저자: Qi'anxin 보안 서비스 팀
◆ 1.3 레드팀
실습에서 각 팀의 역할과 분담은 다음과 같다. 대상 시스템 운영 단위: 레드 팀의 전반적인 지휘, 조직 및 조정을 담당합니다. 보안 운영 팀: 전반적인 보호 및 공격 모니터링을 담당합니다. 공격 및 방어 전문가: 보안 모니터링에서 발견된 의심스러운 공격을 분석 및 판단하고 보안 운영 팀, 소프트웨어 개발자 및 기타 관련 부서가 취약점 수정과 같은 일련의 작업을 수행하도록 안내합니다. ·보안 공급업체: 자체 제품의 유용성, 안정성 및 보호 모니터링 전략을 조정할 책임이 있습니다. ·소프트웨어 개발자: 자체 시스템의 보안 강화 및 모니터링을 담당하고 공격 및 방어 전문가와 협력하여 발견된 보안 문제를 수정합니다. ·네트워크 운영 및 유지 관리 팀: 네트워크 아키텍처 보안 유지, 네트워크 출구의 전반적인 최적화, 네트워크 모니터링 및 소스 추적에 대한 공격 및 방어 전문가와 협력을 담당합니다. 클라우드 공급자(있는 경우): 자체 클라우드 시스템의 보안을 강화하고, 클라우드에서 시스템의 보안을 모니터링하고, 발견된 문제를 수정하기 위해 공격 및 방어 전문가를 지원합니다. ·기타: 경우에 따라 다른 구성원이 있을 수 있으며 실제 상황에 따라 특정 작업을 할당해야 합니다.
◆ 1.3.2 레드팀의 진화 추세
이전에 훈련에 참여한 대부분의 방어 팀은 공격 후 기본적으로 IP를 차단하고 시스템을 오프라인으로 만들고 허점을 수리한 다음 다음 공격을 기다렸다는 사실을 발견했습니다. 적은 어둠 속에 있고 나는 빛 속에 있으니 소극적으로 맞을 수밖에 없다. 이제 많은 수의 수비 팀이 추적 및 대응 능력을 강화하고 공격 팀과 정면 대결을 시작하며 많은 승리를 거두었습니다.
일부 부대는 허니팟 등의 제품을 이용해 함정을 매립해 공격팀이 뛰어들도록 유도한 뒤 함정 속 트로이 목마를 이용해 공격팀의 시스템을 재빠르게 장악한다.
◆ 1.4 퍼플팀
실제 공·방어 훈련에서 퍼플팀은 조직원 역할을 맡아 훈련의 전반적인 편성 및 조율을 수행하며, 훈련 편성, 공정 모니터링, 기술지도, 비상지원, 리스크 등 다양한 업무를 담당한다. 제어, 드릴 요약, 기술적 조치 및 최적화 전략 .
◆ 1.5 실제 공격과 수비 훈련에서 드러난 약점
많은 조직에서 엄격한 액세스 제어(ACL) 정책이 없으며 DMZ(isolated area)와 사무실 네트워크 사이에 네트워크 격리가 없거나 거의 없습니다. 온라인에서 공격자는 교차 영역 공격을 쉽게 구현할 수 있습니다.
공격 및 수비 훈련 중 수비수의 공격 소스 모니터링, 발견 및 추적 능력이 크게 향상됨에 따라 공격 팀은 공급망 공격과 같은 새로운 전투 전략에 더 많은 관심을 기울이기 시작했습니다.
IT(장비 및 소프트웨어) 서비스 제공자, 보안 서비스 제공자, 사무실 및 생산 서비스 제공자 등 공급망 조직에서 시작하여 소프트웨어, 장비 및 시스템 취약성을 찾고 인력 및 관리 약점을 발견하고 공격을 수행합니다. 일반적인 시스템 혁신에는 메일 시스템, OA 시스템, 보안 장치, 소셜 소프트웨어 등이 포함됩니다. 일반적인 혁신 방법에는 소프트웨어 취약성과 취약한 관리자 암호 악용이 포함됩니다.
◆ 1.6 실질적인 보안체계 구축
수비팀은 더 이상 "문제가 있는 곳을 수리하고 막는다"는 생각으로 문제를 해결하지 말고 미리 계획하고 관리, 기술, 운영 측면에서 체계적이고 실용적인 보안 시스템을 구축하여 효과적으로 실제 전투 환경 보안 문제에 대응합니다.
◆ 2장 BLU 공격의 4단계
준비작업, 대상망 정보수집, 외부망의 수직적 돌파 및 내부망의 수평적 확장
◆ 2.1.1 도구 준비
실제 네트워크 공격 및 방어 훈련을 하기 전에 정보 수집, 스캐닝 및 탐지, 패스워드 블라스팅, 취약점 악용, 원격 제어, 웹쉘 관리, 터널 침투, 네트워크 패킷 캡처 분석 및 통합 플랫폼 등 도구.
Super Weak Password Check Tool(취약한 비밀번호 스캔 감지)은 Windows 플랫폼에서 실행할 수 있는 취약한 비밀번호 감지 도구로 일괄 다중 스레드 검사를 지원하고 취약한 비밀번호, 취약한 비밀번호 계정, 비밀번호 지원 및 사용자 이름 조합 검사를 신속하게 감지할 수 있습니다. , 따라서 검사의 성공률을 크게 향상시키고 맞춤형 서비스를 지원합니다. 이 도구는 현재 SSH, RDP, Telnet, MySQL, SQL Server, Oracle, FTP, MongoDB, Memcached, PostgreSQL, SMTP, SMTP_SSL, POP3, POP3_SSL, IMAP, IMAP_SSL, SVN, VNC, 레디스 등
Medusa는 Kali Linux 시스템에서 로그인 서비스에 대한 무차별 대입 크래킹 도구입니다. 다중 스레드 병렬 처리를 기반으로 원격 인증 서비스에 대한 액세스 권한을 얻기 위해 여러 호스트와 서버에서 동시에 무차별 대입 사용자 이름 또는 암호를 사용할 수 있습니다. Medusa는 FTP, HTTP, SSH v2, SQL Server, MySQL, SMB, SMTP, SNMP, SVN, Telnet, VNC, AFP, CVS, IMAP, NCP, NNTP, POP3, PostgreSQL, rlogin 등 원격 로그인을 허용하는 대부분의 서비스를 지원합니다. rsh 등
Hydra는 취약한 암호를 무차별 대입하여 크랙할 수 있는 자동 발파 도구이며 Kali Linux 시스템에 통합되었습니다. Hydra는 RDP, SSH(v1 및 v2), Telnet, FTP, HTTP, HTTPS, SMB, POP3, LDAP, SQL Server, MySQL, PostgreSQL, SNMP, SOCKS5, Cisco AAA, Cisco 인증, VNC를 포함한 여러 프로토콜에서 사전 공격을 수행할 수 있습니다. , 등. Linux, Windows, Cygwin, Solaris, FreeBSD, OpenBSD, macOS 및 QNX/BlackBerry 등을 포함한 여러 플랫폼에서 작동합니다.
Hashcat은 Linux, Windows 및 macOS 플랫폼에서 가장 빠른 CPU 기반 암호 크래킹 도구라고 주장하는 무료 암호 크래킹 도구입니다. Hashcat은 LM 해시, MD4, MD5, SHA 시리즈, UNIX Crypt 형식, MySQL, Cisco PIX 등 다양한 해시 알고리즘을 지원합니다. 무차별 공격, 조합 공격, 사전 공격, 지문 공격, 하이브리드 공격, 마스크 공격, 순열 공격, 규칙 기반 공격, 테이블 조회 공격, Toggle-Case 공격 등 다양한 공격 형태를 지원합니다.
WebLogic 정식 버전 취약점 공격 도구 WebLogic은 대규모 분산 웹 애플리케이션, 네트워크 애플리케이션 및 데이터베이스 애플리케이션을 위한 Java 애플리케이션 서버를 개발, 통합, 배포 및 관리하는 데 사용되는 Java EE 아키텍처 기반의 미들웨어입니다. 취약점 악용 도구는 다양한 버전의 WebLogic 구성 요소에 대한 다중 자동 탐지 및 활용 기능을 통합하여 다양한 버전의 WebLogic 취약점을 자동으로 탐지 및 활용할 수 있으며 탐지 결과에 따라 명령을 실행하는 등의 대상 공격을 수행하고 서버 제어 권한을 얻을 수 있습니다.
Struts2는 매우 강력한 Java 웹 오픈 소스 프레임워크입니다. MVC 디자인 패턴에서 Struts2는 모델과 보기 간의 데이터 상호 작용을 설정하는 컨트롤러로 사용됩니다. Struts2 종합 취약점 악용 도구는 Struts2 취약점을 사용하여 임의 코드 실행 및 임의 파일 업로드를 실현할 수 있는 Struts2 취약점의 탐지 및 활용 기능을 통합합니다.
비즈니스 보안 요구로 인해 대상 네트워크의 많은 내부 응용 프로그램이 네트워크 밖으로 직접 나갈 수 없습니다. 공격 과정에서 블루 팀은 내부 네트워크 침투 도구를 사용하여 외부 네트워크에서 내부 네트워크로 국경 간 점프 액세스를 달성하고 포트 포워딩, 터널링 기술 및 기타 수단을 사용하여 내부 네트워크 대상에 대한 포워딩 액세스를 달성해야 합니다. 또는 대상 내부 네트워크 IP를 외부 네트워크 네트워크에 매핑하고 원격 제어 클라이언트와 대상 터미널 사이에 보안 통신 채널을 설정하여 외부에서 내부로 추가 침투 및 확장을 용이하게 합니다.
FRP는 내부 네트워크 침투에 사용할 수 있는 고성능 리버스 프록시 도구입니다.TCP, UDP, HTTP, HTTPS 및 기타 프로토콜 유형을 지원합니다.주로 내부 네트워크 또는 방화벽 뒤의 시스템을 사용하여 HTTP 또는 HTTPS 서비스를 제공합니다. 외부 네트워크 환경 암호화 전송 및 점대점 침투 지원
ngrok는 오픈 소스 리버스 프록시 도구입니다. 블루 팀은 ngrok를 사용하여 보더 서버(예: 웹 서버)를 리버스 프록시 서버로 사용하여 클라이언트와 대상 보더 서버 간에 보안 채널을 설정할 수 있으며 클라이언트는 다음을 통해 다른 백엔드 서버의 리소스에 간접적으로 액세스할 수 있습니다. 리버스 프록시 서버
reGeorg는 웹을 프록시로 사용하는 도구로 대상 서버가 내부 네트워크에 있거나 포트 정책이 있는 경우 대상 서버의 내부 열린 포트에 연결하는 데 사용할 수 있으며 Webshell을 사용하여 SOCKS 프록시를 설정합니다. 내부 네트워크 침투를 위해 포트는 HTTP/HTTPS 터널을 통해 로컬 시스템으로 전달되어 통신 루프를 형성합니다.
Netsh(네트워크 셸)는 Windows 시스템과 함께 제공되는 네트워크 구성 명령줄 스크립팅 도구입니다. 로컬 또는 원격 네트워크 구성을 수정하여 포트 전달을 구현하는 데 사용할 수 있습니다. IPv4 또는 IPv6 포트 전달 에이전트 또는 양방향 포트 구성을 지원합니다. IPv4와 IPv6 사이의 포워딩.
◆ 2.2.2 인터넷 정보수집 주요업무
조직구조는 단위부서, 인사정보, 직무, 하위단위 등을 포함하고, IT자산은 도메인네임, IP, C세그먼트, 오픈포트, 운영서비스, 웹미들웨어, 웹애플리케이션, 모바일애플리케이션, 네트워크아키텍처 등을 포함한다. ; 민감한 정보에는 코드 정보, 문서 정보, 우편함 정보, 과거 취약성 정보 등이 포함됩니다. 공급업체 정보에는 계약, 시스템, 소프트웨어, 하드웨어, 코드, 서비스, 인력 등에 대한 정보가 포함됩니다.
◆ 2.4.3 인트라넷 수평적 확장 방안
인트라넷 취약점은 종종 세 가지 특징을 가지고 있습니다: 첫째, 인트라넷 취약점은 주로 과거 취약점으로, 인트라넷은 대부분 비즈니스 보안에 의해 제한되고 인터넷에 직접 액세스할 수 없으며, 다양한 애플리케이션 및 장치 취약점 패치를 적시에 업데이트하기 어렵습니다. 우수한 인트라넷 연결성, 더 많은 개방형 포트 서비스, 적은 보안 정책 제한, 모두 인트라넷 취약성 악용에 큰 편리함을 제공합니다. 인트라넷에 배포되는 대부분의 솔루션은 동일한 플랫폼 또는 인프라를 기반으로 구현되므로 동일한 취약점으로 인해 모든 부서 또는 하위 노드가 종료되는 상황이 쉽게 발생할 수 있습니다.
인트라넷 취약점은 악용이 매우 어렵고 매우 치명적이기 때문에 인트라넷 확장 시 취약점 악용 성공률이 매우 높고 피해가 매우 심각한 경우가 많으며 특히 통합 관리 플랫폼, 배스천 호스트, OA 시스템, 인트라넷 메일 서버와 같은 중요한 네트워크 노드의 허점으로 인해 전체 네트워크가 한 포트에서 종료되는 경우가 많습니다.
인트라넷 사무의 편의를 위해 사용자는 인트라넷 서버 및 응용 프로그램에 대해 상대적으로 느슨한 보안 액세스 정책을 설정하는 경우가 많으며, 이는 인트라넷의 수평 확장에서 블루 팀이 비밀번호 인증 위조 침투를 사용하는 데 큰 편리함을 제공합니다.
인트라넷 보안 인증 정보에는 서버 자체 보안 설정, 원격 제어 단말기 설정, 암호 사전 파일, 개인 호스트 인증 캐시 또는 시스템 암호 Hash 등이 포함됩니다.
인트라넷 보안 인증 정보를 얻기 위한 핵심 사항은 다음과 같습니다:
네트워크 토폴로지 파일, 암호 파일 및 다양한 기본 서비스 보안 구성 파일을 포함하는 중요한 암호 사전 문서 또는 구성 파일
연결 계정 암호, 암호 해시는 시스템 그룹에 XML로 저장됩니다. 정책 디렉토리
Foxmail, Thunderbird, Outlook 등 이메일 클라이언트 도구에 저장된 다양한 이메일 계정 비밀번호
VNC, SSH, VPN, SVN, FTP 및 기타 클라이언트와 같은 원격 제어 클라이언트에 저장된 보안 인증 정보
얻은 비밀번호 정보 도메인 네트워크 사용자 해시, 개인 호스트 사용자 해시, 네트워크 사용자 토큰 등과 같은 해시
데이터베이스 연결 파일 또는 데이터베이스 클라이언트를 포함한 다양한 데이터베이스 계정 암호 터미널 도구에 저장된 다양한 데이터베이스 연결 계정 암호 다양한
웹 로그인 암호 및 쿠키 IE, Chrome, Firefox, 360 브라우저, QQ 브라우저 등을 포함한 브라우저에 저장된 정보
인트라넷 피싱에는 인트라넷 메일, OA, 인트라넷 모바일 오피스 시스템 등 다양한 방법이 있습니다. 크게 두 가지 상황이 있는데, 하나는 이러한 시스템 관리 권한을 사용하여 인트라넷 메일, OA, 모바일 오피스 시스템 서버를 제어할 때 표적 피싱에 대한 알림을 균일하게 발행하는 것이고, 다른 하나는 인트라넷에서 제한된 대상을 확보하는 것입니다. under control은 인트라넷 메일, OA, 모바일 오피스 시스템의 통신 관계를 통해 피싱에 대한 신뢰 관계인 것처럼 가장하는 데 사용됩니다.
워터링 홀 공격은 이름에서 알 수 있듯이 피해자의 경로에 "워터링 홀"(함정)을 설정하는 것과 관련됩니다. 해커는 공격 대상이 자주 방문하는 웹 사이트를 뚫고 제어한 후 웹 사이트에 악성 공격 코드를 심는 것이 일반적인 관행입니다.
◆ 3.1.6 인증 우회 취약점
권한 검증 우회 취약점은 권한 인증 없이 권한이 필요한 시스템 자원에 직접 접근하거나, 접근 권한을 넘어 접근할 수 있는 일종의 보안 결함이다. 취약점의 원인은 애플리케이션 시스템이 인증 및 권한 요청을 처리할 때 부적절하게 응답하고 사용자가 요청 데이터를 특수 제작된 형식으로 전송하여 권한 확인 프로세스를 우회할 수 있기 때문입니다. 인증 확인 우회 취약성은 무단 액세스 또는 무단 액세스로 이어질 수 있습니다. 무단 접근이란 인증 없이 시스템 리소스에 직접 접근하는 것을 말하며, 무단 접근이란 낮은 접근 권한을 가진 사용자, 높은 접근 권한을 가진 사용자 또는 동일한 권한을 가진 서로 다른 사용자가 서로 접근할 수 있는 것을 말합니다.
◆ 3.3.1 외부 피싱
실제 전투 공격 및 방어 훈련에서 일반적인 미끼 파일 형식 및 형식에는 실행 파일, 리바운드 스크립트, Office 매크로, Office 문서 번들, CHM 파일, LNK 파일, HTA 파일, 파일 접미사 RTLO 및 자체 압축 실행 압축 패키지 등이 있습니다.
고객 서비스 직원에게는 문제를 즉시 해결하도록 요구하는 더 강한 어조를 사용하고 고객 우선 요구 사항으로 고객 서비스 직원에게 압력을 가할 수 있습니다 인사 부서 직원에게는 친근한 의사 소통 어조를 사용하고 통신 필요를 통해 신뢰하고 미끼 문서를 보낼 기회를 기다리십시오 재무 담당자에게는 상담 및 평가를 수행하고 보다 전문적인 어조로 분석 및 토론을 수행하십시오 ·비즈니스 담당자에게는 이익을 위해 유인하고 그들이 속일 이니셔티브.
의사소통 과정이 비교적 원활하고 점차 신뢰가 쌓일 때, 월요일부터 목요일까지 퇴근 시간이 거의 끝나갈 무렵, 금요일 오후 등 근무일에 사람들이 게을러지는 경향이 있을 때.
◆ 3.3.2 인트라넷 피싱
인트라넷 피싱 자료는 피싱 방법에 따라 유연하게 선택할 수 있습니다. 인트라넷 OA 및 메일 서버를 통한 피싱의 경우 네트워크 운영 및 유지 관리 관리자는 네트워크 보안 역학 및 네트워크 보안 구축과 관련된 자료를 선택하고 중요 비즈니스 담당자 및 리더는 다음과 같이 피싱 대상에 더 흥미로운 자료를 선택하십시오. 대상 비즈니스 콘텐츠 또는 비즈니스 시스템 애플리케이션과 관련된 주제. 또한 모든 직원이 더 관심을 갖는 급여 및 복지 문제도 인트라넷에서 좋은 피싱 자료입니다.
◆ 3.3.3 어업 비상조치
유인 문서를 피싱에 사용할 때 유인 문서에는 유인 자료의 실제 내용이 포함되지 않는 경우가 많으며, 트로이 목마 피싱에 성공한 후 은폐하기 위해 동일한 주제의 일반 문서를 다시 보내야 하므로 상대방이 의심하지 않도록.
피싱 문서의 이상(예: 문서가 정상적으로 열리지 않음, 대상의 바이러스 백신 소프트웨어 알람)으로 인해 상대방이 질문하거나 모른 척하는 경우(내 컴퓨터에서는 정상일 경우 소프트웨어 버전 및 시스템 환경의 비정상으로 인해 발생) 또는 사용 일부 전문적인 주제가 흐려짐(예: 문서가 일반적이지 않은 템플릿을 사용하고 템플릿 형식 문제로 인해 예외가 발생함)과 동시에 정상적인 것을 버립니다. 은폐할 문서를 작성하고 상대방의 백신 소프트웨어 종류와 시스템 환경 등을 정할 기회를 기다린 후 백신이나 백신을 최대한 빨리 처리한다. 공격 방법의 후속 개선을 위해.
상대방에 의해 발견되어 상대방에 의해 분석 및 추적될 수 있는 경우 피싱 문서 또는 트로이 목마에 대한 추적 방지 처리가 필요하며, 구체적인 방법은 다음과 같습니다. 파일 경로 또는 컴퓨터 사용자 이름 정보 트로이 목마 실행 파일의 패킹 또는 코드 난독화로 역분석의 어려움 증가 트로이 목마 컴파일 시 리바운드 및 다시 연결에 필요한 도메인 이름, IP 주소 및 포트와 같은 주요 필드 정보 휴대 유출을 방지하고 이러한 민감한 정보가 분석되는 것을 방지하기 위한 암호화 처리, 트로이 목마 백업 도메인 이름, IP 주소 및 포트는 백업 메커니즘을 사용하며 각 트로이 목마는 2개 이상의 백업 옵션과 IP 주소를 통합합니다. 도메인 이름이 차단됨 경우에 따라 대체 도메인 이름 IP 주소가 사용될 수 있습니다.
◆ 3.4.1 네트워크 또는 플랫폼 제공자
대상 네트워크 공급자의 네트워크에 침투하여 대상 네트워크 IP 할당 또는 공급자 내 서비스에서 제공하는 정보를 통해 대상 네트워크 액세스 포인트(주로 라우팅 게이트웨이)를 찾고 라우팅 게이트웨이 또는 라우팅 게이트웨이의 신뢰 통신 관계를 사용합니다. 대상 네트워크의 경계 라우팅 게이트웨이는 취약점을 악용하거나 네트워크 데이터를 하이재킹하여 경계 게이트웨이 또는 대상 네트워크의 라우팅 제어권을 획득하고 추가로 대상 인트라넷에 침투하여 확장합니다. 일반적인 예로 APT 공격에서 공격 통제는 대상 국가/지역의 기본 네트워크 사업자에서 직접 수행한 다음 피해 대상 네트워크에 침투하여 확장하는 발판으로 사용됩니다.
대상 네트워크 클라우드 호스팅 플랫폼 및 서버 자원 제공자 네트워크에 잠입, 호스팅 서비스에 따라 대상 호스팅 사업자 위치 파악, 잠입하여 호스팅 사업자 통제권 획득, 호스팅 사업자에 악성코드 심어 물주기 대상 인원에 대한 구멍 공격 또는 호스팅 서비스를 통해 호스팅 서비스와 대상 로컬 네트워크(주로 호스팅 서비스 관리 인터페이스) 간의 인터페이스를 찾고 허점 익스플로잇 또는 가짜 액세스를 사용하여 로컬 네트워크에 추가 침투 및 확장하고 획득 대상 로컬 네트워크의 액세스 제어 지점. 현재 일반적인 예는 대상 클라우드 호스팅 플랫폼 공급자에 침투하여 대상 비즈니스의 호스팅 액세스 인증 정보를 획득하고 이러한 인증 정보를 액세스 제어에 사용하는 것입니다.
◆ 3.4.2 보안 서비스 제공자
공격자는 타사 보안 운영 및 유지 관리 담당자를 공격하고 운영 및 유지 관리 담당자의 대상 네트워크 관리 권한을 획득하고 관리 권한을 사용하여 대상 네트워크에 액세스할 수 있습니다. 이러한 종류의 공격은 타깃 네트워크가 타사 운영 및 유지 관리 서비스를 통한 액세스 연결이 운영 및 유지 관리 담당자인지 공격자인지 정확하게 판단할 수 없기 때문에 은폐력이 큽니다.
◆ 3.5 위조 VPN 액세스
VPN 인증 정보를 얻기 위한 일반적인 공격 방법은 대상자를 피싱하여 대상 개인 컴퓨터를 장악 하고 VPN 액세스
정보를 기회에 훔치는 것, VPN 게이트웨이 계정 정보를 직접 획득하는 것 입니다. 취약점 악용을 통한 VPN 게이트웨이 장치 외부 네트워크의 일반적인 방법 외에도 내부 네트워크는 종종 암호 재사용 또는 취약한 암호를 통해 VPN 계정 암호 정보를 얻을 수 있습니다.
VPN 게이트웨이를 제어하는 일반적인 방법에는 취약점을 사용하여 원격 코드 실행 구현, 관리자 계정 추가, 게이트웨이 장치 제어, 임의 파일 읽기 취약점을 통해 인증 없이 게이트웨이 장치 관리 자격 증명 훔치기 또는 주입 취약점을 통해 백그라운드 관리 데이터베이스 얻기 .
◆ 3.6 은밀한 터널 외부 연결
공격 과정에서 종종 공격 행위 또는 트래픽이 감지되고 대상 인트라넷이 네트워크 밖으로 나갈 수 없기 때문에 비밀 터널 외부 연결 수단을 사용하여 공격 행위의 은밀한 실행을 실현하고 공격 데이터의 은밀한 통신 또는 돌파 대상 네트워크의 경계 격리 제한은 외부 네트워크에서 내부 네트워크로의 국경 간 점프 액세스 제어를 실현합니다.
은밀한 터널의 외부 연결은 주로 암호화된 통신과 포트 포워딩 기술의 결합을 통해 구현됩니다: 암호화된 통신은 캡슐화 및 전송 전에 통신 데이터를 암호화하는 것입니다.파일 형식 필터링, 포트 포워딩은 하나의 네트워크에서 네트워크 포트 트래픽을 포워딩하는 것입니다. 노드에서 다른 네트워크 노드로, 주요 목적은 일부 고립된 네트워크 노드에 대한 간접 액세스를 실현하기 위해 네트워크 노드 사이의 네트워크 통신의 방향성 점프를 실현하는 것입니다.
공격 과정에서 타사 인트라넷 도구는 주로 원격 제어 클라이언트와 공격 대상 단말기 간의 보안 통신 채널을 설정하는 데 사용되어 외부 네트워크에서 내부 네트워크로의 통신 트래픽의 교차 경계 점프를 실현합니다. 외부에서 내부로의 추가 침투 및 확장에 대한 편의성을 제공합니다. 인트라넷과 통신할 수 있는 경계 서버를 사용하여 인트라넷의 호스트가 능동적으로 네트워크를 벗어나 공격자의 외부 네트워크 제어 터미널에 연결됨을 인식하는 정방향 프록시, 역방향 프록시 , 경계 서버를 프록시로 사용 서버는 외부에서 내부로 인트라넷 호스트에 대한 액세스를 실현합니다. 타사 도구는 암호화 통신 지원, 포워딩 포트의 자유로운 설정, 작고 실용적인 등의 장점이 있습니다. 대부분은 강력한 포트 포워딩 기능을 가지고 있어 로컬 포워딩, 원격 포워딩 및 동적 포워딩과 같은 여러 기능을 실현할 수 있습니다. 일반적으로 사용되는 타사 도구에는 Windows와 함께 제공되는 Netsh 명령 도구, Linux, Netcat, HTran, Lcx 등과 함께 제공되는 ssh 명령 도구와 같은 포트 전달 도구, frp, ngrok와 같은 SOCKS 프록시 도구가 포함됩니다. , Proxifier 등
실제 공격 및 방어 훈련에서 대상 경계 장치의 일부 배경 기능 모듈을 사용하여 숨겨진 외부 연결 침투 목적을 달성할 수 있으며 PPTP, L2TP 또는 SSL VPN 기능 모듈을 사용하여 대상 인트라넷에 대한 VPN 비밀 액세스를 실현합니다. 대상 네트워크는 일반적으로 경계 장치에서 이러한 통신 설정을 거의 활성화하지 않으며, 이러한 설정은 대부분 안정적이고 은폐된 기본 네트워크 통신을 포함하며 타사 도구가 효과적이지 않을 때 블루 팀을 위한 또 다른 방법이 되는 경우가 많습니다.
◆ 3.8 근접 공격
각종 무선 통신망, 물리 인터페이스, 스마트 단말기 등 대상 내부에는 보안 사각지대가 더 많은 경우가 많으며, 공격자는 이러한 보안 사각지대를 이용하여 대상 보안 방어선을 보다 은밀하게 뚫고 내부망으로 진입할 수 있으며, 마침내 목표 네트워크의 깊이를 깨닫습니다.침투.
이제 Wi-Fi 네트워크는 사무실 영역에서 널리 사용됩니다.대상 사무실 근처의 Wi-Fi 네트워크를 사용하여 무선 장치 및 도구를 통해 Wi-Fi 통신 데이터 패킷을 캡처하고 Wi-Fi 보안 인증이 있는 데이터에 집중할 수 있습니다. Wi-Fi 네트워크 액세스 권한을 얻기 위해 디코딩 및 분석, 인증 정보 크래킹 또는 핫스팟 위조(예: 유사한 이름 암시), 신호가 더 강한 가짜 핫스팟 사용 또는 실제 Wi-Fi 경로를 공격하여 이것은 내부자를 속여 가짜 핫스팟에 연결하고 대상의 Wi-Fi 자격 증명을 훔칩니다.
가장 침입은 대상의 보안 감독 허점을 이용하여 대상의 내부 직원을 사칭하여 대상 사무실 영역에 들어가고 노출된 유선 네트워크 포트, 스마트 터미널 장치, 감독되지 않은 호스트 및 내부 네트워크 연결 상태가 있을 수 있는 기타 장치를 찾는 것입니다. 공격 침투를 수행하기 위해 대상 인트라넷에 연결되는 포트 또는 장치가 이러한 네트워크를 사용합니다. 예를 들어, 노출된 네트워크 포트는 컴퓨터에 직접 연결할 수 있으며 대상 인트라넷에 액세스할 가능성이 매우 높습니다. 감독되지 않은 호스트는 승인된 검증을 우회할 수 있습니다 허점을 통해 제어하고 인트라넷에 직접 진입합니다.
◆ 4.1 실전능력과 기존능력의 차이
단순 취약점 마이닝 작업의 경우 일반적으로 취약점의 존재를 증명하고 취약점 보고서를 제출하면 됩니다. 그러나 실제 비즈니스 환경에서 취약점이 존재한다고 해서 효과적인 공격이 이루어질 수 있는 것은 아닙니다.
◆ 4.2 실제 블루팀 재능 지도
앞서 언급한 등급 및 분류 원칙을 바탕으로 이 책은 실전청색팀 인재 역량을 3등급, 14종목, 85종의 특정 기술로 구분했다. 그 중 기본 능력 2개 범주에 20개, 고급 능력 4개 범주에 23개, 고급 능력 8개 범주에 42개 항목이 있습니다.
◆ 4.2.3 고급 능력치
SafeSEH는 예외 처리 기능이 변조되는 것을 방지하기 위해 특별히 사용되는 Windows 운영 체제의 보안 메커니즘입니다. 프로그램이 예외 처리 기능을 호출하기 전에 SafeSEH는 호출할 예외 처리 기능에 대한 일련의 유효성 검사를 수행합니다. 예외 처리 기능이 신뢰할 수 없거나 보안상의 위험이 있다고 판단되면 예외 처리 기능의 호출을 즉시 종료해야 합니다. SafeSEH 메커니즘이 제대로 설계되지 않았거나 결함이 있는 경우 공격자가 이를 악용하거나 속이거나 우회할 수 있습니다. 시스템이 공격을 받으면 프로그램이 비정상적으로 실행되고 예외 처리 기능이 트리거됩니다. 공격이 지속되기 위해서는 공격자가 시스템 예외 처리 기능을 위조하거나 변조하여 시스템이 예외 발생을 인지할 수 없도록 해야 하는 경우가 많습니다.
DEP(Data Execution Protection)의 기능은 데이터 페이지의 데이터가 실행 가능한 코드로 실행되어 보안 위험이 발생하는 것을 방지하는 것입니다. 컴퓨터 메모리의 관점에서 보면 데이터 처리와 코드 처리 사이에 명확한 구분이 없지만 시스템의 스케줄링에 따라 CPU는 서로 다른 메모리 영역에서 서로 다른 데이터에 대해 서로 다른 계산을 수행합니다. 이로 인해 시스템은 공격자가 신중하게 구성한 일부 데이터를 처리할 때 일부 "특수 데이터"를 실행 코드로 잘못 실행하여 악성 명령 실행을 트리거합니다. DEP 메커니즘 설계의 중요한 목적은 이러한 종류의 문제가 발생하지 않도록 하는 것이며, DEP 메커니즘 설계가 완벽하지 않거나 결함이 있는 경우 공격자에 의해 사용되거나 속거나 우회될 수 있습니다.
PIE(Position-Independent Executable, address-independent executable file)와 PIC(Position-Independent Code, address-independent code)는 기본적으로 같은 의미로 리눅스나 안드로이드 시스템에서 동적 링크 라이브러리 구현 기술이다.
NX(No-eXecute, non-executable)는 DEP 기술의 일종으로 오버플로 공격 시 오버플로 데이터가 실행 가능한 코드로 실행되는 것을 방지하는 데 사용된다. NX의 기본 원칙은 데이터가 위치한 메모리 페이지를 실행 불가능으로 표시하는 것이며, 운영 체제가 이 오버플로 데이터를 읽을 때 악성 명령을 실행하는 대신 예외를 발생시킵니다. NX 메커니즘의 설계가 완벽하지 않거나 결함이 있는 경우 공격자가 이를 악용하여 오버플로 공격을 시작할 수 있습니다.
ASLR(Address Space Layout Randomization, 주소 공간 무작위화)은 버퍼 오버플로 공격에 저항하기 위해 운영 체제에서 사용하는 메모리 보호 메커니즘입니다. 이 기술은 시스템에서 실행되는 프로세스의 메모리 주소를 예측할 수 없게 만들어 이러한 프로세스와 관련된 취약점을 악용하기 훨씬 더 어렵게 만듭니다.
SEHOP은 Structured Exception Handler Overwrite Protection의 약자로 Structured Exception Handler Overwrite Protection을 의미합니다. 그 중 구조적 예외 처리는 특정 제어 구조나 논리 구조에 따라 프로그램에 대한 예외 처리를 수행하는 방식을 의미한다. 구조적 예외 처리 연결 목록에 있는 하나 이상의 노드가 공격자가 신중하게 구성한 데이터로 덮여 있으면 프로그램 실행 흐름이 제어될 수 있으며 이것이 SEH 공격입니다. SEHOP은 Windows 운영 체제에서 이러한 종류의 공격에 대한 보안 보호 체계입니다.
GS는 버퍼 오버플로 공격을 방지하기 위한 Windows 버퍼의 보안 모니터링 메커니즘인 버퍼 보안 검사를 의미합니다. 버퍼 오버플로는 컴퓨터가 데이터 비트로 버퍼를 채울 때 채워진 데이터가 버퍼 자체의 용량을 초과하고 오버플로된 데이터가 합법적인 데이터를 덮어쓰는 것을 의미합니다. 이상적인 상황은 프로그램이 데이터 길이를 확인하고 버퍼 길이를 초과하는 문자 입력을 허용하지 않는 것입니다. 그러나 많은 프로그램은 데이터 길이가 항상 할당된 저장 공간과 일치한다고 가정하여 버퍼 오버플로 숨겨진 위험, 즉 버퍼 오버플로 취약점을 만듭니다. GS의 역할은 버퍼 데이터에 대한 다양한 검사를 수행하여 버퍼 오버플로 공격을 방지하는 것입니다.
익명의 네트워크는 일반적으로 정보 수신자가 신원을 찾을 수 없고 정보 발신자의 물리적 위치를 추적할 수 없거나 추적 프로세스가 극도로 어려운 통신 네트워크를 말합니다. 이러한 종류의 네트워크는 일반적으로 기존 인터넷 환경에서 특정 통신 소프트웨어로 구성된 특수한 가상 네트워크를 사용하여 개시자의 신원을 숨깁니다. 그 중 Tor 네트워크(양파 네트워크)로 대표되는 각종 다크넷은 비교적 많이 사용되는 익명의 네트워크이다.
타인의 ID/계정을 도용하여 공격자는 해당 ID/계정과 관련된 시스템 권한을 획득하여 불법적인 조작을 할 수 있을 뿐만 아니라 ID/계정 소유자의 신원을 사칭하여 다양한 네트워크 작업을 수행할 수 있습니다. 신분을 숨기려는 목적을 달성하십시오.
스프링보드를 사용한다는 것은 공격자가 대상을 직접 공격하는 것이 아니라 중간 호스트를 스프링보드로 사용하여 일련의 미리 설정된 경로를 통해 대상을 공격하는 것을 의미합니다. 스프링보드 머신을 사용하는 주된 이유는 두 가지입니다: 하나는 인트라넷의 보안 규칙에 의해 제한되고, 대상 머신은 직접 도달할 수 없으며, 스프링보드 머신을 통해 간접적으로만 액세스할 수 있습니다. , 공격자는 어느 정도 자신을 숨길 수 있습니다. 결과적으로 시스템에 남아있는 대부분의 작업 기록은 스프링보드 머신에 의해 수행되므로 방어자의 추적 가능성 분석의 어려움이 증가합니다.
사기성 신원 사기는 기술 수단을 사용하여 신원 인식 시스템 또는 보안 분석가를 속인 다음 타인의 신원을 부정하게 사용하여 로그인 시스템을 완성하고 불법 조작을 수행하며 악성 프로그램 및 기타 공격을 실행하는 것을 말합니다.
프록시 서버는 다른 네트워크 장치에 대한 인터넷 액세스 에이전트를 특별히 제공하는 서버 장치를 나타냅니다. 프록시 서버를 사용하지 않는 경우, 네트워크에 연결된 장치는 인터넷에 직접 연결되어 운영자로부터 전체 네트워크에 고유한 IP 주소를 할당받게 되며, 프록시 서버를 사용하는 동안 네트워크 장치는 먼저 프록시 서버에 접속하고, 프록시 서버가 인터넷에 액세스합니다.
경우에 따라 공격자는 더 깊은 신원 숨기기를 위해 여러 수준의 프록시 서버를 설정하기도 합니다.
파란색 팀의 CPU 명령 세트 숙달 여부는 파란색 팀이 시스템 수준의 취약점을 파고 악용하는 능력을 직접적으로 결정합니다. 현재 가장 일반적인 CPU 명령어 세트는 x86, MIPS, ARM 및 PowerPC입니다.
1) 작전 총사령관: 일반적으로 공격 팀에서 가장 강력한 종합 능력을 가진 사람으로 강력한 조직 인식, 적응력 및 풍부한 실전 경험이 필요합니다. 전략수립, 업무분배, 진도관리 등을 담당 2) 인텔리전스 수집자: 인텔리전스 정찰 및 정보 수집을 담당하며, 수집된 내용은 대상 시스템의 조직 구조, IT 자산, 민감 정보 유출, 공급업체 정보 등을 포함하되 이에 국한되지 않습니다. 3) 무기 및 장비 제조업체: 취약점 및 저술 도구의 악용을 담당하는 공격팀의 핵심 전투력으로, 취약점을 찾아 악용할 수 있을 뿐만 아니라 안정적이고 심층적인 악용을 위해 노력해야 합니다. 다양한 환경에서의 취약점. 4) RBI 구현자: 액세스 포인트 획득, 웹 침투 수행 등을 담당합니다. 취약한 링크를 찾은 후 허점이나 사회 복지사를 사용하여 외부 네트워크 시스템의 제어 권한을 얻은 다음 내부 네트워크와 연결할 채널을 찾아 거점(스프링보드)을 구축합니다. 5) 사회복지사 피싱담당자 : 사회복지사 공격을 담당합니다. 보안인식 부족, 보안능력 부족 등 인간의 약점을 악용해 사회공학적 공격을 하고, 피싱메일이나 소셜플랫폼을 통해 기만행위를 한 뒤 인트라넷에 침투한다. 6) 인트라넷 침투담당자 : 인트라넷 진입 후 수평확장을 담당한다. 다른 약점과 결합된 정보 수집가의 지능을 사용하여 수평으로 확장하고 전투 결과를 확장하십시오. 핵심 시스템 권한을 돌파하고, 핵심 작업을 제어하고, 핵심 데이터를 획득하고, 최종적으로 목표 돌파 작업을 완료하십시오.
◆ 5.4 오해: 트래픽 난독화 및 탐지 회피
직접권한접근 취약점이 있는 다수의 시스템을 찾아내고 트래픽이 많은 특정 시스템을 전면에서 공격하여 화력을 끌어모으고 측면의 트래픽을 최소화하여 직접 권한을 얻어 인트라넷을 빠르게 돌파합니다.
팀장을 제외한 모든 구성원은 마케팅 웹 사이트에 집중하고 서로 다른 IP 네트워크 세그먼트에 속한 많은 발판을 준비했습니다.발견되거나 차단되는지 상관하지 않고 취약성 스캐너를 사용하고 트래픽 위협 분석 시스템을 열기 위해 노력합니다. . 대규모 '분산 서비스 거부'로 인해 레드 팀의 수비수들은 분석과 대응에 분주했고, 팀 리더는 조용히 다른 IP와 브라우저 지문을 사용하여 웹 애플리케이션에 침투하여 최소한의 트래픽을 사용하려고 했습니다. 마케팅 웹 사이트의 공격 홍수에 위협 데이터가 익사하도록 하십시오.
◆ 5.5 우회: 공급망 표적 공격
먼저 "희소식", "낙찰", "계약체결", "협조", "수락" 등의 키워드를 검색하여 회사의 공급업체 및 전 네트워크 내 비즈니스 파트너에 대한 카펫식 조사를 수행합니다.
◆ 5.6 리대도좀비 : 우회 공격, 목표물 확보
웹사이트의 홈페이지를 스크린샷으로 대체, 일부는 모든 데이터 전송 인터페이스를 종료하고 Excel 테이블 형식으로 데이터 가져오기, 일부는 특정 관리자 IP만 액세스할 수 있도록 인트라넷 대상 시스템의 IP를 제한합니다.
모회사가 공격할 수 없으면 보조 자회사를 공격하십시오.
2급 자회사가 공격할 수 없으면 2급 자회사 아래에 있는 3급 자회사를 공격합니다.
◆ 5.9 백병전 : 근거리 소스 침투, 인트라넷 직접 접속
인터넷에서 대상과 같은 스타일의 배지를 구입하고 가짜 신원 정보를 만들고 내부 직원으로 가장하고 근무 시간 동안 공개적으로 대상 사무실 영역에 들어갑니다.
◆ 6.1 전쟁 준비 단계 : 병사와 말은 움직이지 않고, 음식과 풀이 먼저
그룹을 이끕니다. 공격·방어 훈련의 조직과 지휘를 강화하고 공·방어 훈련의 실효성을 확보하기 위해서는 공·방어 훈련의 지휘와 지휘를 일원화할 수 있는 훈련 지도부를 두어야 한다. 리더십 팀의 주요 책임은 다음과 같습니다. ·연습실무반의 책임을 확인하고 지휘반이 이를 실행할 수 있도록 권한을 부여한다. ·전시 실제 전투 단계의 시작 회의에 참여하여 사기를 진작하십시오. · 주요 보안 사고 결정을 내립니다. · 위기 홍보를 실시합니다.
운동 명령 그룹. 지휘소조 산하에 훈련지휘소를 두어 공격·방어 훈련과제를 편성·배치하고, 특히 공세·방어훈련을 관리·조율하고 상급부대와 전시본부에 보고한다. 훈련지휘부의 주요 임무는 다음과 같다. · 수비 전략에 초점을 맞춘 의사 결정. ·작업 메커니즘, 프로세스 및 각 그룹의 근무 인력 배치의 구현을 촉진합니다. ·방위의 날 정례회의를 조직하고 당일의 방역 결과를 집계 분석하여 선두그룹에 일상 업무를 출력한다. · 방어 작업에서 다른 문제를 조정하고 해결합니다.
모니터링 팀. 네트워크, 보안, 시스템, 애플리케이션 등 여러 감시 지점의 인력으로 구성되어 의심스러운 공격 행위를 실시간으로 감시하고 사전 분석을 수행하며, 감시팀 인력은 초기 침투 능력이 있어야 합니다.
판단 분석 그룹. 의심되는 침입 행위에 대한 조사 및 분석을 수행합니다.
비상대응팀. 적시에 공격을 차단 및 처리하고 공격 자산을 로그오프하고 강화합니다.
추적 가능성 대책 그룹. 공격 개체의 출처를 추적하고 공격자를 대응하며 방어 보고서 작성을 지원합니다.
정보 그룹. 인텔리전스 조정 단위 및 공급자(장비, 애플리케이션, 서비스)와 함께 공격 단서 및 취약성 인텔리전스를 수집하고 적시에 보고하여 인텔리전스 공유를 달성합니다.
보안 그룹. 기본 환경 및 시설 가용성에 대한 기술 지원을 제공하고 전투 현장에서 필요한 생활 자재에 대한 물류 지원을 제공합니다.
조정 연락 그룹. 예하부대, 외부부대, 형제, 이웃부대의 조정과 연락을 담당한다.
(1) 자산 분류 1) 민감한 정보 분류. 민감한 정보 유출 인텔리전스 서비스를 활용하여 참여 부대가 인터넷에 노출한 민감한 정보를 선별하고 정리하거나 숨김으로써 공격 팀이 정보를 사용할 위험을 줄입니다. 2) 인터넷 자산 검색. 인터넷 자산 검색 서비스를 사용하여 인터넷에 참여하는 단위가 노출한 자산을 분류하고 알려지지 않은 자산 및 서비스를 찾고 인터넷 시스템 자산 목록을 작성하고 자산 속성 및 자산 정보를 명확히 하고 소유하지 않고 중요하지 않으며 중요하지 않은 자산을 정리합니다. 위험 자산. 3) 인트라넷 자산 정렬. 인트라넷 자산, 컴포넌트 버전, 담당자, 지문인식 등을 구분하여 인트라넷 자산의 현황을 명확히 하고, 자산 목록을 구성하여 추후 수정 및 보강이 용이하도록 합니다. 노출된 관련 구성 요소도 식별할 수 있으며, 취약점을 적시에 찾아 수리하고 중요 시스템(중앙 시스템 포함)을 식별하여 중요 시스템의 후속 보호 및 비즈니스 흐름 정렬을 용이하게 합니다. 4) 타사 공급업체를 분류합니다. 장비 제조업체(네트워크 장비, 보안 장비 등), 애플리케이션 개발자 및 서비스 제공업체(클라우드 서비스, 운영 및 유지 보수 서비스 등)를 포함한 모든 제3자 공급자를 분류하고 자체 보안 관리, 자체 제품 보안 강화 및 방어 모니터 지원을 제공합니다. 5) 비즈니스 연결 단위를 분류합니다. 모든 비즈니스 연결 단위 및 연결 형식, 시스템, 지역 및 IP 입구를 분류하고 보호 및 모니터링 상태를 이해하고 공동 예방 및 제어를 위해 참여하는 비즈니스 연결 단위와 협력하고 보안 사고 알림 메커니즘을 구축합니다. 6) 클라우드 자산 정렬. 프라이빗 클라우드의 클라우드 관리 플랫폼, 클라우드 소프트웨어, 기반 운영 체제, 퍼블릭 클라우드 자산을 분류하여 클라우드 자산의 상태를 명확히 하고 자산 목록을 구성하여 후속 수정 및 보강을 용이하게 할 수 있습니다. 긴급 대응을 위해 적시에 통보하고 관련 구성 요소의 노출된 취약점을 적시에 찾아 수리했습니다.
(2) 네트워크 아키텍처 분류 1) 네트워크 액세스 경로 분류. 후속 모니터링 및 소스 추적에 편리한 시스템 액세스 소스(사용자, 장치 또는 시스템 포함)의 유형, 위치 및 네트워크 노드를 명확히 하고 보안 아키텍처가 분류된 후 North-South 모니터링 트래픽의 무결성을 보장합니다. . 2) 운영 및 유지 보수의 접근 경로를 정리하십시오. 잠재적인 안전 위험이 있는지 식별하고, 후속 최적화, 통합 수정 및 보강을 촉진하고, 보호 및 모니터링 장비의 부족 여부를 확인합니다. 3) 보안 아키텍처를 분류합니다. 프레임워크 검토를 통해 보안 영역의 구분이 합리적인지, 보호 및 모니터링 장비의 배치 위치가 적절한지, 결함이 있는지, 잠재적인 안전 위험이 있는지를 평가합니다. 4) 보안 장치 배치. 참여 단위는 안전 보호 작업의 원활한 진행에 영향을 미치지 않도록 가능한 한 빨리 관련 안전 장비를 보충하는 것이 좋습니다. 최근 수년간의 방산사업 경험을 바탕으로 고객사에서 부족한 안전보호장비를 핵심부분에서 평가합니다.
(3) 안전점검 1) 일반안전점검. 일상적인 보안 검사, 즉 전통적인 보안 평가 및 검사 작업은 주로 네트워크 보안, 호스트 보안, 응용 프로그램 보안, 터미널 보안, 로그 감사, 백업 등에 대한 보안 평가를 포함합니다. 안전점검 업무를 통해 참여 단위의 환경에 존재하는 위험성을 철저히 조사하고, 점검 출력 결과에 따라 "위험 수정 보고서"를 작성합니다. 2) 특별 검사. 주로 암호 및 무단 취약점, 중요한 시스템 보안 검사 등을 포함하여 공격 팀이 사용하는 주요 공격 방법 및 대상에 대한 특별 인벤토리를 수행하여 고위험 및 저비용 문제를 최대한 방지합니다. 3) 웹 보안 탐지. 웹 보안 탐지는 잠재적인 보안 취약점을 최대한 발견하는 데 중점을 두어야 하며, 이전에 발견된 숨겨진 보안 취약점이 제대로 수정되었는지 확인해야 합니다. 여건이 허락하는 경우 중요 정보시스템에 대한 소스코드 보안점검, 보안취약점 스캐닝, 모의해킹 등 웹 보안점검을 실시하며, 취약한 비밀번호, 임의 파일업로드, 미들웨어 등 웹침입의 취약링크 탐지에 중점을 두어야 한다. 원격 명령 실행, SQL 주입 등 (4) 공격 및 방어훈련 공격 및 방어훈련의 목적은 실전모의, 위험자체점검 및 보안강화단계의 업무효과 검증, 각 실무반의 이전 작업결과 검증, 네트워크 공격을 모니터링, 발견, 분석 및 처리하는 단위의 능력, 안전 보호 조치 및 모니터링 기술 수단의 효과를 테스트하고 각 작업 그룹의 조정 및 협력에 대한 암묵적 이해를 테스트하며 기술 계획의 합리성을 완전히 확인합니다. 공격 및 방어 훈련의 실제 상황에 따라 모니터링, 조기 경보, 분석, 검증, 처리 및 기타 링크의 직무 및 작업 내용 구현을 요약하고 기술 계획을 더욱 개선하고 전시 작업을 위한 견고한 기반을 마련합니다.
◆ 6.2 전투 단계: 전쟁 전 동원, 사기 진작
중앙 집중식 시스템은 일반적으로 공격자의 주요 대상입니다. 중앙 집중식 시스템을 무너뜨리면 관할권 내의 모든 호스트를 제어할 수 있습니다. 중앙 집중식 시스템에는 도메인 컨트롤러 서버(Domain Controller), DNS 서버, 백업 서버, ITSM 운영 및 유지 관리 시스템, Zabbix, Nagios, 배스천 머신 및 기타 통합 모니터링 및 유지 관리 시스템, R&D 서버, SVN, Git, R&D 개인 단말기, 운영 및 유지 관리 개인 단말기, VPN 로그인 및 싱글 사인온 입구 등
◆ 6.4 요약 단계: 종합 검토, 요약 경험
공격 팀에서 자주 사용하는 기존 침투 공격 방법(예: 자주 사용되는 WebLoigc 역직렬화 명령 실행 공격, JBoss 원격 코드 실행 공격, Struts2 원격 명령 실행 공격, Redis 무단 액세스 공격, Eternal Blue 취약성 공격, Windows 운영 체제 취약성 공격, 데이터베이스 취약성 비밀번호 및 운영체제 취약한 비밀번호 공격, FTP 익명 로그인 공격, rsync 무단접속 공격, HTTP OPTIONS 방식 공격, SSL/TLS 존재 Bar Mitzvah 공격 취약점 공격, X-Forwarded-Forgery 공격 등)
◆ 7.1 정보정리 : 인터넷민감정보
공익플랫폼에 민감한 정보가 포함된 파일을 업로드하는 것을 엄격히 금지하고 있으며, 유출된 민감정보의 정기적인 수집을 통해 인터넷에 노출된 단위의 민감정보를 적시에 발견 및 정리하여 위험을 줄입니다. 부대의 민감한 정보가 노출되는 것과 동시에 공격 팀이 민감한 정보를 수집하는 데 드는 시간 비용을 증가시키고 후속 공격의 난이도를 높입니다.
◆ 7.4 핵심 지키기: 핵심 포인트 찾기
"최소 원칙"에 따라 액세스 권한을 개방하고, 마지막으로 대상 시스템을 내부 네트워크에 배치하고 가능한 한 인터넷에 대한 직접 개방을 피해야 합니다. 조건이 허용되면 대상 시스템 호스트에 대한 보안 보호 소프트웨어도 배포할 수 있으며 대상 시스템 호스트에 대한 프로세스 화이트리스트 제한을 수행할 수 있으며 방어 시 대상 시스템의 보안 상태를 실시간으로 모니터링할 수 있습니다.
◆ 7.6 능동방어: 종합감시
상황인식시스템과 보안장비간의 연계규칙을 전개하여 전체 네트워크의 보안장비의 경보정보를 수집하고, 상황인식시스템이 보안경보정보를 수신한 후 미리 설정된 경계차단 전략에 따라 자동으로 경계차단 전략을 발동 차단 장비가 적시에 효과적인 조치를 취할 수 있도록 차단 및 차단하여 수동 참여를 크게 줄입니다.
전체 네트워크 트래픽을 모니터링하여 공격 행동을 캡처하는 것이 현재 가장 효과적인 보안 모니터링 방법입니다.
◆ 8.1.1 문서 정보 유출 방지
공격자는 일반적으로 CNKI, Google Scholar, Baidu Academic과 같은 학술 웹사이트, Vdisk, Baidu Netdisk, 360 클라우드 디스크 등과 같은 네트워크 디스크, · 코드 GitHub, Bitbucket, GitLab, Gitee 등과 같은 호스팅 플랫폼 입찰 웹사이트, 자체 제작 입찰 웹사이트, 타사 입찰 웹사이트 등 Baidu Wenku, Douding.com, Daoke Baba 등과 같은 라이브러리 WeChat 그룹, QQ 그룹, 포럼, 포스트 바 등과 같은 소셜 플랫폼
공격자에게 가장 인기 있는 문서 정보는 다음 범주를 포함합니다. 사용 설명서: 애플리케이션 액세스 주소, 기본 계정 정보 등이 포함될 수 있는 민감한 정보가 있는 VPN 시스템, OA 시스템, 사서함 및 기타 시스템용 사용 설명서. ·설치 설명서: 응용 프로그램 기본 암호, 하드웨어 장치의 내부 및 외부 네트워크 주소 등을 포함할 수 있습니다. · 배송 문서: 애플리케이션 구성 정보, 네트워크 토폴로지, 네트워크 구성 정보 등을 포함할 수 있습니다.
구체적인 취급 제안은 다음과 같습니다. 1) 민감한 문서는 네트워크 디스크 또는 라이브러리에 업로드할 수 없으며 정기적으로 검토해야 함을 시스템에서 명확히 합니다. 2) 단위와 관련된 민감한 문서는 제3자 인력에게도 필요하며, 계약 단위의 허가 없이 프로젝트와 관련 없는 인원과 공유해서는 안 되며, 온라인 디스크와 같은 공개 플랫폼에 업로드해서는 안 됩니다. , 라이브러리 및 QQ 그룹 공유. 일단 발견되면 심각하게 다루십시오. 3) 위에서 언급한 다양한 웹사이트 또는 도구에서 정기적으로 유닛의 키워드를 검색하고 민감한 문서를 발견하면 업로더 또는 플랫폼에 삭제를 요청하십시오.
◆ 8.1.2 안티코드 호스팅 유출
코드 호스팅 유출 방지를 위한 제안 사항은 1) 프로젝트의 소스 코드를 코드 호스팅 웹사이트에 공개하는 것을 엄격히 금지하고, 2) 개발자가 제어할 수 없는 컴퓨터에 소스 코드를 복사하는 것을 금지하며, Gitee, 다른 주요 코드 호스팅 웹사이트에서 자신의 유닛 키워드를 검색하고, 자신의 유닛 소스 코드를 발견하면 업로더 또는 플랫폼에 삭제를 요청하세요.
◆ 8.1.3 과거 취약점 공개 금지
대부분의 공격자들은 대상 단위계 또는 대상 단위계와 동일한 핑거프린트로 취약성 플랫폼에서 대상 단위계의 취약성 정보를 검색하고, 취약성 정보를 기반으로 취약성이 존재하는지 여부를 테스트하며, 취약성이 수정되지 않은 경우에는 직접 악용될 것입니다. 현재 주요 취약점 보고 플랫폼은 다음과 같습니다. · Butian 플랫폼: https://www.butian.net/. 취약점 상자: https://www.vulbox.com. · 다크 클라우드 미러: http://www.anquan.us. 해커론: https://www.hackerone.com.
폐기 방법은 1) 주요 취약 플랫폼의 유닛에 대한 취약성 정보를 수집하고 복구 상황을 하나씩 확인하고 2) 해당 유닛에서 사용하는 동일한 상용 시스템 또는 오픈 소스 시스템의 취약성 정보를 수집합니다. , 유닛의 시스템에 취약한 플랫폼이 있는지 확인하고 공개된 취약점을 하나씩 확인합니다.
◆ 8.1.4 인사정보 유출 방지
1) 직원 보안의식 제고, 수상한 메일 쉽게 열람 금지, 미확인 인원에게 민감한 정보 공개 금지, 업무 그룹 및 기타 민감한 업무 그룹에 미확인 인원 추가 금지, 관리자의 이메일 주소와 전화 번호.
◆ 8.1.5 기타 정보 유출 방지
1) 예하 부대의 시스템과 연동하고, 네트워크 차원에서 보안 보호 및 탐지 장비를 배치하며, 예하 부대 시스템에 접근하기 전에 코드 감사 및 침투 테스트 보고서를 발행하여 접근 보안을 보장합니다. 다른 시스템 장치 또는 개인 공유 암호와 통신하지 않고, 조건이 허용되는 경우 해커가 데이터베이스 공격을 가하지 못하도록 동적 암호 또는 키 인증을 추가할 수 있습니다. 사이드 채널 공격을 방지하기 위해 다른 단위 시스템, 서버 및 스토리지와 같은 구성 요소와 네트워크 세그먼트를 공유하지 않습니다.
◆ 8.5 향상된 보호 아키텍처
VPN은 모든 사람에게 편리함을 제공하지만 공격자에게 가장 많이 사용되는 공격 경로 중 하나이기도 합니다. VPN이 손상되면 공격자는 인트라넷에 진입한 후 방해를 받지 않습니다. 동시에 VPN의 암호화 속성으로 인해 공격자는 모든 보안 보호 장치를 우회할 수 있으며 발견하기가 쉽지 않습니다. 폐기 권장 사항은 다음과 같습니다. 1) 여러 VPN 세트의 경우 병합을 시도하십시오. 2) 제공자의 VPN 원격 유지 채널을 예약한 사람들은 사용 시 개방하고 사용 시 폐쇄하는 전략을 채택하십시오. 3) VPN+액세스 인증 이중 계층 인증을 채택합니다. 즉, VPN 전화 접속 후 액세스 인증과 이중 인증을 추가합니다. VPN이 손상되면 액세스 인증이 두 번째 보호 장벽이 됩니다. 4) VPN 계정 정렬: VPN 계정, 특히 외부인의 경우 비활성화할 수 있는 경우 비활성화할 수 있으며 비활성화할 수 없는 경우 사용 기간에 따라 제어할 수 있습니다. 5) VPN 권한 정리: VPN에 다이얼인한 후 액세스할 수 있는 리소스를 명확하게 승인합니다. 6) VPN 계정 정리: 기본 관리 계정을 정리하고 할당된 VPN 계정에 대해 한 번도 사용하지 않은 계정을 종료하고 다른 계정에 대해 강력한 암호 정책을 채택하고 정기적으로 암호를 변경합니다.
◆ 8.5.3 호스트 측 방어
현재 주류 웹 미들웨어에는 WebLogic, WebSphere, JBoss, Tomcat, Nginx 등이 포함됩니다. 이러한 취약점을 예방하는 방법에는 여러 가지가 있습니다: ① 정기적인 보안 패치 적용, ② 미들웨어를 안전한 버전으로 업그레이드, ③ 보안 문제가 있는 사용하지 않는 구성 요소 비활성화, ④ 백그라운드 관리 포트 또는 민감한 디렉토리를 외부에 개방하지 않음,
미들웨어 백그라운드 보호 조치는 ① 기본 경로 및 기본 포트 사용 금지, ② 미들웨어 백그라운드가 인터넷에 노출되는 것을 금지, ③ 미들웨어 백그라운드는 인트라넷 주소에 대한 액세스 제한, ④ 미들웨어 백그라운드의 사용 금지입니다. 미들웨어 기본 사용자 이름 및 암호 ⑤ 프로덕션 환경에서 테스트 시스템 게시 금지.
웹 미들웨어에 대한 보안 강화 제안은 ① 기본 사용자 이름 및 암호 수정, ② 웹사이트 디렉토리 기능 비활성화, ③ 테스트 페이지 삭제, ④ 오류 파일이 정식 환경에서 사용자에게 직접 반환되지 않도록 금지, ⑤ 특별한 요구 사항이 없는 경우 HTTP 전송 방식 POST 및 GET 방식만 허용하도록 수정 ⑥ 로그 기능 활성화 ⑦ 업로드 폴더의 작업 권한 닫기 ⑧ 미들웨어 관리자 사용자 이름에 대한 강력한 암호 설정 ⑨ 다양한 미들웨어 특성에 따라 보강 기준선을 공식화합니다.
◆ 9.1 국경 방어 장비
방화벽은 가장 기본적인 보안 보호장비로서 실제 전투 훈련에서도 중요한 역할을 하며 주로 다음과 같은 보호 수단을 통해 이루어진다. 1) ACL 구성: 네트워크 내에서 네트워크 영역을 분할하여 각 영역의 기능을 명확하게 하고 각 영역 간에 명확한 허용/거부 ACL을 구현하여 엄격한 액세스 제어를 달성합니다. 많은 수의 공격 및 방어 전투는 지역 간 격리가 공격자의 수평적 확장 범위를 크게 제한할 수 있음을 입증했습니다. 2) 블랙리스트 구성: 네트워크 외부 계층에 구축된 방화벽은 실제 전투에서 공격자/의심스러운 공격자의 IP 주소를 블랙리스트에 추가하여 네트워크 계층에서 오는 의심스러운 공격 트래픽을 차단하여 공격자가 계속해서 공격하는 것을 방지하고, 따라서 공격자가 공격 IP 주소를 변경하도록 강제하여 공격자의 공격 리듬을 지연시킵니다. 3) 실시간 연동 : 실제 구축 환경에 따라 트래픽 인식 및 위협 인식 제품과 연동하여 분석된 악성 IP를 차단할 수 있습니다. 4) 자동 차단: 또한 스캐닝과 같은 공격에 보다 효율적으로 대처하기 위해 프로그래밍 및 기타 방법을 통해 자동 차단 조치를 구현하여 차단 효율성을 높이고 처리 직원의 작업 부담을 줄일 수 있습니다.
◆ 9.1.2 침입차단시스템
IPS는 효율적인 통합 엔진을 사용하여 보호된 네트워크의 트래픽 분석, 비정상 또는 공격 행위의 경보 및 차단, 계층 2-7 보안 보호 제어, 사용자 행동 및 네트워크 상태의 시각적 표시를 실현합니다. IPS는 공격을 발견할 수 있을 뿐만 아니라 방어 전략을 자동으로 실시간으로 구현하여 정보 시스템의 보안을 효과적으로 보장합니다.
◆ 9.1.4 웹 애플리케이션 보안 클라우드 보호 시스템
웹 애플리케이션 보안 클라우드 보호 시스템은 클라우드 웹 사이트에 대한 보안 보호를 제공하고 웹 사이트에 대한 SaaS 기반 보안 보호 서비스를 제공하는 시스템입니다. 기업 웹 사이트의 실제 보안 요구 및 현상에 따라 지능형 DNS 해결 기능, DDoS 보호 기능, 웹 애플리케이션 공격 보호 기능, CDN 가속 기능, 보안 운영 기능 및 통합 구성 관리 기능을 동일한 보안 보호 시스템으로 통합합니다. 웹사이트는 클라우드 WAF, 클라우드 안티-D, 클라우드 가속, CC 공격 보호, 안티 크롤러, 전체 사이트 미러링(재보호된 읽기 전용), 실시간 모니터링 및 경보, 시각적 보안. 웹사이트 데이터 유출 및 웹페이지 변조의 위험을 줄이고 웹사이트 링크의 신뢰성을 향상하며 상위 기관/네트워크 보안 법 집행 기관에 의해 통지되거나 처벌될 가능성을 줄일 수 있습니다.
◆ 9.1.5 이메일 위협 인식 시스템
이메일 위협 탐지 시스템은 다양한 바이러스 탐지 엔진을 사용하고 위협 인텔리전스와 URL 평판 데이터베이스를 결합하여 이메일의 URL 및 첨부 파일에 대해 악의적인 판단을 내리고 동적 샌드박스 기술, 이메일 동작 탐지 모델 및 기계 학습 모델을 사용하여 고급 위협하고 목표로 삼아 메일을 공격합니다. 대용량 이메일의 대용량 데이터 모델링 및 다차원 현장 상관관계 분석을 통해 알려지지 않은 지능형 위협 적기 탐지
◆ 9.2 안전성 시험 장비
장비가 갖추어야 할 핵심 기능 1) 자산 및 애플리케이션 탐색: 데이터 마이닝 및 조사를 통해 기업 자산의 범위를 파악한 후 웹 스캐닝 기술, 운영체제 탐지 기술, 포트 탐지 기술, 서비스 탐지 기술, 웹 다양한 활용 크롤러 기술과 같은 탐지 기술은 참여 단위의 정보 시스템에서 호스트/서버, 보안 장치, 네트워크 장치, 산업 제어 장치, 웹 응용 프로그램, 미들웨어, 데이터베이스, 메일 시스템 및 DNS 시스템을 능동적으로 검색하고 자산 및 응용 프로그램 목록을 생성할 수 있으며, 목록에는 장치 유형, 도메인 이름, IP, 포트가 포함될 뿐만 아니라 미들웨어, 애플리케이션 및 자산에서 실행되는 기술 아키텍처의 세부 정보(유형, 버전, 서비스 이름 등)를 자세히 식별할 수 있습니다. 2) 정보보안 자산 초상도 : 자산 및 애플리케이션 탐색을 기반으로 각 업무를 분류 및 분석하고, 정보시스템의 실태, 업무 특성, 자산 중요도 등을 기준으로 정보를 Best Practice와 결합하여 요약 마지막으로 참여 단위의 독점 자산 초상화를 형성하고 참여 단위의 독점 정보 보안 자산 초상화를 구축하십시오. 자산 초상화가 구축된 후 도메인 이름, IP, 포트, 미들웨어, 애플리케이션, 기술 아키텍처, 변경 상태, 비즈니스 유형(맞춤형) 및 기타 조건에 따라 자산을 쿼리하고 계산할 수 있습니다.
◆ 9.2.2 자동 침투 테스트 시스템
웹사이트 URL 탐지 방법은 대상을 핑거프린트하고 미들웨어, 일반 웹사이트 프레임워크, 개발언어, 운영체제 등의 핑거프린트 정보를 수집하여 플러그인 라이브러리에서 관련 취약점 플러그인을 찾아 기존 취약점을 찾는 것이다.
IP 주소 탐지 방법은 대상의 포트를 스캔하여 외부 세계에 개방된 서비스를 발견하고 해당 서비스 유형을 식별하고 관련 취약점 플러그인을 찾아 취약점이 존재하는지 판단하는 것입니다.
자동화된 침투 테스트 시스템은 명령 실행, SQL 실행, 파일 업로드, Shell 리바운드, Webshell 업로드, 파일 다운로드 등이 가능한 원클릭 익스플로잇 기능을 제공합니다. 자동화 침투 테스트 시스템에서 제공하는 웹 핑거프린트 라이브러리는 600개 이상의 CMS(콘텐츠 관리 시스템) 식별 가능
◆ 9.2.3 오픈소스 컴포넌트 탐지 시스템
장치가 가져야 할 핵심 기능은 오픈 소스 감지입니다. 애플리케이션 시스템에 포함된 오픈 소스 구성 요소를 정확하게 식별하고 기업이 오픈 소스 구성 요소 자산 원장을 구축하도록 돕고 각 소프트웨어 시스템의 오픈 소스 구성 요소 자산 목록을 출력하고 제공합니다. 해당 오픈소스 구성요소 취약성 정보, 오픈소스 협약 정보, 오픈소스 구성요소에 대한 개선 제안 등 동시에 서비스팀은 취약점 평가 모델에 따라 출력된 보안 취약점을 분석하여 과학적이고 합리적인 취약점 수정 우선 순위 및 수정 제안을 제공하고 복구하기 어려운 오픈 소스 구성 요소에 대한 완화 및 강화 제안을 제공하고 또한 복구할 수 없는 긴급 취약점을 제공합니다. 검증을 제공합니다.
◆ 9.2.4 보안관리 및 감사시스템 운영 및 유지보수(요새호스트)
운영 및 유지 보안 관리 및 감사 시스템(Fortress Machine)은 인증, 권한 부여, 액세스 및 감사의 관리 프로세스 설계 개념을 기반으로 통합 운영 및 유지 관리 및 감사를 수행합니다. 네트워크 및 서버 리소스에 대한 단말기의 직접 액세스를 차단하기 위해 우회 배포 모드를 채택하고 프로토콜 프록시 방법을 사용하여 운영 및 유지 관리의 중앙 집중식 관리 및 제어, 프로세스의 실시간 감독, 액세스 준수 제어, 프로세스의 그래픽 감사 및 기업을 위한 사전 예방 세트, 이벤트 내 모니터링 및 사후 이벤트 감사 안전 관리 시스템을 구축합니다.
◆ 9.3 유량 모니터링 장비
네트워크 트래픽 및 단말 EDR 로그를 기반으로 트래픽 위협 인식 시스템은 위협 인텔리전스, 규칙 엔진, 파일 가상 실행 및 기계 학습과 같은 기술을 사용하여 네트워크의 호스트 및 서버에 대한 알려진 고급 네트워크 공격과 알려지지 않은 새로운 네트워크 공격을 정확하게 발견합니다. . , 로컬 빅데이터 플랫폼을 이용하여 트래픽 로그 및 단말 로그를 저장 및 조회하고 위협 인텔리전스 및 공격 체인 분석을 기반으로 이벤트를 분석, 판단 및 추적함과 동시에 경계 NDR, 단말 EDR 및 자동 오케스트레이션과 결합하여 처분, 위협은 적시에 차단될 수 있습니다.
◆ 9.3.2 상황인식 및 보안운영 플랫폼
상황 인식 및 보안 운영 플랫폼은 빅 데이터 플랫폼을 기반으로 하며, 다양한 이기종 대용량 로그를 수집하여 상관 관계 분석, 기계 학습, 위협 인텔리전스 및 기타 기술을 사용하여 기업이 네트워크 보안 상황을 지속적으로 모니터링하고 변화를 실현할 수 있도록 지원합니다. 수동적 방어에서 능동적 방어로 보안 관리자에게 위험 평가 및 비상 대응에 대한 의사 결정 지원을 제공하고 보안 운영 담당자에게 위협 발견, 조사 및 분석, 대응 및 처리를 위한 보안 운영 도구를 제공합니다.
◆ 9.3.3 허니팟 시스템
허니팟 기술은 본질적으로 공격자를 속이는 기술입니다. 공격자가 공격하도록 유인하기 위해 일부 호스트, 네트워크 서비스 또는 정보를 미끼로 배치함으로써 방어자는 공격 동작을 캡처 및 분석하고 공격자가 사용하는 도구와 방법을 이해하고 공격 의도와 동기를 추측할 수 있습니다. 기술 및 관리 수단을 통해 실제 시스템의 보안 보호 기능을 향상시키기 위해 직면하는 보안 위협.
1) 능동적 미끼: 실시간 트래픽 풀링을 통해 미끼를 가리키는 트래픽을 중앙 집중식 미끼 자원으로 끌어당긴다. 2) 다중 장치 에뮬레이션: 클라우드 빅 데이터에서 수집한 수백 가지 프로토콜의 장치 지문(배너) 라이브러리와 결합하여 수천 개의 네트워크 장치 또는 서비스를 시뮬레이션할 수 있습니다. 공격자를 위한 일부 자동화 도구 탐지(예: Nmap의 포트 스캐닝)는 더 나은 속임수를 수행할 수 있습니다. 3) 자산의 높은 모방: 첫째, 다양한 수단을 사용하여 가능한 한 실제 자산에 가깝고, 둘째, 교통 데이터 및 자산 데이터를 기반으로 시뮬레이션 자산을 가능한 한 실물 자산에 가깝게 만듭니다. 4) 추적성 및 증거 수집: 공격의 특성에 따라 트래픽을 해당 허니팟으로 분산시키고 공격 체인의 소스를 추적하기 위해 활성 추적 메커니즘을 사용합니다. 인텔리전스 추적 및 공격자 정보 집계 및 추적 메커니즘을 통해 완전한 공격 프로필 맵이 형성됩니다. 5) 능동적 대책: 디셉션 및 트래핑 플랫폼에 진입한 공격자에 대해서는 JSONP를 통한 대책, 파일 다운로드 사기 대책, MySQL 대책, RDP 대책 등 어느 정도 대응책을 시행한다. 공격 대책으로 얻은 정보에는 공격자의 브라우저 개인정보 데이터, 호스트 계정, 호스트 IP 및 포트 개방 상태, 개인 애플리케이션 계정 및 ID ID 등이 포함되지만 이에 국한되지 않습니다.
◆ 9.4 단말보호장치
EDR(Endpoint Detection and Response)은 고급 위협 탐지 및 대응 측면에서 기존 터미널 보안 제품의 확장 및 보완입니다.기업 네트워크의 알려지지 않은 위험을 다양한 차원에서 평가하고 행동 엔진을 핵심으로 사용하여 위협 인텔리전스를 사용합니다. 위협 발견에서 폐기까지의 시간을 단축하고 비즈니스 손실을 효과적으로 줄이며 가시성을 향상하고 전반적인 보안 기능을 향상시킵니다.
◆ 9.4.2 서버 보안 관리 시스템
서버 보안 관리 시스템은 기업이 여러 가상화 아키텍처 및 운영 체제와 호환되어 하이브리드 데이터 센터 아키텍처에서 서버 보안을 효율적으로 구현할 수 있도록 지원하는 서버 보안 제품입니다. 서버측 Lightweight Agent, 보안강화 서버시스템 및 Application WAF Probe, RASP Probe, Kernel Hardening Probe를 통해 알려지거나 알려지지 않은 악성코드와 해커의 공격을 실시간으로 효과적으로 탐지하고 방어하며, Management, Micro-segregation, Attack 추적 가능성, 자동화된 운영 및 유지 관리, 기본 검사 및 기타 기능을 통해 효율적이고 안전한 서버 운영 및 유지 관리가 가능합니다.
◆ 9.4.3 가상화 보안 관리 시스템
가상화 보안 관리 시스템은 클라우드 컴퓨팅 또는 가상화 환경을 위한 원스톱 보안 제품입니다. vSphere, XEN, KVM, Hyper-V 등의 가상화 환경과 OpenStack 등의 클라우드 컴퓨팅 플랫폼을 지원하는 제품으로 Hypervisor 보호, 클라우드 호스트 시스템 강화, 악성코드 보호, 애플리케이션 제어 등의 기능을 제공하고, 참여 장치의 클라우드 데이터 센터를 호위하는 이기종 가상화 플랫폼.
◆ 9.4.4 단말기 보안 접근 시스템
단말기 보안 접속 시스템(Networks Access Control, NAC)은 주로 기기 접속의 보안 보호, 네트워크 접속 보안의 준수 검사, 사용자 및 기기의 실명 인증, 핵심 사업 및 네트워크 경계의 접속 보안, 접속을 해결하는 데 사용됩니다. 네트워크 리소스에 대한 불법적인 터미널 액세스로 인한 보안 위협을 방지하기 위한 추적성 및 감사와 같은 관리 문제.
◆ 9.4.5 단말기 보안관리 시스템
터미널 보안 관리 시스템은 바이러스 백신, 터미널 보안 제어, 터미널 액세스, 터미널 감사, 주변 제어, EDR 및 기타 기능을 통합하고 다양한 운영 체제 및 컴퓨팅 플랫폼과 호환되는 통합 터미널 보안 솔루션으로 기업이 실현할 수 있도록 지원합니다. 플랫폼 통합 현대화, 기능 통합 및 데이터 통합을 통한 3차원 터미널 보안 보호.
◆ 9.5 위협 인텔리전스 시스템
위협 인텔리전스 분석에서 파생된 위협 가시성과 네트워크 위험 및 위협에 대한 종합적인 이해를 바탕으로 공격 사건을 신속하게 감지하고 위협에 대응하기 위해 신속하고 단호한 조치를 취할 수 있습니다. 위협 인텔리전스 수집 및 분석은 네트워크 보안의 필수 요소가 되었습니다.
◆ 10.1.4 강인한 전투, 합동 방어 및 합동 통제
조직도
◆ 10.3.2 3단계 전투, 훈련의 수비 딜레마 해결
1단계 초반에는 상대적으로 많은 보안 사고가 발생할 것이며, 그 중 스캐닝 및 툴 테스트 알람이 높은 비율을 차지하며, 이때 공격팀은 지속적으로 공격 경로를 탐색하고 있습니다.
1단계 후반부에는 스캐닝 건수는 줄었지만 취약점 및 업로드 건수는 증가한 것을 확인할 수 있으며, 이때 공격팀은 가능한 공격 경로를 찾아 잠정 공격을 계속한다.
두 번째 단계는 파란색 팀이 경계를 뚫고 인트라넷에 진입하는 것을 나타냅니다. 두 번째 단계의 첫 번째 부분에서는 호스트 검색 이벤트가 증가합니다. 블루 팀이 경로를 찾아 공격을 시도한 후 대상 호스트에 대한 폭력적인 공격을 시작합니다. 이때 공격받은 호스트는 많은 수의 알람을 생성합니다.
2단계 후반부에는 호스트 스캐닝 이벤트가 감소하지만 운영 체제 및 취약성 보안 이벤트는 증가합니다. 방어 팀은 각 경보 처리의 적시성과 효율성을 보장해야 합니다.
3단계 초반에는 스캔, 취약성 및 업로드 이벤트가 동시에 증가합니다. 공격과 수비가 치열해질수록 더 많은 공격 자원이 최종 단계에 집중된다.
◆ 11.1 실제 공·방어 훈련의 구성요소
공격팀은 일반적으로 여러 보안 벤더에 의해 독립적으로 구성되며 각 공격팀은 일반적으로 3~5명으로 구성됩니다. 권한 부여를 전제로 침투 공격은 주로 자산 탐색, 도구 스캐닝 및 수동 침투를 통해 운동 대상 시스템의 권한과 데이터를 획득합니다. 방어팀은 참여부대 인력, 보안업체 등으로 구성되며 주로 방어팀 소관 자산 보호를 담당한다.
◆ 11.2 실제 공·방어훈련 조직형태
실제 필요에서 시작하여 실제 전투 공격 및 방어 훈련의 두 가지 주요 조직 형태가 있습니다. 1) 국가, 산업 당국 및 규제 기관에서 주관하는 훈련. 이러한 훈련은 일반적으로 모든 수준의 공공 보안 기관, 모든 수준의 사이버 보안 및 정보화 부서, 정부, 금융, 교통, 보건, 교육, 전기, 운영자 및 기타 국가, 산업 당국 또는 규제 기관에서 조직합니다. 업계의 핵심 정보 인프라 및 중요 시스템을 위해 공격 팀과 업계의 다양한 기업 및 기관을 구성하여 실제 네트워크 공격 및 방어 훈련을 수행합니다. 2) 대기업 및 기관에서 주관하는 훈련. 금융회사, 운영자, 행정기관, 공공기관 및 기타 정부 및 기업 단위는 비즈니스 보안 방어 시스템 구축의 효율성에 대한 검증 요구 사항에 대응하여 공격 팀과 기업 및 기관을 구성하여 실전 공격 및 방어 훈련을 수행합니다.
◆ 11.4 실공방어훈련의 위험회피대책
1) 방어팀을 사서 공격하는 것을 금지한다 2) 외부 광섬유를 끊고 감시하는 물리적인 침입을 통한 공격을 금지한다 3) 직접적으로 영향을 미치는 전파 방해기 및 기타 공격 방법을 사용하는 것을 금지한다 대상 시스템의 작동. (5) 공격자가 사용하는 트로이 목마는 트로이 목마 제어단말이 훈련본부에서 제공하는 소프트웨어를 사용해야 하며, 사용하는 트로이 목마는 대상 시스템 파일 자동삭제, 부트섹터 손상, 능동적으로 유포, 감염되어서는 안된다. 파일, 또는 서버 다운 타임을 유발합니다. 및 기타 파괴적인 기능. 드릴은 파괴적이고 전염성이 있는 바이러스 및 웜의 사용을 금지합니다. (6) 불법 공격 차단 및 통보 각 공격팀의 공격에 대한 모니터링을 강화하기 위해 공격 및 방어 훈련 플랫폼을 통해 훈련의 전 과정을 감독, 기록, 감사 및 표시하여 훈련을 방지합니다. 사업의 정상적인 운영에 영향을 미칩니다. 훈련본부는 기술지원부대를 편성해 공격의 전 흐름을 기록·분석하고, 부적합 공격이 발견되면 불법 공격을 차단하고 수작업으로 이관해 공격팀에 보고해야 한다.
◆ 12.1 구성 및 기획 단계
금지된 공격방법 DDoS 공격, ARP 스푸핑 공격, DHCP 스푸핑, DNS(Domain Name System) 하이재킹 공격, 감염 및 자동 복제 바이러스, 멀티 데몬 트로이 목마 및 기타 공격 방법 예: 외부 광섬유 절단 및 모니터링 공격) ; 수비팀을 사서 공격 ; 합의된 시간 범위 외 공격 ; 합의된 IP 범위 외 공격
신중하게 사용하는 공격 방법 물리적 공격(스마트 출입 통제, 스마트 미터 등), 인트라넷 포트를 통한 대규모 스캔, 권한 획득 후 침해 작업, 비즈니스 데이터 수정, 메모리 오버플로, 일괄 쿼리
◆ 12.5 운동 요약 단계
1) 보고서 수집: 공격팀과 수비팀이 제출한 요약 보고서를 수집하고 정보를 요약합니다. 2) 백도어 지우기: 공격팀에서 보고하고 모니터링하는 공격 트래픽에 따라 공격자가 업로드한 백도어를 지우십시오. 3) 계정 및 권한 회수: 공격팀이 보고서를 제출한 후 대상 시스템에서 공격팀의 새로 생성된 계정을 포함하여 공격팀의 모든 계정과 권한을 회수합니다. 4) 복구장비 : 공격팀의 컴퓨터(또는 가상단말기)를 포맷하고 프로세스 데이터를 지운다. 5) 네트워크 접근권 회수 : 공격팀의 네트워크 접근권한을 회수한다. 6) 운동 데이터 정리: 주최자가 운동 데이터 내보내기를 완료한 후 플랫폼 측에서 운동 데이터를 정리합니다.