》《实战演练方案》《实战演练总结》
如果担心自己的企业遇到安全问题,可以关注【全云在线】了解更多网络安全资讯,也可以联系我们下方的全云在线安全顾问进行咨询
马上了解相关服务 |
|
发 帖
发表于 2023-1-16 07:12:14