攻防实战演练系列之“漏洞”篇——筑好防御堤坝

2022/05/20 18:59:35

网络实战攻防演练是当前国家、重要机关单位和企事业单位用来检验网络安全防御能力的重要手段之⼀,是关键信息系统基础设施网络安全保护工作的重要组成部分。华顺信安曾多次参与国家级攻防实战演练工作,提供模拟攻方和协助防守服务,取得不斐成绩,也总结出一些经验和想法,以下依次给出~ 

接上回《攻防实战演练金融企业致胜第一步:做好这件网络安全自查工作》,我们已经明确,资产盘点及梳理是攻防演练备战阶段的首要工作。那我们这次就继续和各位金融企业防守方念叨下,在完成该工作时,我们应该把重点放在哪?从多次攻防实战演练结果中,我们发现,现在很多蓝队的基础安全工作仍面临考验,除了前面提到的全量资产梳理工作外,还有很多是因风险排查工作不到位而导致其在红队发起攻击后极易被突破。 

近年来,信息化产品虽然提高了企业的运行效率,但其自身的安全漏洞也给企业带来了很多潜在隐患。红队在攻防演练中就常利用产品组件的漏洞来达成攻击目标,比如:OA漏洞、中间件漏洞、数据库漏洞等。 

除了系统、应用等漏洞以外,红队还会探测目标企业在人员和管理上的漏洞,最典型的方法就是弱密码,包括弱强度密码、默认密码、通用密码、已泄露密码等不同类型。

在攻防演练中,红队通过弱密码获得访问权限的比例超过一半甚至更多。另外,近两年的红蓝对抗,攻击队的手段越来越隐蔽,越来越单刀直入,通过0-Day、N-Day攻击直接获取系统控制权限几近成为常态。其中由于0-Day漏洞能够穿透现有基于规则的防护技术,被视为红队最为有效的手段之一。2021年演习期间,红队不断爆出各类0-Day漏洞,这些漏洞大部分和暴露在互联网上的Web应用相关,直接威胁到核心系统安全。 

除上述问题外,金融关基单位因供应链风险敞口过大而导致其还会面临更多来自第三方的潜在安全隐患。攻击者往往会将目光聚集在目标金融单位的上下游供应商,比如IT供应商、安全供应商等,从这些上下游企业中找到软件或系统、管理上的漏洞,在攻防对抗中进行有的放矢,突破防守队网络边界,甚至拿下目标系统权限。 

综上所述,值此临近攻防实战演习之际,各企业应继资产梳理之后,进行风险点排查、互联网风险自查等相关工作,严防薄弱点。蓝队应按照攻击者的视角首先进行暴露面梳理工作,同时针对对外服务的资产开展集中的漏洞整治工作,做好企业自身的防御面,有效避免攻击方通过漏洞对企业进行网络攻击或破坏。 

然而,无论企业规模多大、成本投入多大,要想发现并修复攻击面中的每一个漏洞,资源永远不会够。聚焦于高价值即实战型漏洞的华顺信安FOEYE网络资产测绘及风险分析系统则能帮助企业解决上述难题。 该产品区别于传统扫描产品,其使用PoC的方式进行漏洞检测,依据指纹识别资产类型匹配对应的PoC进行自动验证,从而漏洞结果准确,给出的修复和防渗透建议可以更好的进行加固和防利用监控,提高了漏洞扫描的自动化和精准性。 

目前,FOEYE已拥有庞大的资产指纹库及4000+高质量PoC,可对互联网资产进行全方位的风险评估,主动发现互联网资产上存在的安全漏洞、弱口令等可被攻击者利用的安全风险,同时结合资产的重要程度进行风险分析,准确定位风险优先级,快速有效的解决潜在威胁,将资产关联漏洞信息共享给安全决策者或修复人员,协助管理及修复,为蓝队在攻防演练中争取到宝贵的时间。 

当然,对于网络安全运营工作,最重要的还是“人”。蓝队人员的实战经验及应对能力,同样是决定红蓝对抗时的胜负关键因素所在。华顺信安推出的Vulfocus漏洞威胁分析平台则给蓝队提供了实践平台。该产品是一款以实战漏洞为核心的平台,聚焦行业热门、高价值、多类型漏洞,提供有效的漏洞实战资源,供蓝队人员在攻防实战演练前期练习,让其漏洞修复能力能够得以快速提升,并验证漏洞修复方案安全性、可行性,最终能够使其在攻防实战演练中,拥有快速且精准的应急响应能力。 

攻防演练的最终目的是帮助企业组织了解自身的安全能力,并能够有针对性地进行提升,减少被攻击的可能性,最大程度地保障企业网络安全。华顺信安的使命与这个目标不谋而合,我们致力于提升各个行业的网络安全防护水平。如果您有关于攻防演练或网络安全方面的任何问题,欢迎致电400-650-2031。