未知攻 焉知防:从攻击视角看重保场景的防守之道
发布时间:2022-08-01 10:24:52 所属栏目:安全 来源:互联网
导读:重大活动保障期间,企业不仅要面对愈发灵活隐蔽的新型攻击挑战,还要在人员、精力有限的情况下应对不分昼夜的高强度安全运维任务。如何避免疲于应付,在多重工作中抽丝剥茧? 本文从蓝军视角,拆解攻击方的攻击路径,帮助企业理清重保场景下的应对策略,通过
|
重大活动保障期间,企业不仅要面对愈发灵活隐蔽的新型攻击挑战,还要在人员、精力有限的情况下应对不分昼夜的高强度安全运维任务。如何避免“疲于应付”,在多重工作中“抽丝剥茧”? 本文从蓝军视角,拆解攻击方的攻击路径,帮助企业理清重保场景下的应对策略,通过构建云原生安全“3+1防护体系”,提升响应效率,确保“0安全事件0损失”。 知己知彼,方能百战不殆。只有充分了解攻击方的思路,从全局视角事先构建完备的安全防护体系,才能系统性防护云上资产。 红蓝对抗的五个阶段 Step1 信息收集:东搜西罗,打探军情信息收集是攻击第一步,也是最关键的一个阶段。信息的收集深度直接决定了渗透过程的复杂程度。在展开攻击前,蓝军往往会先对企业资产暴露面进行分析,对目标企业进行资产信息收集。 1、从公开信息入手,利用FOFA、SHODAN、搜索引擎等,搜集域名、IP等资产信息;利用天眼查、企查查等获取企业相关信息; 2、通过主机扫描、端口扫描、系统类型扫描等途径,发现攻击目标的开放端口、服务和主机,并对目标服务器指纹和敏感路径进行探测识别,完成攻击面测绘及企业防护薄弱点的梳理; 3、除了技术手段,攻击者还会利用社会工程学或企业泄露在外的敏感信息,借助钓鱼攻击等方式获取账号密码等关键信息,提升攻击成功率。 应对要诀:摸清家底,部署防线 资产管理是安全防护的第一要务。建议企业先通过云安全中心明晰防护对象现状,对IP、端口、Web服务等暴露在外的资产进行全盘测绘。同时,构建云上三道防线,实时感知安全风险,做好资产加固。 Step2 漏洞分析:顺藤摸瓜,伺机行事 漏洞是蓝军撕开防线的重要武器,蓝军攻击路径的确认依赖于对漏洞的探测分析结果。 1、根据信息收集阶段梳理的企业资产信息(包括Web指纹、高危服务等),利用漏洞扫描器、指纹对应的已知漏洞或自行代码审计挖掘的0day漏洞来进行外网打点; 2、寻找到可被利用的攻击突破口后,确认外部攻击入侵路径并进行攻击验证。 应对要诀:非必要不暴露,先缓解再修复 完成资产清点后如何对蓝军的攻击路径进行封堵?首先,企业需进一步收敛资产暴露面,做到非必要不暴露,必须对外的业务务必重点加固。针对漏洞风险,集成三道防线和云安全中心统筹能力对漏洞等互联网暴露面做有效收敛。 Step3 渗透攻击:顺手牵羊,乘虚而入 当分析得到有效漏洞入侵攻击路径之后,蓝军将针对目标服务器的脆弱性发起渗透攻击。 1、利用反序列化漏洞、命令执行漏洞、代码执行漏洞、任意文件上传漏洞、文件包含漏洞、表达式注入漏洞、JNDI注入漏洞、SSTI、SSI、XXE、SQL注入、未授权访问漏洞等类型的已知高危漏洞或挖掘的0day漏洞来getshell或获取敏感数据库权限; 2、获取外网入口点,为进一步进行横向渗透打下据点。 应对要诀:知己知彼,对症下药 针对不同类型的攻击,可通过云安全中心联动三道防线部署全面的安全管控策略。针对已知来源、手法攻击进行实时检测、拦截;针对未知威胁,利用云防火墙网络蜜罐能力,将仿真服务通过探针暴露在公网对未知攻击者进行诱捕并反制。 Step4 横向渗透:声东击西,持续渗透 蓝军成功通过外网打点突破边界之后,会基于getshell的入口点继续进行横向渗透,逐步扩大攻击成果。 1、为了深入了解内网情况,攻击者会先对本机系统信息、网络架构信息、域信息等进行收集,梳理目标内网资产信息(包括内网网段、开启的主机、服务等); 2、针对内网存在漏洞的资产进行渗透攻击并搭建内网隧道,增加渗透入侵攻击路径。 (编辑:宣城站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
