第一章 概述
背景
網絡實戰攻防演習是當前國家、重要機關單位和企業組織用來檢驗網絡安全防禦能力的重要手段之一,是當下檢驗對關鍵信息系統基礎設施網絡安全保護工作的重要組成部分。網絡實戰攻防演習通常是以實際運行的信息系統爲攻擊目標,通過在一定規則限定下的實戰攻防對抗行爲,最大限度地模擬真實的網絡攻擊,並以此來檢驗目標信息系統的實際安全防護能力和運維保障的有效性。
自2016年以來,在國家相關網絡安全監管機構的有力推動下,網絡實戰攻防演習工作日益得到重視,目前具有涉及行業範圍廣,演練週期長,活動規模大等特點。國家有關部門組織的全國性網絡實戰攻防演習從2016年僅有幾家參演單位,到2019年已擴展到上百家參演單位;行業領域由國家電網,民航逐漸擴展至電信、金融、水利、能源等覆蓋各類民生保障行業。同時各省、各市、各行業的監管機構,也都在積極地籌備和組織各自管轄範圍內的實戰演習。
本指南編寫主要目的是指導企業組織在網絡實戰攻防演習過程中,以企業防守方藍隊角色爲中心視角,指導如何籌建企業藍隊以及在實戰攻防演習活動前的準備階段、實戰階段和總結階段分別給出一些建議,本文默認藍隊爲防守方、紅隊爲攻擊方。
第二章 戰前準備階段
2.1. 組織架構
企業藍隊的組建需要企業管理層自頂向下進行推進,由企業管理人員負責領導建立團隊。通常,在籌備網絡攻防演習活動前需要成立包括藍隊指揮中心、實時監測小組、快速反應小組、應急保障小組等。
圖1 藍隊工作組
藍隊指揮中心:由企業管理層組織並任命專人負責領導,主要負責組織、統籌整個演習活動中藍隊防守方的人員培訓教育、統一調度工作、建立溝通機制,以及對演習活動中各類突發事件進行決策。
實時監測小組:由企業運維人員組成,通過7*24小時實時監控流量、日誌平臺等工具,及時發現並報告可以的攻擊行爲,對攻擊IP進行封堵或採取限制策略。
快速反應小組:由企業安全人員組成,負責輔助實時監控小組對上報攻擊事件進行分析,研判攻擊行爲的真實性與威脅程度,發現業務系統潛在風險點,及時提出安全處置建議。
應急保障小組:由企業安全人員和業務系統人員組成,應對各類演習活動中的突發事件、影響業務系統正常運行的各類事件,進行及時處置和恢復。
2.2. 資產梳理
在網絡攻防實戰演習中,在成立藍隊工作小組後指揮中心應統一進行企業組織的資產梳理工作,主要分爲業務系統資產、設備資產、外包或第三方服務資產。還要提前準備IT網絡拓撲圖、邏輯結構圖、系統調用關係、應急響應計劃、業務連續性計劃等等。
業務系統資產的梳理工作主要針對對外提供服務的業務系統,通過企業對外提供服務業務系統摸排清點工作,藍隊工作組需要對現有各類Web、App、小程序等業務系統進行登記備案,明確各業務系統的服務器類型及版本、業務系統功能、域名、IP地址、服務端口、開發框架、中間件類型及版本號、服務器部署位置、業務系統責任人聯繫信息、維護人員聯繫信息,以及業務系統間的關聯性。
業務系統資產登記表
業務系統名稱: 業務系統名稱 責任人: 聯繫方式
業務系統類型: Web/APP… 維護人員:
服務器類型: Win/Linux 版本號
域名/IP地址:
服務端口:
中間件、版本:
系統部署位置:
開發框架:
數據庫:
設備資產梳理目標是在企業IT運維人員的配合下,對企業所有IT資產進行清點,梳理所有服務器、網絡設備、安全設備等進行記錄。
記錄設備的名稱、授權書期限、設備廠商聯繫方式、運維管理人員、責任人、系統版本、特徵庫(規則庫)、部署區域等信息。
設備資產登記表
設備名稱: 責任人:
IP地址: 維護人員:
設備版本號: 廠商聯繫方式:
特徵庫版本:
授權有效期:
部署位置:
外包資產的梳理重點在於涵蓋業務系統設計、開發、實施運維的各個階段。對外包業務資產進行有效清點,登記系統名稱、類型(接口、服務、app等)、在網絡攻防實戰演習準備期間,企業應提前通知第三方合作伙伴演習的開始和截止時間,簽署責任相關協議,明確外包聯繫人員和值班安排。
第三方資產登記表
系統名稱: 責任人:
系統類型: 維護人員:
IP/URL地址: 廠商聯繫方式:
是否簽署責任協議:
第三方值班人員:
IP/URL地址:
部署位置:
2.3. 風險梳理
網絡攻防演習活動中風險梳理是非常重要的步驟,通過全面的風險排查能夠有效的降低在演習過程中被紅隊攻擊成功的可能性。
風險梳理工作主要分爲基礎設施風險、帳號權限梳理、互聯網風險排查。
2.3.1 基礎設施風險
通過資產梳理階段進行收集的設備資產清單,對服務器、網絡設備、安全設備等檢查是否運行正常,安全設備特徵庫、規則庫是否已更新到當前最新版本,授權是否有效。
對所有服務器、安全設備、網絡設備執行安全掃描,針對掃描報告中暴露出的高、中危風險,進行修復工作。
2.3.2 帳號權限梳理
通過資產梳理階段進行收集的業務系統資產登記表、設備資產登記表、第三方資產登記表的記錄,審覈授權用戶僅能訪問特定業務目的的系統、設備。禁止共享賬號行爲,對具有管理權限的帳號應收歸各系統責任人統一管理和使用審批。在帳號權限梳理階段,對所有帳號應重點關注三類情況:弱口令、共享賬號、閒置帳號。帳號口令應符合強密碼複雜度,杜絕弱口令的出現。
同時,各系統責任人應重新審覈帳號管理權限的授予與使用記錄,以確保符合最小授權原則。
2.3.3 互聯網風險排查
通過資產梳理階段進行收集的業務系統資產登記表,重點篩查是否存在冗餘資產,冗餘資產指企業未能正式投入使用,但仍然佔用系統資源運行的系統。通常包括舊版本的系統、舊數據庫、測試環境等,由於冗餘系統缺少人員的管理和維護,導致存在許多潛在安全風險,包括但不限於版本漏洞、弱口令、功能邏輯漏洞等。掃描並修復所有互聯網業務系統及服務器的高、中危風險。
通過互聯網風險排查,對外開發端口進行登記梳理,對於非業務需要的服務端口進行關閉。另外,對於所有業務系統使用到的API接口等進行重點防護。
2.4. 收斂攻擊面
經過資產梳理和風險梳理兩個階段之後,下一步應該根據資產列表和風險梳理結果進行攻擊面收斂工作。以下列舉部分減少攻擊面的活動,以供參考:
(一)通過與各個業務系統負責人溝通,對於非核心關鍵業務系統進行關閉;
(二)關閉非必要端口,僅保留核心關鍵業務服務;
(三)關閉暴露在互聯網上的業務系統管理後臺、各類中間件管理後臺和其他各類管理後臺登錄頁面;
(四)關閉不必要的VPN服務或停用帳號;
(五)關閉不必要的WIFI熱點,嚴控非法網絡接入;
(六)企業安保人員嚴格監控人員進出登記;
2.5. 安全教育
有數據統計表明,影響企業網絡安全狀態的威脅因素其中70% 由企業內部人員引起。對於在網絡攻防演練活動前,應對企業各級管理人員、普通員工等安排適當的信息安全意識培訓工作,讓員工瞭解到各類不同類型的攻擊案例以及社會工程學方面的內容是一項非常重要的工作。促進企業員工識別郵件釣魚、人員仿冒、捕鯨攻擊、戰爭駕駛、虛假WiFi等常見社會工程學攻擊手段的能力,提高人員安全防範意識。
第三章 實戰防護階段
3.1. 威脅情報
網絡攻防演習活動中威脅情報的收集與監控至關重要,需要實時監控小組人員持續監控互聯網最新漏洞的披露情況,對比資產清單符合漏洞影響特徵的資產進行重點防護和加固。
另外有一部分攻擊者會採用0day/Nday漏洞來攻擊目標系統。針對此類行爲,防守方應及時與專業廠商取得合作,建立漏洞通報渠道,參考廠商給出的建議實施安全加固工作。
3.2. 實戰監控
網絡攻防演習活動中實戰監控工作主要由實時監測小組完成。活動中應重點關注核心目標業務系統,同時針對核心業務系統外與之關聯的服務,對目標系統的出入流量和日誌進行集中式的監控和分析。
全網流量監控:通過合理分配安全監控設備的部署,對企業外部與內部間的所有流量進行監控和分析,對於日誌中存在的可疑攻擊行爲提交至快速反應小組進行研判,如果判定爲攻擊行爲,則針對攻擊IP地址進行封禁或採取其他防護措施;
主機流量監控:通過合理部署主機安全防護軟件,應對操作系統層面的日誌進行統一的集中彙總和監控分析工作;
日誌監控:對業務系統日誌的實時監控,應對重要系統日誌實施獨立的日誌收集和存儲機制,避免日誌本地存儲導致被攻擊者刪除情況,重要業務系統可安排專人進行實時監控分析。
在實戰演習活動前,應對業務系統重要數據、數據庫等進行備份工作,避免在活動中因攻擊行爲影響業務系統數據的正常運行。
第四章 戰後總結階段
4.1. 活動覆盤
網絡攻防實戰演習活動結束後,應針對活動中暴露出來的問題進行統一的彙總,並在藍隊指揮中心統一組織下,對整個防護過程進行復盤工作,全面分析,總結經驗和教訓。覆盤工作可能給包括資產梳理階段是否存在漏網之魚、風險分析階段是否有遺留風險點、演習活動中各部門溝通渠道是否暢通以及業務系統運行狀態是否平穩等各個方面綜合評估,另外還要考慮在企業人員安全意識和應急預案的及時處置上是否存在問題。
4.2. 整改落實
對網絡攻防實戰演習覆盤工作暴露出來的不足之處,如管理制度的缺失、技術層面的待優化等問題,企業管理層應積極改善,努力推動相關部門進行整改。完善安全防護措施,優化安全策略的同時提升人員安全防範意識,有效提升企業整體安全防護水平。
第五章 應急響應處置
5.1. 事件分類
網絡攻防實戰演習活動中,基於一定活動規則下的企業主要面臨的事件類型可能主要以各類Webshell、遠控後門、內網滲透等爲主。
5.2. 準備工作
這裏針對網絡攻防實戰演習活動的特點,簡單列舉幾項常用工具以供參考(排名不分先後):
Webshell查殺:
河馬Webshell查殺:https://www.shellpub.com/
深信服EDR:https://edr.sangfor.com.cn/#/service/upload_virus
可疑文件掃描:
VirSCAN:https://www.virscan.org/
可疑文件分析:
火絨劍:https://www.huorong.cn/
騰訊哈勃系統:https://habo.qq.com/
威脅情報社區:
微步在線:https://x.threatbook.cn/
Rootkit查殺:
Chkrootkit:http://www.chkrootkit.org/
RPM check檢查:
/rpm -Va > rpm.log
5.3. 排查思路
5.3.1 Windows
網絡攻防實戰演習活動中的應急響應處置大體上和常規應急處置流程相同,通常演習活動不會造成業務系統的宕機事故,但對於藍隊防守方再說,能夠在攻擊方攻擊行爲發起的第一時間識別攻擊,及時採取阻斷行爲,則更能夠體現藍隊安全防護能力。
這裏簡述一下常規Windows系統下應急響應的排查思路:
- 檢查系統帳號安全
(1) 系統是否存在可疑帳號
(2) 檢查guest帳號權限
(3) 系統是否存在弱口令
(4) 檢查用戶登錄日誌是否異常
- 檢查異常進程和端口
(1) 通過進程PID查看進程文件的位置
netstat -ano
wmic process get name,executablepath,processid|findstr pid
-
檢查系統啓動項、計劃任務、服務
-
檢查系統基礎信息
-
系統版本和補丁情況
-
常見可疑目錄位置:Users、Recent等
-
本地查殺
(1) 本地安全防護軟件查殺
(2) 在線查殺工具交叉使用彌補規則庫差異性
- 系統日誌分析
5.3.2 Linux
- 檢查系統帳號安全
(1) /etc/passwd
(2) /etc/shadow
(3) 特權用戶(uid==0)
awk -F: ‘$3==0{print $1}’ /etc/passwd
(4) 可遠程登錄的帳號
awk ‘/$1|$6/{print $1}’ /etc/shadow
- History歷史命令
(1) .bash_history文件
- 端口、進程
(1) netstat -antlp|more
(2) file /proc/$PID/exe
(3) ps aux | grep pid
- 開機啓動項
(1) 在/etc/init.d
- 計劃任務
(1) crontab -l
(2) /var/spool/cron/*
(3) /etc/crontab
(4) /etc/cron.d/*
(5) /etc/cron.daily/*
(6) /etc/cron.hourly/*
(7) /etc/anacrontab
(8) …
第六章 相關參考
[1] 奇安信:《實戰攻防演練之藍隊視角下的防禦體系構建》
[2] Chirs Davis:《Blue Team Cheat Sheets》