「红蓝攻防」

这是奇安信出版的一本关于网络安全攻击和防御的一本带有指导性的书籍。

2023.09 摄于辽宁葫芦岛宁远觉华岛

红蓝对抗基础

红队

1. 指网络实战攻防演练中的攻击一方
2. 以发现系统薄弱环节、提升系统安全性为目标
3. 攻击一般只限定攻击范围和攻击时段，要求实际获取系统权限或系统数据
4. 通常3人为一组展开测试，综合能力最强为组长，其他人要各有专长
5. 工作已经体系化、职业化和工具化
6. 从实战对抗手法来看，呈现出社工化、强对抗和迂回攻击的特点

蓝队

1. 指网络实战攻防演练中的防守一方
2. 的主要工作包括演练前安全检查、整改与加固，演练期间的网络安全监测、预警、分析、验证、处置，演练后期复盘和总结。
3. 并不是由运营单位一家组成，而是由系统运营、安全运营、安全厂家、攻防专家、软件厂商、网络运维、云提供商多家合力
4. 技术发展趋势由被动防守向正面对抗进化

紫队

1. 紫队指攻防演练中的组织方
2. 紫队负责演练组织、过程监控、技术指导、应急保障、风险控制、演练总结、技术措施与优化策略建议等工作
3. 对于不宜在实网中直接攻防的系统，或者高危操作，紫队可以组织攻防双方进行沙盘推演

常见薄弱环节

1. 互联网未知资产或服务大量存在
2. 网络及子网内部安全域之间隔离措施不到位
3. 互联网应用系统常规漏洞过多
4. 互联网敏感信息泄露明显
5. 边界设备成为进入内网的缺口
6. 内网管理设备成为扩大战果的突破点
7. 安全设备自身成为新的风险点
8. 供应链攻击成为攻击方的重要突破口
9. 员工安全意识淡薄是攻击的突破口
10. 内网安全检测能力不足

应对策略

1. 完善面向实战的纵深防御体系
2. 形成面向过程的动态防御能力
3. 建立以人为本的主动防御能力
4. 建立基于情报数据的精准防御能力
5. 打造高效议题的联防控机制
6. 强化行之有效的整体防御能力

防御体系突破

攻击的四个阶段

准备工作

工具准备

1. 信息搜集工具
2. 扫描探测工具
3. 口令爆破工具
4. 漏洞利用工具
5. 远程控制工具
6. WebShell管理工具
7. 网络抓包分析工具
8. 开源集成工具平台

专业技能储备

1. 工具开发技能
2. 漏洞挖掘技巧
3. 代码调试技能
4. 侦破拓展技能
5. 人才队伍储备

目标网情搜集

主要工作

1. 搜集目标系统的组织架构、IT资产、敏感信息、供应商信息

搜集途径

1. 专业网站
2. 目标官网
3. 行业协会

外网纵向突破

1. 主要工作：围绕web站点、外部邮件系统、边界网络设备、外部应用平台
2. 途径：获取目标敏感信息，利用漏洞实现突破

内网横向拓展

1. 主要工作
   1. 内网信息搜集
      1. 内网存活IP以及存活IP开放的端口和服务
      2. 主机和服务器性质，判断设备所在区域、用途
      3. 内网拓扑、VLAN划分、网络节点和网段间连通性
      4. 内网通用杀毒软件、防火墙、操作系统、OA办公软件、IM工具
      5. 组织架构、网络建设、设备部署以及网络管理部门与关管理人员的信息
   2. 重要目标定位
      1. 内网关键服务器
      2. 内网重要主机
   3. 内网渗透拓展
   4. 内网控制维持
   5. 内网提权
2. 拓展途径
   1. 内网漏洞利用
   2. 口令复用或弱口令
   3. 安全认证信息利用
   4. 内网钓鱼
   5. 内网水坑攻击

常用攻击手段

漏洞利用

1. SQL注入漏洞
   1. 获取后台数据库中存放的目标的隐私信息
   2. 对目标网站挂马
   3. 获取后台应用系统控制权限
2. 跨站漏洞
3. 文件上传或下载漏洞
4. 命令执行漏洞
5. 敏感信息泄露漏洞
6. 授权验证绕过漏洞
7. 权限提升漏洞

口令爆破

1. 弱口令
   1. 简单密码
   2. 产品默认口令
   3. 与用户名关联
2. 口令复用

钓鱼攻击

1. 外网钓鱼
   1. 目标选定：主要选定客服人员、HR、财务人员等安全意识薄弱的目标人员
   2. 工具准备：围绕诱骗文档格式选择和木马免杀
   3. 钓鱼素材和沟通话术准备
   4. 进行钓鱼
2. 内网钓鱼
   1. 目标选定：根据实际任务进展需求开展，主要选择网络运维管理人员作为目标
   2. 钓鱼工具准备
   3. 钓鱼素材和话术准备
   4. 进行钓鱼
3. 应急措施

供应链攻击

1. 网络提供商
2. 安全服务提供商
3. 产品或应用提供商

VPN仿冒

1. 获取VPN认证信息
   1. 针对目标人员钓鱼
   2. 通过供应链攻击针对目标的安全服务提供商
   3. 通过漏洞利用直接从VPN网关设备上获取账号信息
   4. 账号爆破，测试口令复用或弱口令
2. 控制VPN网关

隐蔽隧道外连

1. 借助第三方工具
2. 借助目标边界设备

社会工程学攻击

近源攻击

1. Wi-Fi边界突破
2. 乔装入侵

攻击的必备能力

基础能力

1. Web漏洞利用能力
2. 基础安全工具利用能力

进阶能力

1. Web漏洞挖掘
2. Web开发与编程
3. 编写PoC或EXP等利用
4. 社工钓鱼
   1. 开源情报搜集
   2. 社工库搜集
   3. 鱼叉邮件
   4. 社交钓鱼

高阶能力

1. 系统层利用与防护
2. 系统层漏洞挖掘
   1. 代码跟踪
   2. 动态调试
   3. 补丁对比
   4. 逆向分析
   5. 系统安全机制分析
3. 身份隐藏
   1. 匿名网络
   2. 盗取他人ID
   3. 使用跳板机
   4. 他人身份冒用
   5. 利用代理服务器
4. 内网渗透
   1. 域环境渗透
   2. 横向拓展
   3. 数据窃取
   4. 免杀
5. 高级安全工具
   1. IDA
   2. Ghidra
   3. Binwalk
   4. OllyDbg
6. 编写PoC或EXP等高级利用
7. 掌握CPU指令集
8. 团队协作

蓝队视角下的防御体系构建

蓝队防御的实施阶段

备战

1. 管理
   1. 备战阶段组织架构及职责分工
      1. 领导小组
      2. 备战指挥组
      3. 网络工作组
         1. 资产梳理
         2. 网络架构梳理和优化
         3. 整改加固
      4. 安全工作组
         1. 资产梳理
         2. 网络架构梳理
         3. 整改加固
      5. 基础环境工作组
      6. 应用系统工作组
      7. 协调联络工作组
   2. 技术
      1. 资产梳理
      2. 网络架构梳理
      3. 安全检查
      4. 攻防演练
   3. 运营
      1. 应急预案编写及完善
      2. 安全意识培训
      3. 生产工作要求
      4. 工作机制宣贯

临战

1. 工作清点
   1. 业务系统暂停服务
   2. 关闭服务器对外访问权限
   3. 集权类系统排查和暂停服务
   4. 服务器日志检查分析
2. 战前动员
   9. 宣贯工作流程
   10. 战术培训

实战

1. 全面开展安全监测预警
2. 全局性分析研判工作
3. 提高事件处理效率效果
4. 追踪溯源，全面反制

总结

1. 复盘总结
   1. 设定防守工作目标
   2. 制订工作方案
   3. 组织架构和分组职责
   4. 防守靶标系统基本信息调研
   5. 防守单位和人员确认
   6. 工作启动会
   7. 签署保密协议
   8. 沟通软件部署
   9. 防守工作场地
   10. 指定应急预案和流程
   11. 防守规则调研
   12. 系统资产梳理
2. 攻击队攻击方式总结
   1. 互联网突破总结
   2. 旁站攻击总结
   3. 物理攻击总结
   4. 物理攻击总结
   5. 专挖oday+Nday总结
   6. 钓鱼、水坑、社工总结
   7. 供应链攻击总结
   8. 情报共享和使用
   9. 反制战术
   10. 攻防演练总结
3. 改进措施
   1. 应用系统生命周期管理
   2. 漏洞管理
   3. 总体总结

防守策略

1. 信息清理：互联网敏感信息
2. 收缩战线：收敛互联网暴露面
   1. 攻击路径梳理
   2. 互联网攻击入口收敛
   3. 外部截图网络梳理
   4. 隐蔽入口梳理
3. 纵深防御：立体防渗透
   1. 资产动态梳理
   2. 互联网端防护
   3. 访问控制策略梳理
   4. 主机加固防护
   5. 供应链安全
4. 守护核心：找到关键点
   1. 靶标系统
   2. 集权系统
   3. 重要业务系统
5. 协同作战：体系化支撑
   1. 产品应急支撑
   2. 安全事件应急支撑
   3. 情报支撑
   4. 样本数据分析支撑
   5. 追踪溯源支撑
   6. 主动防御：全方位监控
      1. 自动化IP封禁
      2. 全流量网络监控
      3. 主机监控
      4. 日志监控
      5. 蜜罐诱捕
      6. 情报工作支撑
   7. 应急处突：完备的方案
      1. 完善各级组织结构
      2. 明确各方人员在各个组内担任的职责
      3. 明确各方设备的能力与作用
      4. 制定可能出现的攻击成功场景
      5. 明确突发事件的处置流程
   8. 溯源反制：人才是关键

防护手段

防信息泄露

1. 防文档信息泄露
2. 防代码托管泄露
3. 防历史漏洞泄露
4. 防人员信息泄露
5. 防其他信息泄露

防钓鱼

防供应链攻击

防物理攻击

1. Wi-Fi破解
2. 冒充上门维护
3. 历史后门利用

防护架构加强

互联网暴露面收敛

1. 互联网出口可控、可检测
2. VPN接入控制
3. 对外发布系统资产排查
4. 开发在互联网上的API排查
5. 管理后台排查

网络侧防御

1. 网络路径梳理
2. 安全的网络架构
3. 访问控制

主机侧防御

1. 及时安装漏洞补丁
2. 安全加固
3. 根据实际业务情况需加固的加固项
   1. 弱密码
   2. 中间件防御
      1. 中间件版本及漏洞
      2. 中间件后台
      3. 中间件配置加固

Web侧防御

1. web安全漏洞
2. 管理后台及弱密码
3. 重要集权系统
4. 安全设备自身安全

APP客户端安全

1. App客户端安全
2. APP组建安全
3. APP其他安全

常用关键安全设备

边界防御设备

1. 防火墙
2. 入侵防御系统
3. WAF
4. 云WAF\云抗D
5. 邮件网关

安全检测设备

1. 互联网资产发现系统
2. 自动化渗透测试系统
3. 开源组建检测系统
4. 堡垒机

流量监测设备

1. 流量威胁感知系统
2. 流量监测设备
3. 态势感知与安全运营平台
4. 蜜罐系统

终端防护设备

1. 终端安全响应系统 EDR
2. 服务器安全管理系统
3. 虚拟化安全管理系统
4. 终端安全准入系统
5. 终端安全管理系统

威胁情报系统

紫队视角下的实战攻防演练组织

如何组织一场实战攻防演练

组织要素

1. 组织单位
2. 技术支撑单位
3. 攻击队
4. 防守队

组织形式

1. 由国家\行业\监管机构组织的演练
2. 企事业单位自行组织的演练

组织关键

1. 演练范围
2. 演练周期
3. 演练场地
4. 演练设备
5. 攻击队组建
6. 防守队组建
7. 规则制定
8. 视频录制

风险规避

1. 限定攻击目标胸痛,不限定攻击路径
2. 除非授权,不允许使用DDOS
3. 网页篡改攻击方式说明
4. 演练禁止采用的攻击方式
   1. 禁止收买防守队人员进行攻击
   2. 禁止物理入侵\截断光纤等方式攻击
   3. 禁止采用无线电干扰等直接影响目标系统运行的攻击方式
5. 攻击方木马使用要求
6. 非法攻击阻断及通报

组织攻防演练的5个阶段

1. 组织策划阶段
2. 实战攻防演练阶段
3. 应急演练阶段
4. 演练总结阶段
5. 沙盘推演阶段

组织沙盘推演的4个阶段

略