應(yīng)對(duì)網(wǎng)絡(luò)安全問題所做的重要布局之一“HW行動(dòng)”

隨著《網(wǎng)絡(luò)安全法》和《等級(jí)保護(hù)制度條例2.0》的頒布，國內(nèi)企業(yè)的網(wǎng)絡(luò)安全建設(shè)需與時(shí)俱進(jìn)，要更加注重業(yè)務(wù)場景的安全性并合理部署網(wǎng)絡(luò)安全硬件產(chǎn)品，嚴(yán)防死守“網(wǎng)絡(luò)安全”底線?！癏W行動(dòng)”大幕開啟，國聯(lián)易安誓為政府、企事業(yè)單位網(wǎng)絡(luò)安全護(hù)航！

云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)的持續(xù)演進(jìn)，網(wǎng)絡(luò)安全形勢變得尤為復(fù)雜嚴(yán)峻。網(wǎng)絡(luò)攻擊“道高一尺，魔高一丈”，網(wǎng)絡(luò)安全問題層出不窮，給政府、企事業(yè)單位帶來風(fēng)險(xiǎn)威脅級(jí)別升高，挑戰(zhàn)前所未有。

“HW行動(dòng)”是國家應(yīng)對(duì)網(wǎng)絡(luò)安全問題所做的重要布局之一。加強(qiáng)網(wǎng)絡(luò)安全意識(shí)，是所有單位有序地完成“HW行動(dòng)”必不可少的一項(xiàng)基礎(chǔ)和必須做扎實(shí)的工作。

目前灰產(chǎn)、黑產(chǎn)環(huán)境比較復(fù)雜，很多攻擊手段已經(jīng)向云和SaaS服務(wù)方面發(fā)展，暗網(wǎng)已經(jīng)存在專業(yè)提供RaaS（勒索即服務(wù)）的服務(wù)模式，另外很多勒索攻擊軟件已經(jīng)開源，易用性得到了極大的提高，同時(shí)也大大降低了網(wǎng)絡(luò)攻擊的技術(shù)門檻。

HW行動(dòng)要“立足基礎(chǔ) 靠前一步 全面開展”

為切實(shí)履行公安機(jī)關(guān)網(wǎng)絡(luò)安全監(jiān)管職責(zé)，提高重點(diǎn)單位網(wǎng)絡(luò)安全防護(hù)意識(shí)，提升關(guān)鍵信息基礎(chǔ)設(shè)施、重要信息系統(tǒng)防護(hù)水平。近日，多個(gè)省、直轄市、自治區(qū)的公安部門按照突出重點(diǎn)、分類檢查的原則，對(duì)信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全執(zhí)法專項(xiàng)檢查，全面開展HW專項(xiàng)行動(dòng)。

日前，國內(nèi)專注于保密與非密領(lǐng)域的分級(jí)保護(hù)、等級(jí)保護(hù)、業(yè)務(wù)連續(xù)性安全和大數(shù)據(jù)安全產(chǎn)品解決方案與相關(guān)技術(shù)研究開發(fā)的領(lǐng)軍企業(yè)——國聯(lián)易安董事長門嘉平博士接受媒體采訪時(shí)表示：HW專項(xiàng)行動(dòng)要做到“立足基礎(chǔ)、靠前一步、全面開展”。

立足基礎(chǔ)，提高安全意識(shí)。公安機(jī)關(guān)網(wǎng)絡(luò)安全監(jiān)管部門要重點(diǎn)核查政府、企事業(yè)單位的重要信息系統(tǒng)運(yùn)行情況以及網(wǎng)站管理制度等。被檢查單位要以國家關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)為中心，深化網(wǎng)絡(luò)安全工作，重點(diǎn)加強(qiáng)大數(shù)據(jù)安全;要提高單位內(nèi)部員工的網(wǎng)絡(luò)安全意識(shí)，開展大數(shù)據(jù)安全等業(yè)務(wù)培訓(xùn)，全面提升整體網(wǎng)絡(luò)安全防護(hù)水平。尤其要針對(duì)未按要求落實(shí)等級(jí)保護(hù)等問題的單位，要下發(fā)限期整改通知。

靠前一步，預(yù)防隱患確安全。公安機(jī)關(guān)網(wǎng)絡(luò)安全監(jiān)管部門要嚴(yán)格按照網(wǎng)絡(luò)安全執(zhí)法檢查要求，逐個(gè)單位進(jìn)行檢查，對(duì)重點(diǎn)信息系統(tǒng)等級(jí)保護(hù)、機(jī)房網(wǎng)絡(luò)安全設(shè)施和數(shù)據(jù)保全設(shè)備的運(yùn)營及應(yīng)急措施進(jìn)行細(xì)致的檢查，以確保網(wǎng)絡(luò)安全管理制度、公民個(gè)人信息保護(hù)制度、網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案等制度落實(shí)到位。對(duì)檢查中發(fā)現(xiàn)的問題門戶網(wǎng)站要堅(jiān)決關(guān)停注銷，問題信息系統(tǒng)要嚴(yán)格按照《網(wǎng)絡(luò)安全法》和等保2.0要求給予通報(bào)和懲處。

全面開展，建立綠色通道。針對(duì)監(jiān)督檢查過程中發(fā)現(xiàn)的安全隱患，公安機(jī)關(guān)網(wǎng)絡(luò)安全監(jiān)管部門要向相關(guān)單位進(jìn)行詳盡講解，并就如何強(qiáng)化重點(diǎn)網(wǎng)站和信息系統(tǒng)的安全措施提出整改意見和要求。同時(shí)根據(jù)工作的實(shí)際情況，盡可能開通綠色通道，在符合相關(guān)規(guī)定的前提下，簡化流程，在最短的時(shí)間內(nèi)對(duì)需要等保定級(jí)、備案、建設(shè)、測評(píng)、檢查完成整改的單位給予審核。

“網(wǎng)絡(luò)安全同擔(dān)，網(wǎng)絡(luò)生活共享”。在目前信息化社會(huì)中，社會(huì)對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)的依賴越來越緊密。計(jì)算機(jī)和網(wǎng)絡(luò)在軍事、政治、經(jīng)濟(jì)和生活工作等方方面面的應(yīng)用越來越廣泛。如果網(wǎng)絡(luò)安全得不到保障，將給國家各個(gè)行業(yè)的生產(chǎn)經(jīng)營、個(gè)人資產(chǎn)和隱私等方面帶來嚴(yán)重?fù)p失，從而使得關(guān)系國計(jì)民生的關(guān)鍵基礎(chǔ)信息系統(tǒng)，甚至國家國防安全、網(wǎng)絡(luò)空間安全面臨嚴(yán)峻挑戰(zhàn)。

對(duì)此，筆者建議：針對(duì)云安全、應(yīng)用安全構(gòu)建全方位的立體防護(hù)，盡快部署云安全高級(jí)防御平臺(tái)（云防平臺(tái)）。該平臺(tái)基于云服務(wù)架構(gòu)的安全防御理念設(shè)計(jì)，實(shí)現(xiàn)了多租戶管理和統(tǒng)一安全防護(hù)。可以為企業(yè)提供全方位、立體安全防護(hù)。

HW行動(dòng)預(yù)備工作敘述

HW攻擊隊(duì)（紅藍(lán)雙方進(jìn)行精彩對(duì)決）最煩的事情：

1）防守方的密碼復(fù)雜、無復(fù)用并且保密工作較好，攻擊隊(duì)進(jìn)入內(nèi)網(wǎng)后橫向的時(shí)候，發(fā)現(xiàn)甲方有一堆強(qiáng)密碼但是都沒規(guī)律，這種情況橫向起來比較惡心。當(dāng)然了，甲方不能把密碼直接放到excel中，被攻擊隊(duì)發(fā)現(xiàn)后直接就是功虧一簣。而厲害的公司還能部署用戶硬件key，這種搞起來就麻煩了。

2）目標(biāo)內(nèi)網(wǎng)一大堆蜜罐 ，你懂的 :-）

3）還有就是無腦斷網(wǎng)、斷電大法。防守方們7*24小時(shí)的看監(jiān)控（武器庫很重要，不解釋）還是比較無奈的。

紅隊(duì)攻擊的重點(diǎn)內(nèi)網(wǎng)系統(tǒng)：

1、OA:(重點(diǎn)）

泛微、致遠(yuǎn),金蝶,藍(lán)凌、萬戶,金和,或者自研發(fā)系統(tǒng)OA、財(cái)務(wù)系統(tǒng)

2、ERP:（重點(diǎn)）

Microsoft Dynamics GP

Oracle JD Edwards EnterpriseOne

金蝶-U9

用友-K/3

神舟數(shù)碼-易助

SAP ERP

Infor M3

3、重要信息節(jié)點(diǎn)：

email：（重點(diǎn)）

exchange

office 365

DC:（重點(diǎn)）

DC2012R2

DC2008 R2

3、web中間件：（重點(diǎn)）

IIS/apache/tomcat/weblogic/jboss/websphere/Nginx/FastCGI/PHPCGI/haproxy

4、編程語言：

php/java/asp.net/python

5、firewall：

華為/H3C/深信服/juniper/飛塔/思科/sonicwall/paloalto

6、交換機(jī)：

華為（重點(diǎn)）/H3C（重點(diǎn)）/CISCO/TP-LINK/D-LINK/ruijie等

7、堡壘機(jī):

jumpserver（重點(diǎn)）/安恒堡壘機(jī)/綠盟/啟明星辰等

8、數(shù)據(jù)庫：

mysql(重點(diǎn))

sqlserver（重點(diǎn)）

Oracle(重點(diǎn))

以及Redis/Hbase/MongodDB/Neo4j/SQLite/Postgresql/esasticsearch

9、docker倉庫管理：

harbor

10、源代碼管理：（重點(diǎn)）

gitlab/SVN

11、vpn：

sanfor vpn/sonicwall/H3C/華為等

12、高性能的分布式內(nèi)存對(duì)象緩存系統(tǒng)：

memcached/Redis

13、高級(jí)消息隊(duì)列：

rabbitmq

14、開源運(yùn)維監(jiān)控：

jenkins/zabbix/cacti/Nagios

15、大數(shù)據(jù)平臺(tái)：

hadoop/Spark/Zookeeper/OpenStack/Flink

16、代碼質(zhì)量管理：

rebview board/sonarqube

17、企業(yè)內(nèi)網(wǎng)文檔系統(tǒng)：(重點(diǎn)）

conflunece

18、項(xiàng)目管理系統(tǒng)：（重點(diǎn)）

禪道/jira

19、統(tǒng)一單獨(dú)登錄：（重點(diǎn)）

adfs/ldap

20、容器管理：

K8S/nexus/rancher

21、虛擬化管理：

exis/Citrix XenDesktop

22、IPS/IDS繞過：（重點(diǎn)）

23、防病毒繞過：(重點(diǎn)）

奇安信/360/趨勢科技/卡巴斯基/賽門鐵克等

24、WAF繞過：（重點(diǎn)）

綠盟/深信服/啟明星辰/360/阿里云WAF/安全狗等

通過以上信息的校對(duì)，其實(shí)很多時(shí)候我們可以發(fā)現(xiàn)，很多資產(chǎn)都會(huì)增加攻擊面，能關(guān)停的還是要狠狠心關(guān)閉掉。尤其是內(nèi)網(wǎng)的系統(tǒng)根據(jù)我的經(jīng)驗(yàn)，大都是千瘡百孔的，密碼基本不是弱口令就是高度復(fù)用，十幾個(gè)系統(tǒng)管理員密碼都是一模一樣的情況十分頻繁。所以內(nèi)網(wǎng)的合規(guī)性漏掃和手工滲透測試是必須要做好的。配合上一定量的蜜罐可以很好地降低安全風(fēng)險(xiǎn)，今年1月份win7停止進(jìn)行安全補(bǔ)丁推送了，估計(jì)今年會(huì)出現(xiàn)很多秒win7的0day，哈哈哈。

網(wǎng)絡(luò)安全攻防演習(xí)解決方案

方案背景

方案概述

方案整體思路

目標(biāo)收益

關(guān)鍵能力

方案優(yōu)勢

2020護(hù)網(wǎng)行動(dòng)在即，新基建背景下業(yè)務(wù)安全的危與機(jī)

“護(hù)網(wǎng)行動(dòng)”是國家應(yīng)對(duì)網(wǎng)絡(luò)安全問題所做的重要布局之一。“護(hù)網(wǎng)行動(dòng)”從2016年開始，隨著我國對(duì)網(wǎng)絡(luò)安全的重視，涉及單位不斷擴(kuò)大，越來越多都加入到“護(hù)網(wǎng)2019”行動(dòng)中，網(wǎng)絡(luò)安全對(duì)抗演練越來越貼近實(shí)際情況，各機(jī)構(gòu)對(duì)待網(wǎng)絡(luò)安全需求也從被動(dòng)構(gòu)建，升級(jí)為業(yè)務(wù)保障剛需。

流量黑產(chǎn)蔓延成互聯(lián)網(wǎng)“毒瘤”

2020年，新冠疫情席卷全球，傳統(tǒng)企業(yè)悄然完成了一次“線上獲客方式”對(duì)“傳統(tǒng)獲客方式”的加速替代。線上獲客和營銷的本質(zhì)，是通過內(nèi)容和價(jià)值獲客。隨著用戶數(shù)字化訴求逐漸強(qiáng)烈、企業(yè)商業(yè)模式趨向平臺(tái)化場景，以數(shù)據(jù)驅(qū)動(dòng)的流量評(píng)估成為企業(yè)健康增長的核心能力。未來，線上獲客平臺(tái)和營銷方式越來越開放，新基建浪潮也帶來網(wǎng)絡(luò)黑產(chǎn)的繁榮，面對(duì)更復(fù)雜的網(wǎng)絡(luò)環(huán)境，除了擁有持續(xù)的線上營銷及獲客能力、有效的黑產(chǎn)防御手段才是保障業(yè)務(wù)持續(xù)有效增長的關(guān)鍵。

流量少、流量貴的問題成為企業(yè)業(yè)務(wù)增長難題，然而在供需關(guān)系不平衡的情況下，牟取暴利的野心也在暗中滋生。企業(yè)一面要想盡辦法提高流量增速，一面還要應(yīng)對(duì)各種不斷翻新的流量欺詐。數(shù)據(jù)顯示，2019年國內(nèi)互聯(lián)網(wǎng)廣告流量欺詐高達(dá)35.3%，而這一數(shù)據(jù)仍在不斷攀升。世界廣告主聯(lián)合會(huì)( World Federation of Advertisers)預(yù)計(jì)，在未來10年內(nèi)，流量欺詐將會(huì)成為犯罪組織的第二大市場，僅次于毒品販賣。

流量黑產(chǎn)產(chǎn)業(yè)鏈

無效流量作為流量欺詐的主要來源，對(duì)于企業(yè)的業(yè)務(wù)風(fēng)險(xiǎn)表現(xiàn)在一下幾個(gè)方面。在獲取線上流量的過程中，黑產(chǎn)通過自動(dòng)腳本、模擬器、設(shè)備農(nóng)場等作弊工具，偽裝成真實(shí)用戶進(jìn)行激活，帶來大量偽造流量、虛假流量，使得機(jī)構(gòu)蒙受推廣費(fèi)用損失，以及其他衍生成本的損失。而在線上活動(dòng)營銷場景中，黑產(chǎn)為拿到紅包、返現(xiàn)等營銷優(yōu)惠，使用批量假用戶冒充真實(shí)用戶，薅取活動(dòng)優(yōu)惠并非法套現(xiàn)，導(dǎo)致運(yùn)營方的活動(dòng)無法觸達(dá)到真實(shí)的用戶，造成直接經(jīng)濟(jì)損失及企業(yè)聲譽(yù)下降。

惡意流量對(duì)于企業(yè)的危害還在于黑產(chǎn)利用爬蟲對(duì)企業(yè)重要數(shù)據(jù)資產(chǎn)進(jìn)行惡意爬取，競爭對(duì)手刻意爬取產(chǎn)品信息、羊毛黨搜尋低價(jià)商品信息或在營銷大促前提前獲取情報(bào)尋找套利的可能、僵尸用戶對(duì)推廣的惡意點(diǎn)擊、為欺詐行為做賬號(hào)儲(chǔ)備的垃圾注冊(cè)……大量爬蟲集中訪問，會(huì)消耗大量的計(jì)算資源和帶寬，造成網(wǎng)絡(luò)應(yīng)用大面積阻塞或癱瘓，并嚴(yán)重影響真實(shí)用戶的正常使用。根據(jù)年度惡意機(jī)器流量報(bào)告，世界互聯(lián)網(wǎng)流量只有57.8%是來自真人用戶，而剩余都是來自機(jī)器流量。

某某軟件方案，基于數(shù)據(jù)科學(xué)的渠道反欺詐技術(shù)，為企業(yè)提供了一套全流程、全自動(dòng)監(jiān)控的業(yè)務(wù)反欺詐系統(tǒng)。在渠道營銷環(huán)節(jié)，渠道質(zhì)量評(píng)估系統(tǒng)結(jié)合各行業(yè)線上營銷各類業(yè)務(wù)場景，科學(xué)、精準(zhǔn)的選擇評(píng)估維度，實(shí)時(shí)監(jiān)測第三方流量推廣平臺(tái)，幫助企業(yè)識(shí)別虛假流量、低質(zhì)量流量，甄別優(yōu)質(zhì)渠道，節(jié)省推廣費(fèi)用、降本增效。在惡意爬蟲防治方面，人人云圖爬蟲管理系統(tǒng)基于數(shù)據(jù)科學(xué)能力，深入學(xué)習(xí)各行業(yè)業(yè)務(wù)現(xiàn)狀，構(gòu)建了一套基于負(fù)反饋的動(dòng)態(tài)爬蟲管理系統(tǒng)，在不影響良性爬蟲業(yè)務(wù)的前提下，對(duì)惡意爬蟲進(jìn)行識(shí)別與阻斷，降低惡意爬蟲帶來的業(yè)務(wù)欺詐行為，從而有效降低運(yùn)營成本和提升競爭力。

新基建 新賽道 業(yè)務(wù)安全防護(hù)勢在必行

后疫情時(shí)代，“新基建”被廣泛視為經(jīng)濟(jì)增長新動(dòng)力。面對(duì)復(fù)雜的網(wǎng)絡(luò)環(huán)境及新技術(shù)應(yīng)用帶來的機(jī)遇與挑戰(zhàn)，傳統(tǒng)行業(yè)該如何構(gòu)建深度融合的技術(shù)創(chuàng)新體系，打造行業(yè)科技新標(biāo)桿？伴隨銷售場景的智能化、運(yùn)營管理的數(shù)字化，如何在數(shù)字化轉(zhuǎn)型過程中，做好業(yè)務(wù)安全風(fēng)險(xiǎn)應(yīng)對(duì)？

作者呼吁，面對(duì)快速走向產(chǎn)業(yè)化、專業(yè)化的網(wǎng)絡(luò)黑產(chǎn)，在新基建浪潮下，企業(yè)在追求新技術(shù)應(yīng)用帶來的機(jī)遇同時(shí)，更應(yīng)該注意新技術(shù)應(yīng)用背景下，手段不斷翻新、規(guī)模不斷壯大、技術(shù)不斷更新的網(wǎng)絡(luò)黑產(chǎn)對(duì)企業(yè)業(yè)務(wù)增長帶來的安全隱患。

HW護(hù)網(wǎng)行動(dòng)總結(jié)

1.HW行動(dòng)

我們把整個(gè)HW行動(dòng)包括前期準(zhǔn)備分為三個(gè)部分：備戰(zhàn)期、臨戰(zhàn)期、決戰(zhàn)期。

備戰(zhàn)期:

在備戰(zhàn)期間，我們主要做了兩件事情，一是減小攻擊面，二是排查風(fēng)險(xiǎn)點(diǎn)。

減小攻擊面就是縮小暴露面。在這過程，客戶進(jìn)行多輪的暴露面排查。首先，我們通過收集到的客戶資產(chǎn)進(jìn)行爬取相關(guān)鏈接，確認(rèn)是否無用頁面、無用系統(tǒng)下掛關(guān)鍵系統(tǒng)域名下，接著對(duì)于一些已經(jīng)業(yè)務(wù)需求不那么高的、無用的系統(tǒng)、閑置的服務(wù)器進(jìn)行下電處理，最后對(duì)于有一定的業(yè)務(wù)需求但用戶較少的系統(tǒng)直接遷入內(nèi)網(wǎng)，通過VPN進(jìn)行業(yè)務(wù)操作。通過一系列的縮小暴露面，最終客戶對(duì)外僅開放幾個(gè)端口，大大降低了攻擊面。?

在排查風(fēng)險(xiǎn)點(diǎn)這塊，我們主要做了兩件事，一是人工滲透測試，二是webshell排查。人工滲透測試這塊，倒是沒發(fā)現(xiàn)大的問題，就是有個(gè)系統(tǒng)的某個(gè)功能模塊存在權(quán)限漏洞，主要還是在功能提出需求的時(shí)候沒有考慮到安全問題，整個(gè)功能模塊的權(quán)限均存在問題。除了滲透測試，我們還對(duì)關(guān)鍵系統(tǒng)的服務(wù)器使用webshell排查工具進(jìn)行后門排查，排查了14臺(tái)服務(wù)器，發(fā)現(xiàn)并清除2232個(gè)后門文件及10個(gè)疑似后門文件，排查發(fā)現(xiàn)的木馬文件發(fā)現(xiàn)非常多都是不可執(zhí)行的圖片馬以及攻擊者攻擊的語句被應(yīng)用日志記錄的日志文件，暫無發(fā)現(xiàn)可執(zhí)行的木馬文件，應(yīng)該都是早期黑客攻擊留下的文件。

臨戰(zhàn)期:

在臨戰(zhàn)初期，客戶舉行了兩場攻防演練，通過公司內(nèi)分隊(duì)對(duì)攻到從上往下發(fā)起的攻擊。這次演練發(fā)現(xiàn)了在備戰(zhàn)期所忽略的地方：在備戰(zhàn)期對(duì)風(fēng)險(xiǎn)點(diǎn)進(jìn)行排查的時(shí)候側(cè)重于WEB漏洞而忽視了其他漏洞的滲透及驗(yàn)證，導(dǎo)致在演練的時(shí)候被攻擊方通過中間件漏洞攻破；還有就是在備戰(zhàn)期對(duì)VPN沒有做好嚴(yán)格的把控，以致于VPN的用戶名及密碼明文存儲(chǔ)在APP中，被攻擊方成功反編譯出密碼，直接進(jìn)入內(nèi)網(wǎng)。對(duì)于演練中發(fā)現(xiàn)的問題，我們進(jìn)行以下處置：對(duì)于中間件漏洞及時(shí)升級(jí)補(bǔ)丁并且刪除相關(guān)被利用的war包，對(duì)中間打補(bǔ)丁及刪除war包的過程進(jìn)行嚴(yán)格把控，對(duì)于進(jìn)行的每個(gè)操作進(jìn)行截圖記錄，確保每個(gè)過程都進(jìn)行到位；對(duì)于VPN賬號(hào)泄露問題，賬號(hào)密碼不寫死在APP中，通過驗(yàn)證碼進(jìn)行VPN登錄，且將APP進(jìn)行混淆，防止攻擊者通過反編譯獲取敏感信息。

客戶在臨戰(zhàn)期陸續(xù)將安全設(shè)備進(jìn)行部署。針對(duì)這次HW行動(dòng)，客戶對(duì)原本已有的一些安全設(shè)備進(jìn)行策略優(yōu)化，同時(shí)也新增了一些安全設(shè)備。主要的類型有防御設(shè)備、監(jiān)控設(shè)備等。防御設(shè)備還是最常見的WAF、IPS，對(duì)WAF、IPS的策略進(jìn)行優(yōu)化，增強(qiáng)設(shè)備的防御能力；監(jiān)控設(shè)備這塊就是我們自主研發(fā)了一個(gè)主機(jī)探針，主要作用就是對(duì)主機(jī)進(jìn)程進(jìn)行審計(jì)、webshell監(jiān)控；除了主機(jī)監(jiān)控還有就是網(wǎng)絡(luò)流量監(jiān)控設(shè)備，對(duì)監(jiān)測的流量進(jìn)行分析。

決戰(zhàn)期:

在決戰(zhàn)期，最關(guān)鍵的就是應(yīng)對(duì)每個(gè)安全事件的處置。

組織架構(gòu):

我們將所有的人員進(jìn)行分工，主要有統(tǒng)籌組、監(jiān)控組、研判組、網(wǎng)絡(luò)處置組、應(yīng)用處置組。統(tǒng)籌組主要就是對(duì)一些重大決定進(jìn)行決策，統(tǒng)籌整個(gè)HW防守工作；監(jiān)控組主要就是對(duì)WAF、IPS等安全設(shè)備進(jìn)行7*24小時(shí)監(jiān)控、派發(fā)、跟蹤、反饋安全威脅；研判組主要是技術(shù)支撐，對(duì)于監(jiān)控組發(fā)現(xiàn)的攻擊行為進(jìn)行技術(shù)研判；網(wǎng)絡(luò)處置組主要職責(zé)就是發(fā)現(xiàn)攻擊時(shí)在防火墻上對(duì)攻擊方進(jìn)行IP封鎖；應(yīng)用處置組主要就是對(duì)發(fā)現(xiàn)的攻擊和漏洞進(jìn)行風(fēng)險(xiǎn)處置、安全加固。

風(fēng)險(xiǎn)處置流程:

根據(jù)監(jiān)控設(shè)備告警劃分風(fēng)險(xiǎn)等級(jí)，主機(jī)探針告警高于其他安全設(shè)備告警，主機(jī)探針作為防守的最后一道防線，若主機(jī)探針發(fā)出告警，則攻擊已經(jīng)進(jìn)入內(nèi)網(wǎng)，因此風(fēng)險(xiǎn)等級(jí)最高。根據(jù)風(fēng)險(xiǎn)等級(jí)不同，我們制定了兩個(gè)風(fēng)險(xiǎn)處置流程：

當(dāng)收到主機(jī)探針告警，監(jiān)控人員告知應(yīng)用處置人員進(jìn)行風(fēng)險(xiǎn)排查確認(rèn)，同時(shí)通知網(wǎng)絡(luò)處置組進(jìn)行攻擊IP封鎖。應(yīng)用處置組確認(rèn)風(fēng)險(xiǎn)存在后，監(jiān)控組立即通知機(jī)房管理員進(jìn)行斷網(wǎng)處置，隨后，由應(yīng)用處置組協(xié)助監(jiān)控組進(jìn)行溯源取證，并且對(duì)風(fēng)險(xiǎn)進(jìn)行處置，刪除shell腳本或木馬程序。應(yīng)用組處理后將結(jié)果反饋給監(jiān)控組，監(jiān)控組通知機(jī)房管理員將受攻擊服務(wù)器進(jìn)行下電處理，并且將事件記錄在防御工作列表中。

當(dāng)其他安全設(shè)備監(jiān)測到攻擊時(shí)，監(jiān)控組會(huì)將發(fā)起攻擊源IP告知網(wǎng)絡(luò)處置組進(jìn)行封堵，同時(shí)將發(fā)現(xiàn)的告警信息發(fā)送給研判組進(jìn)行研判，監(jiān)控組根據(jù)研判結(jié)果通知應(yīng)用處置組進(jìn)行風(fēng)險(xiǎn)排查，應(yīng)用處置組將加固結(jié)果反饋給監(jiān)控組，監(jiān)控組將事件記錄在防御工作列表中。

2.總結(jié)

其實(shí)整個(gè)過程下來的話，對(duì)于斗哥來說還是頗有收獲，有些小總結(jié)和大家分享一下：?

1.明確客戶的所有開放資產(chǎn)，雖然這已經(jīng)是老話長談，但是確實(shí)也是最關(guān)鍵的，攻防從外到內(nèi)，再從外圍到靶機(jī)，還是要鎖好每個(gè)入口，因此應(yīng)和客戶對(duì)于所開放的外網(wǎng)系統(tǒng)進(jìn)行仔細(xì)梳理，縮小暴露面。?

2.每個(gè)環(huán)節(jié)都應(yīng)進(jìn)行閉環(huán)管理，不管是漏洞整改還是資產(chǎn)梳理，對(duì)于完成的每一個(gè)環(huán)節(jié)都要進(jìn)行有效的管控。?

3.應(yīng)急演練的重要性，對(duì)人員進(jìn)行分工，提前演練真實(shí)攻防場景，明確對(duì)安全事件的處置流程，在應(yīng)對(duì)安全事件發(fā)生時(shí)不會(huì)過于慌亂。

【寫在最后】

1. 整體攻防的思考

本次攻防，從規(guī)則到各方實(shí)力，都是絕無僅有的。經(jīng)常有人問，是攻擊隊(duì)厲害還是防守隊(duì)厲害？經(jīng)過我這些年的思考，還是沒有得出一個(gè)確切的結(jié)論。有時(shí)候覺得攻擊隊(duì)厲害，因?yàn)楣艨梢栽诜翘囟〞r(shí)間隨意發(fā)起，出其不意攻其不備，甚至手持0day指哪打哪，畢竟木桶原理決定著攻破一處即可內(nèi)部突襲；有時(shí)候又覺得防守方厲害，因?yàn)榉朗胤綋碛腥吭L問流量，隨時(shí)洞察攻擊者的探測并封堵IP，也可以在主機(jī)層監(jiān)控攻擊者一舉一動(dòng)，甚至部署蜜罐玩弄黑客于鼓掌之中?？傊?，這么些年的摸爬滾打經(jīng)驗(yàn)告訴我，攻防就是這樣，道高一尺魔高一丈，一如黑客防線中說的“在攻于防的對(duì)立統(tǒng)一中尋求突破”。

2. 從攻擊方思考

在真實(shí)的攻擊行動(dòng)中，一般一個(gè)目標(biāo)要搞到核心系統(tǒng)根據(jù)防御程度不同，也需要1個(gè)月到半年的樣子，甚至APT要潛伏一到兩年才能拿到自己想要的數(shù)據(jù)。而此次總共給攻擊方的時(shí)間只有3個(gè)周，并且每個(gè)隊(duì)伍據(jù)說10多個(gè)目標(biāo)，這也就決定了攻擊要快速、要自動(dòng)化。

a) 分布式掃描器

要說快速，還是得上掃描器，但是一個(gè)掃描器速度肯定不行，再者，被發(fā)現(xiàn)攻擊行為，立馬IP被ban掉，后續(xù)就無法進(jìn)行。所以，分布式掃描器在這種情況下一定是個(gè)趨勢。首先對(duì)全部目標(biāo)的全端口進(jìn)行一次掃描+端口識(shí)別，根據(jù)Banner快速收割一輪；

在這個(gè)過程中就會(huì)有個(gè)陷阱，比如在收集二級(jí)域名時(shí)，經(jīng)常采用字典爆破，而防守方會(huì)設(shè)置一個(gè)誘餌二級(jí)域名，把流量引入蜜罐之中，坐等攻擊方上鉤。這時(shí)就需要攻擊方們機(jī)靈一點(diǎn)，時(shí)刻反思這個(gè)是不是蜜罐。

對(duì)于AWVS的掃描器，還需升級(jí)到最新版，別被防御方反制，畢竟老版本掃描器自身就存在一個(gè)RCE。

b) 菜刀？蟻劍？冰蝎？

對(duì)于所有的黑客來說，菜刀肯定是一個(gè)傳奇，一直是最穩(wěn)定、最牛逼的webshell管理工具之一，但同時(shí)，菜刀也是一個(gè)最容易被發(fā)現(xiàn)的攻擊工具，畢竟流量特征太明顯了，而且一旦發(fā)現(xiàn)就100%意味著服務(wù)器已淪陷，防守方會(huì)里面下線進(jìn)行深入分析。記得當(dāng)初第一次見到菜刀這工具時(shí)的感覺，總結(jié)起來就是“厲害”。因?yàn)樵诓说吨?，我們學(xué)習(xí)的都是先小馬后大馬的姿勢。而用了菜刀之后，我深刻理解了什么大馬小馬都無所謂，能執(zhí)行命令搞定目標(biāo)的都是好馬。然后經(jīng)過了幾年的迭代，中國菜刀在國內(nèi)安全圈也是經(jīng)歷了各種風(fēng)風(fēng)雨雨，各種后門版滿天飛。最后鑒于其加密性能較弱，陸續(xù)出現(xiàn)了幾個(gè)替代版本，蟻劍就是很優(yōu)秀的一個(gè)項(xiàng)目。講真，我開發(fā)水平相對(duì)較弱，見到蟻劍才發(fā)現(xiàn)原來js也可以寫出優(yōu)秀的跨平臺(tái)客戶端應(yīng)用。可是正式由于其nodejs寫的，才導(dǎo)致其跟AWVS一樣，存在一個(gè)本地nodejs解析的RCE，很可能被防御方反制。再之后給我“厲害”感覺的就是冰蝎了，其雙向通信加解密的管理方式，讓諸多基于黑名單正則的防御產(chǎn)品廠商直接歇菜?？墒呛芷婀值臅r(shí)，還是有很多大量攻擊方采用菜刀、jspspy之類的原始webshell，結(jié)果被防御方輕松發(fā)現(xiàn)并清除。

不過說到最后，我有一個(gè)疑惑，為什么大家非得用webshell這種方式搞服務(wù)器呢？比如存在weblogic反序列化或者Struts2 RCE漏洞時(shí)，黑客們寫的工具還是一鍵寫入webshell這種。安全發(fā)展到今天，防御手段越來越多，各位白帽子是時(shí)候改變了。正如我之前說的，不管用什么shell工具，只要能在服務(wù)器端執(zhí)行命令，下面就肯定有更好的解決方案。我一般會(huì)使用命令方式加載自己的二進(jìn)制版遠(yuǎn)控來操作?，F(xiàn)在的二進(jìn)制遠(yuǎn)控不像以前還要生成exe用菜刀上傳，在命令行下執(zhí)行，現(xiàn)在基本都可以做到類似mshta或者powershell的一句話直接動(dòng)態(tài)上線，并且基于TCP/UDP協(xié)議的命令執(zhí)行、文件管理。這樣的好處：一是穩(wěn)定，二是完全繞過那些基于黑名單的流量分析設(shè)備。類似metasploit的腳本payload反彈的meterpreter，但是msf特征明顯，也容易被殺，所以我個(gè)人估計(jì)后面攻防還是會(huì)發(fā)展到類似cobalt strike之類的工具對(duì)抗上。

c) 水坑&魚叉

針對(duì)水坑或者魚叉攻擊來講，可以想象到肯定大量的攻擊隊(duì)伍采用這種方法進(jìn)行攻擊，攻擊手法多基于郵件進(jìn)行?，F(xiàn)在假想成攻擊隊(duì)伍，我會(huì)首先在github上搜索一波，舉個(gè)例子：https://github.com/search?q="4dogs.cn"+password&type=Code,注意域名要加上雙引號(hào)進(jìn)行精準(zhǔn)匹配。在翻到一個(gè)可登陸的郵箱后，去通信錄導(dǎo)出所有聯(lián)系人方式，進(jìn)而進(jìn)行簡單的口令爆破；在這些操作還沒拿到有用密碼的情況下，就可以根據(jù)組織結(jié)構(gòu)進(jìn)行定點(diǎn)攻擊了。高級(jí)點(diǎn)的用瀏覽器0day，沒有0day的也可以直接發(fā)宏病毒，注意要編個(gè)理由并且加密發(fā)送，防止被沙箱抓樣本。

假如沒有有用的郵箱賬號(hào)，也可以用搜索引擎收集郵箱，再根據(jù)規(guī)則，加載中國姓名top500字典進(jìn)行組合，總歸能抓到一兩個(gè)用弱口令的。

如果還是什么都沒有，也可以使用swaks一類直接偽造成admin發(fā)送釣魚郵件。

對(duì)于防御方來講，最厲害的莫過于直接關(guān)停外網(wǎng)郵箱了。次之，可以派人隨時(shí)查看登錄日志，及時(shí)發(fā)現(xiàn)異地登錄爆破情況。對(duì)于有錢的甲方，可以通過流量鏡像，對(duì)附件進(jìn)行沙箱判定。

d) 內(nèi)網(wǎng)滲透，還是要了解業(yè)務(wù)

在突破邊界進(jìn)入內(nèi)網(wǎng)后，剩下的主要是內(nèi)網(wǎng)滲透了。內(nèi)網(wǎng)滲透可以簡單分為橫向滲透和縱向滲透。內(nèi)網(wǎng)滲透的實(shí)質(zhì)和關(guān)鍵是信息收集，通過不停的突破系統(tǒng)拿到更多的權(quán)限，而更多的權(quán)限帶來更多的信息，最終在信息和權(quán)限的螺旋迭代下，拿到目標(biāo)的最高權(quán)限。

對(duì)于有域的環(huán)境，一般目標(biāo)時(shí)拿下域控，而在本次攻擊中卻恰好爆發(fā)了一個(gè)直接打域控的0day，這就容易多了。但是即使一鍵拿下域控權(quán)限，還是要回到信息收集的本質(zhì)上，要在海量的終端里篩選出自己的目標(biāo)數(shù)據(jù)在哪臺(tái)機(jī)器里，還是需要一些技巧的。

而不管是什么環(huán)境，我個(gè)人感覺阻礙攻擊隊(duì)伍進(jìn)行內(nèi)網(wǎng)滲透的主要原因還是對(duì)目標(biāo)業(yè)務(wù)的了解程度。比如電力行業(yè)的16字方針，很多時(shí)候搞到邊界系統(tǒng)后，ipconfig一看是10段的，以為進(jìn)了個(gè)大內(nèi)網(wǎng)，而實(shí)際情況是那只是冰山一角而已?？v向突破還有很長很長的路要走。再者，假如對(duì)電信行業(yè)、金融行業(yè)不了解，進(jìn)到內(nèi)網(wǎng)肯定也是一臉懵。這也是內(nèi)網(wǎng)滲透耗費(fèi)精力的原因。

e) 0day的優(yōu)劣勢

在本次演習(xí)中，陸續(xù)發(fā)現(xiàn)了大量的0day，印象里有七八個(gè)，0day具體細(xì)節(jié)可以參考各大公眾號(hào)之前的報(bào)到。這里只討論下針對(duì)0day的問題。

從0day的內(nèi)容和數(shù)量上來講，護(hù)網(wǎng)結(jié)束后我感覺什么系統(tǒng)都有漏洞，并且有一種想去挖幾個(gè)留著的沖動(dòng)，奈何工作雜事太多，先擱置一下吧。

對(duì)于攻擊方來講，手握0day是指哪打哪的一個(gè)有效支撐。從漏洞類型上，基本覆蓋web、網(wǎng)絡(luò)、操作系統(tǒng)等等方面。針對(duì)國內(nèi)的網(wǎng)絡(luò)安全現(xiàn)狀，講真，我對(duì)那些商業(yè)應(yīng)用真的不報(bào)任何安全的奢望。對(duì)于國企和政府來講，自有系統(tǒng)大都是外包廠商開發(fā)，而這些外包開發(fā)者，大部分不懂安全，甚至sql注入是啥都不知道，更別說防御框架漏洞了。所以對(duì)于攻擊者來講，去攻擊一個(gè)客戶廣泛的廠商，拿到一個(gè)0day即可攻下其相關(guān)的所有目標(biāo)，收益非常高。但同時(shí)也要明白，現(xiàn)在0day的生存期非常之短。10年前，我們一個(gè)0day可以用半年都沒被人發(fā)現(xiàn)，而在這次演習(xí)中，0day的生存期可能只有半個(gè)小時(shí)，因?yàn)榉朗胤桨l(fā)現(xiàn)shell就會(huì)溯源，進(jìn)而預(yù)警。不過排除這次防守方7*24小時(shí)的有效監(jiān)控，在真實(shí)情況下，0day的生存周期可能不超過一周。所以我認(rèn)為，當(dāng)前網(wǎng)絡(luò)環(huán)境中，0day大量存在，但使用非常謹(jǐn)慎。至于防守方怎么防御0day，請(qǐng)看后面的內(nèi)容。

3. 從防守方考慮

整體來講，防守方都是從“事前排查”、“事中監(jiān)控”、“事后溯源”三個(gè)方面進(jìn)行防御的。根據(jù)我的觀察，國企安全防御能力一般弱于互聯(lián)網(wǎng)公司；而國企和政府單位的投入普遍高于互聯(lián)網(wǎng)公司。導(dǎo)致了演習(xí)前大量的“人販子”到處求人駐場的問題，一度炒到每人每天上萬元。下面從幾個(gè)方面分析這次防守方的經(jīng)驗(yàn)和教訓(xùn)。

a) 防御過度問題

這次演習(xí)的意義和重要性，甲方自己應(yīng)該更明白，這里不再描述。而正是由于防御方的重視，出現(xiàn)了大量的防御過度現(xiàn)象：一是在開始前的大量系統(tǒng)關(guān)停，二是對(duì)于互聯(lián)網(wǎng)IP的大量封禁。大量的關(guān)停本質(zhì)上是掩耳盜鈴，在護(hù)網(wǎng)結(jié)束后依舊面臨各類外部攻擊者的威脅。希望存在這類情況的廠商，還是能從根源上排查漏洞，加固系統(tǒng)，對(duì)系統(tǒng)采取必要的防護(hù)措施。

針對(duì)惡意封禁IP的情況，雖然體現(xiàn)了防守方及時(shí)發(fā)現(xiàn)攻擊的能力，但同時(shí)，也影響了正常業(yè)務(wù)的運(yùn)行，特別是一封一個(gè)B段的情況。各位甲方還是考慮下從根源解決問題。

b) 應(yīng)急排查

對(duì)于事前的應(yīng)急排查，甲方大都采用臨時(shí)購買人工滲透服務(wù)的方式進(jìn)行，毫不客氣地說，他們買到的一部分是在校大學(xué)生，或者培訓(xùn)機(jī)構(gòu)的實(shí)習(xí)生。即使錢給夠了，去的是個(gè)滲透大師，也會(huì)因?yàn)閮?nèi)網(wǎng)漏洞太多，無法完全覆蓋。舉個(gè)例子：假如給我一個(gè)系統(tǒng)，我大概需要一上午分析每個(gè)端口，每個(gè)業(yè)務(wù)接口的安全性，進(jìn)而給出一個(gè)完整的測試報(bào)告。我基本上可以保證我測試過的系統(tǒng)短時(shí)間內(nèi)不會(huì)出大問題。但是假如給我一個(gè)B段，告訴我3天完成，那我就只能模擬橫向內(nèi)網(wǎng)滲透，masscan先來一些端口，wvs掃描一輪，然后一批一批的去看。這種模式就決定了無法完全覆蓋全部業(yè)務(wù)系統(tǒng)。即使時(shí)間夠，那對(duì)于新增的業(yè)務(wù)又怎么辦？

那針對(duì)這種情況該怎么辦？我一直給我的客戶普及的一個(gè)想法：內(nèi)網(wǎng)漏洞不要指望短時(shí)間內(nèi)購買一次服務(wù)就完全解決了。針對(duì)漏洞隱患的工作必須常態(tài)化開展：一是上資產(chǎn)管控手段，對(duì)內(nèi)網(wǎng)所有的服務(wù)器，通過主動(dòng)掃描、被動(dòng)流量分析等手段進(jìn)行搜集，實(shí)時(shí)監(jiān)控內(nèi)網(wǎng)到底開了多少端口，每個(gè)端口運(yùn)行什么服務(wù)，應(yīng)用是什么版本；二是解決遺留問題，對(duì)內(nèi)網(wǎng)既有的框架漏洞、弱口令漏洞，進(jìn)行專項(xiàng)整治。相信通過本次護(hù)網(wǎng)，原來沒搞過安全的防守方，在部署安全設(shè)備后發(fā)現(xiàn)了大量的永恒之藍(lán)、木馬受控等遺留問題。建議大家用幾周時(shí)間集中解決一類問題，循環(huán)下去即可解決遺留的全部問題；三是建立新業(yè)務(wù)上線審查流程，對(duì)于新上線的業(yè)務(wù)系統(tǒng)，必須通過第三方安全測評(píng)，只有拿到安全測評(píng)報(bào)告的才允許上線。

c) 重邊界、輕內(nèi)網(wǎng)的防御策略

這次的防守方普遍是重邊界、輕內(nèi)網(wǎng)防御，造成了一旦邊界被破，內(nèi)網(wǎng)整體垮掉的風(fēng)險(xiǎn)。而這個(gè)情況在我入行時(shí)就普遍存在。安全發(fā)展到今天，實(shí)在是說不過去。去年看到了Google提出的0信任網(wǎng)絡(luò)，感覺是個(gè)趨勢，一度想轉(zhuǎn)行做0信任網(wǎng)絡(luò)的布道者，雖然普及還有一段路，但是我還是希望大家可以轉(zhuǎn)變思維，一定不要認(rèn)為我在內(nèi)網(wǎng)就是安全的。萬一哪天被黑，可能影響的就是國家利益，帶來的就是社會(huì)動(dòng)蕩。

d) 威脅情報(bào)系統(tǒng)的意義

首先，針對(duì)這次攻擊，各種原有IOC情報(bào)基本無效，比如惡意域名庫、惡意IP庫等，因?yàn)楣舴绞褂玫亩际切碌挠蛎虸P，這也是黑名單做安全的尷尬。但是同時(shí)要感謝安全廠商們的威脅情報(bào)庫，讓更多的國企、政府單位認(rèn)識(shí)到了自己內(nèi)網(wǎng)辦公電腦有很多已經(jīng)被控制。

e) 面對(duì)0day攻擊的無力感

面對(duì)0day攻擊，理論上誰都扛不住，但是實(shí)際是這樣么？仔細(xì)想想并非如此，首先，面對(duì)0day真正扛不住的是以黑名單為基礎(chǔ)的安全設(shè)備，包括waf類、態(tài)勢感知類、IDS類等。而這些安全設(shè)備，又確確實(shí)實(shí)是各大廠商的首選安全監(jiān)控設(shè)備，一旦這些設(shè)備沒報(bào)警，那基本啥都干不了，這也是防守方們7*24小時(shí)防守但其實(shí)大部分時(shí)間無所事事的原因。

首先，對(duì)于web 0day的防御，完全可以采用openrasp類防御方法，從根源上防止各類web漏洞攻擊。如果有想購買商業(yè)版rasp方案的同學(xué)，可以勾兌下我哦。

其次，對(duì)于網(wǎng)絡(luò)0day和系統(tǒng)0day，我們可以采用EDR手段進(jìn)行防御，在終端上裝上agent，在agent上采用白名單策略，對(duì)于無關(guān)的進(jìn)程啟動(dòng)和危險(xiǎn)命令直接報(bào)警或阻斷。想起來我們四年前做過的一個(gè)產(chǎn)品叫麒麟衛(wèi)士，可以說是國內(nèi)首款EDR雛形了，可是去賣的時(shí)候發(fā)現(xiàn)大家對(duì)于需要安裝agent的做法都耿耿于懷，不敢裝。四年過去了，相信后面會(huì)有更多的人接受EDR帶來的安全改變。

f) 蜜罐

這次演習(xí)的一大亮點(diǎn)就是很多防御方采用了蜜罐的方式進(jìn)行誘捕和攻擊引流。要說蜜罐做得好，那是真的很有用。我理想中的蜜罐應(yīng)當(dāng)是完全仿真，而不是動(dòng)態(tài)針對(duì)部分服務(wù)的仿真。同時(shí)可以具備反制的功能，一是可溯源攻擊者真實(shí)身份，二是可利用AWVS或者蟻劍這類黑客工具自己的漏洞反向攻擊攻擊者。相信后面會(huì)有大量的優(yōu)秀產(chǎn)品脫穎而出。不過防守方真的真實(shí)部署后，可能半年也捕獲不到一次有效攻擊，畢竟這次是演習(xí)，平時(shí)黑客攻擊還是少。不過安全就是如此，防患于未然。

編輯：黃飛

?