攻防演练前的安全隐患排查工作指南
2021-03-31 18:36:42 Author: www.freebuf.com(查看原文) 阅读量:95 收藏

前言

近些年,在互联网大环境的影响下,无论国家还是行业层面,都开始逐步关注和重视安全问题。全国、地区、行业内的网络安全攻防演练活动持续增多,对企业的网络安全防护能力、监测发现能力、应急处置能力的综合要求也越来越高,如何能在攻防演练开始前期尽可能早的发现存在的短板和薄弱环节,是悬在参演单位头上的“达摩克利斯之剑”。

然而,如何行之有效的搜寻攻方可探查的敏感信息并及时清理?该如何进行资产测绘?这些都是值得探讨的话题。

本次,斗象科技南区技术总监胡云海就“攻防演练前的安全隐患排查工作指南”为题,从信息搜集、策略制定、安全管控等方向,和大家一起分享交流针对攻防演练过程中各方面的工作部署及思路想法。

清理敏感信息

企业作为防守方,为应对攻方的信息收集,首要解决的就是减少敏感信息的暴露,包括系统源代码、邮箱账号、口令等。

从常规的进攻路径来看,会以先收集企业的IT资产信息(如:域名、IP、开放端口、证书信息、企业名称、ICP备案信息、whois信息等)作为搜索的敏感特征,再配合关键词(如:源代码、邮箱、密码、文件名、通讯录、内部资料、安装说明等)搜索暴露在互联网上的敏感信息。

ARL 侦查企业资产界面

常用的互联网敏感信息搜索渠道如下:

  • 搜索引擎类,如百度搜索、360搜索、搜狗、谷歌、必应、搜搜、雅虎、有道、阿里云搜等

  • 学术网站类,如CNKI、Google学术、百度学术

  • 网盘类,如百度云盘、新浪微盘、360云盘等

  • 代码托管平台类,如Github、Bitbucket、Gitlib、Gitee等

  • 招投标网站类,自建招投标网站、第三方招投标网站等

  • 文库类,如百度文库、豆丁网等

  • 社交平台类,如微信群、QQ群、论坛、贴吧等

  • 其它,如Pastebin(黑客共享信息平台)、暗网等

清理已暴漏敏感信息的四种途径

  • 直接清理:如对于自建的招投标网站上暴露的敏感信息可联系网站主管部门清理;企业及个人使用账号在论坛、网盘、社交网站上发布的敏感信息可直接清理

  • 协助删除:如百度、知网等商业类网站,可联系网站管理机构请求协助删除

  • 找原作者并删除如Github、论坛等开放式网站可联系发布原作者进行删除

  • 妥善保管:内网存在的敏感信息,如网络架构图、拓扑图、网络设备和安全设备的管理员账号、密码等敏感信息,被攻击队获取后的危害非常大,尤应妥善保管。

资产梳理,收敛攻击面

在往年的攻防演练中,攻击队常使出「声东击西」、「浑水摸鱼」、「李代桃僵」等计谋让守方节节溃败,究其原因还是守方对自己的资产无法进行全面清晰的掌控。在攻防演练开始前梳理企业资产并采取相关防御措施也就显得尤为关键。

清理互联网资产

  • 统计排查:排查公有云平台,阿里云、腾讯云、百度云、天翼云等;排查合作方机房的互联网应用,如互联网网站、专业应用、移动APP、微信公众号、微信小程序等

  • 技术评估并采取措施:采用技术手段对暴露在互联网上的设备、应用、数据库等网络资产进行排查评估,关闭不必要的主机、应用和服务

  • 暴露面分析:对主域进行子域名发现,如通过对主域名暴力破解、google hack、及全球实时DNS数据检索等手段和工具来发现暴露在互联网中的子域名,探查其Web指纹,发现存在风险的中间件或脚本框架。对互联网IP段及子域解析进行全端口扫描,发现对互联网开放的危险端口,对该端口进行POC扫描

ARL筛选站点任务下发:POC扫描

梳理网络边界

全面梳理清查各类网络边界,确保网络拓扑图与实际接线情况一致(包括但不限于自建系统内网络边界以及各安全分区网络边界),以最小权限原则清理无效或者过于宽泛的策略,封堵高危端口。

缩减互联网出口与互联网应用数量

  • 全面清查和关停非必要互联网出口

  • 开展企业互联网应用系统的渗透测试,对存在的高危安全漏洞及不满足安全规定的系统进行下线整改、关停处理

  • 临时关停老旧系统、无主系统、有高危漏洞的互联网应用

互联网出口防护策略有效性检查

  • 检测互联网的防火墙策略,重点排查风险端口对互联网的开放情况,如:确认防火墙的防扫描功能为开启状态

  • 检测互联网出口WAF防护策略,确认WAF已开启高级拦截策略,如过滤单引号,对multipartform-data请求。人工绕过WAF进行渗透测试,发现WAF的防护策略缺陷

  • 检测IPS防护策略,确认已开启有效的全规则过滤。人工绕过IPS进行渗透测试,发现IPS的防护策略缺陷

清理内网资产

  • 核对各网络区域、各IP地址段的在线IT资产,明确各IT资产的用途、所属系统、类别、责任人等信息,编制资产台账

  • 对已停止原厂服务的在运老旧系统和设备进行识别和标记

  • 对无主IP、不明IP的IT资产进行筛查,经核实后进行下线处理、对废弃、无主系统和设备进行下线处理

终端与哑终端全面管控

  • 排查更新终端防病毒软件、安全补丁

  • 排查升级终端操作系统

  • 加强终端安全配置

  • 加强打印机等泛终端的安全管控

Webshell专项检测

利用webshell检测工具对内外网及互联网所有网站进行webshell专项排查,检测历史遗留的webshell情况,一经发现,及时查杀,必要情况下将其更替为干净的网站源码。

弱口令专项检测

利用弱口令检测工具及自检表检查各类终端、服务器、网络及安全设备、数据库、中间件的各类账号是否存在弱口令、默认口令、通用口令等口令长期使用的情况,对发现的弱口令及帐号隐患及时处理。

纵深防御策略排查

  • 分区分域隔离:在网络分区基础上进行分域隔离,如分区分为DMZ区、IDC区;分域分为核心业务域、普通业务域,并对网络边界、区域防护设备进行安全加固PRS在不同分域进行镜像分析

  • 落实纵向防护策略:对纵向网络边界防护措施进行查漏补缺,如访问策略细化至IP和端口、高危端口:TCP:135、139、445、3389。UDP:137、138、139、445、3389等封堵、禁止直接通过22、3306、1521等操作系统、数据库、中间件的登录端口进行远程管理

  • 加强无线安全防护:强化无线网络的登陆认证,断开无线网络与公司内网的物理连接。针对内网办公终端,启用非法外联管控策略

  • 加强开发测试区域防护:梳理开发测试区网络边界访问控制策略,隔离开发测试区与互联网的访问;对测试区进行内网渗透测试,发现测试区是否存在可入侵系统的高危漏洞,清理开发测试系统的配置及测试数据

  • 加强攻击路径杀伤链防护:加强楼宇视频监控网络安全,定期开展楼宇视频监控摄像头巡察,防止以摄像头为跳板入侵,采用访问控制和流量监测对楼宇视频终端的网络行为进行限制和监视,相关网络端口配置准入或进行MAC地址绑定,连接屏幕的电脑专机专用、专人管理;加强专线到内网安全防护,在专线区域部署攻击诱捕设备,通过访问控制措施限制访问端口,关闭无关端口,并配置旁路协议流量检测设备

靶心重点防护排查

靶心:一般指HVV期间需要重点防护的资产,如域控、特权设备、数据库等攻击队重点关注的目标和对象。

  • 加强供应链网络安全管理:筛查和关闭为供应商开启的VPN通道、远程接入通道、特权账号等;清理重要系统开发运维人员个人终端上存储的敏感资料

  • “社会工程学”防御:对全员开展网络安全意识教育,着重对易受“社工”突破的人员,如客服人员、外包人员等开展强化安全意识培训

  • 加强靶心互联网应用安全管控:针对需要重点防护的资产和靶标,可通过对其访问关联关系,建立流量模型或基线,以此对HVV期间的资产异常变动和访问进行检测

  • 加强邮件系统安全管控:对外网邮件系统安全防护措施进行查漏补缺,部署邮件安全网关、安全沙箱,更新邮箱过滤规则,部署网关数据防泄露系统,启用外网邮件外发检测策略;禁用外网邮件系统的明文传输协议和端口,采用https替换http;清理外网邮件系统无用帐号、空闲帐号;更改邮件系统账户的弱口令、默认口令;清理邮箱中保存的敏感信息

  • 梳理主机防护策略:安装部署服务器防病毒软件、补丁管理系统(更新主机操作系统、中间件、数据库等的安全补丁)、启用操作系统的主机防火墙、启用运维审计系统(堡垒机)的双因素认证、清理AD域的空闲账号与无主账

  • 数据库精细管控策略梳理:采用主机防火墙、网络防火墙限制对数据库服务的访问策略,仅允许应用服务器、备份服务器、监控服务器、运维审计设备以及其他接口服务对数据库服务的访问;关联数据库与应用系统用户账号,对用户的数据访问实现字段级的授权鉴权全程审计

  • 提升新形势下网络攻击防护能力:根据自身情况,在基础安全防护和检测设备之外,还可以通过部署蜜罐、流量安全分析设备、HIDS等新型的检测设备,打造从外到内,由点及面的一体化安全体系,对HW期间可能出现的各种未知风险进行检测,并通过联动方式有效识别和阻断自动化攻击,实现新形势下的纵深防御体系

安全的本质是人的对抗,以上所有对自身情况的摸底和排查工作最终都需要人员去落实,只有将工作做到攻防演练开始前,尽可能全面的去考虑到各环节风险,方可在实战期间做到心中有数、从容不迫,顺利通过攻防演练的考验。


文章来源: https://www.freebuf.com/articles/268203.html
如有侵权请联系:admin#unsafe.sh