Autor: equipo de servicio de seguridad de Qi'anxin
◆ 1.3 Equipo rojo
Los roles y la división del trabajo de cada equipo en el ejercicio son los siguientes. Unidad de operación del sistema de destino: responsable del mando, organización y coordinación general del equipo rojo. Equipo de Operaciones de Seguridad: Responsable de la protección general y el monitoreo de ataques. Expertos ofensivos y defensivos: Responsables de analizar y juzgar los ataques sospechosos encontrados en el monitoreo de seguridad, guiando a los equipos de operaciones de seguridad, desarrolladores de software y otros departamentos relevantes para llevar a cabo una serie de trabajos como la rectificación de vulnerabilidades. ·Proveedores de seguridad: responsables de ajustar las estrategias de monitoreo de usabilidad, confiabilidad y protección de sus propios productos. ·Desarrollador de software: responsable de fortalecer y monitorear la seguridad de su propio sistema, y cooperar con expertos en ataque y defensa para corregir los problemas de seguridad encontrados. ·Equipo de operación y mantenimiento de la red: responsable de cooperar con expertos en ataque y defensa en el mantenimiento de la seguridad de la arquitectura de la red, la optimización general de la salida de la red, el monitoreo de la red y el rastreo de fuentes. Proveedor de la nube (si lo hay): responsable de fortalecer la seguridad de su propio sistema en la nube, monitorear la seguridad del sistema en la nube y ayudar a los expertos en ataque y defensa a corregir los problemas encontrados. ·Otros: En algunos casos, habrá otros miembros, y el trabajo específico debe asignarse de acuerdo con la situación real.
◆ 1.3.2 Tendencia de evolución del equipo rojo
Anteriormente, la mayoría de los equipos de defensa en el simulacro descubrieron que después del ataque, básicamente bloquearon la IP, desconectaron el sistema, repararon las lagunas y luego esperaron la próxima ola de ataques. El enemigo está en la oscuridad y yo estoy en la luz, así que solo puedo ser derrotado pasivamente. Ahora, una gran cantidad de equipos defensivos han fortalecido sus capacidades de trazabilidad y contramedidas, lanzaron una confrontación frontal con el equipo atacante y lograron muchas victorias.
Algunas unidades usarán honeypots y otros productos para enterrar trampas para inducir al equipo de ataque a saltar, y luego usarán el caballo de Troya en la trampa para capturar rápidamente el sistema del equipo de ataque.
◆ 1.4 Equipo morado
En los simulacros ofensivos y defensivos reales, el equipo morado asume el rol de organizador para llevar a cabo la organización y coordinación general del simulacro, y es responsable de diversas tareas, como organización del simulacro, monitoreo de procesos, orientación técnica, apoyo de emergencia, gestión de riesgos. control, resumen de simulacros, medidas técnicas y estrategias de optimización.
◆ 1.5 Debilidades expuestas en ejercicios ofensivos y defensivos reales
Muchas organizaciones no tienen políticas estrictas de control de acceso (ACL) y no existe o hay muy poco aislamiento de red entre la DMZ (área aislada) y la red de la oficina. La red de la oficina está conectada a Internet y la división de áreas de red no es estricto En línea, el atacante puede implementar fácilmente ataques entre regiones.
Durante los ejercicios ofensivos y defensivos, dado que la capacidad del defensor para monitorear, descubrir y rastrear la fuente de los ataques ha mejorado enormemente, el equipo atacante ha comenzado a recurrir más a nuevas estrategias de combate, como los ataques a la cadena de suministro.
A partir de organizaciones de la cadena de suministro, como proveedores de servicios de TI (equipos y software), proveedores de servicios de seguridad, proveedores de servicios de oficina y producción, busque vulnerabilidades de software, equipos y sistemas, descubra debilidades de personal y administración y lleve a cabo ataques. Los avances de sistema comunes incluyen sistemas de correo, sistemas OA, dispositivos de seguridad, software social, etc. Los métodos de avance comunes incluyen la explotación de vulnerabilidades de software y contraseñas de administrador débiles.
◆ 1.6 Establecer un sistema de seguridad práctico
El equipo de defensa ya no debe resolver los problemas con el pensamiento de "reparar y bloquear donde hay un problema", sino que debe planificar con anticipación y establecer un sistema de seguridad sistemático y práctico desde los aspectos de gestión, tecnología y operación, a fin de efectivamente responder a los desafíos de seguridad del entorno de combate real.
◆ Capítulo 2 Las 4 etapas del ataque BLU
Trabajo preparatorio, recopilación de información de la red objetivo, avance vertical de la red externa y expansión horizontal de la red interna
◆ 2.1.1 Preparación de la herramienta
Antes del simulacro real de ataque y defensa de la red, es necesario preparar las herramientas que se utilizarán en cada enlace de la tarea, incluida la recopilación de información, el escaneo y la detección, la voladura de contraseñas, la explotación de vulnerabilidades, el control remoto, la gestión de Webshell, la penetración de túneles, plataforma de integración y análisis de captura de paquetes de red, etc. herramienta.
Super Weak Password Check Tool (detección de escaneo de contraseña débil) es una herramienta de detección de contraseña débil que puede ejecutarse en la plataforma Windows, admite verificaciones de subprocesos múltiples por lotes y puede detectar rápidamente contraseñas débiles, cuentas de contraseñas débiles, soporte de contraseña y verificaciones de combinación de nombre de usuario , por lo tanto, mejore en gran medida la tasa de éxito de la inspección y respalde los servicios personalizados. Actualmente, la herramienta es compatible con la comprobación de contraseñas débiles y la voladura de servicios como SSH, RDP, Telnet, MySQL, SQL Server, Oracle, FTP, MongoDB, Memcached, PostgreSQL, SMTP, SMTP_SSL, POP3, POP3_SSL, IMAP, IMAP_SSL, SVN, VNC, redis, etc
Medusa es una herramienta para el descifrado por fuerza bruta de los servicios de inicio de sesión en el sistema Kali Linux. Basado en el paralelismo de subprocesos múltiples, puede simultáneamente usar la fuerza bruta en nombres de usuario o contraseñas en múltiples hosts y servidores en un intento de obtener acceso a los servicios de autenticación remota. Medusa es compatible con la mayoría de los servicios que permiten el inicio de sesión remoto, incluidos FTP, HTTP, SSH v2, SQL Server, MySQL, SMB, SMTP, SNMP, SVN, Telnet, VNC, AFP, CVS, IMAP, NCP, NNTP, POP3, PostgreSQL, rlogin, rsh, etc
Hydra es una herramienta de voladura automatizada que puede descifrar contraseñas débiles por fuerza bruta y se ha integrado en el sistema Kali Linux. Hydra puede realizar ataques de diccionario en múltiples protocolos, incluidos RDP, SSH (v1 y v2), Telnet, FTP, HTTP, HTTPS, SMB, POP3, LDAP, SQL Server, MySQL, PostgreSQL, SNMP, SOCKS5, Cisco AAA, Cisco auth, VNC , etc. Funciona en múltiples plataformas, incluidas Linux, Windows, Cygwin, Solaris, FreeBSD, OpenBSD, macOS y QNX/BlackBerry, etc.
Hashcat es una herramienta gratuita para descifrar contraseñas que afirma ser la herramienta más rápida para descifrar contraseñas basada en CPU para plataformas Linux, Windows y macOS. Hashcat admite varios algoritmos hash, incluidos LM Hashes, MD4, MD5, serie SHA, formato UNIX Crypt, MySQL, Cisco PIX. Admite varias formas de ataque, incluida la fuerza bruta, el ataque combinado, el ataque de diccionario, el ataque de huellas dactilares, el ataque híbrido, el ataque de máscara, el ataque de permutación, el ataque basado en reglas, el ataque de búsqueda de tabla y el ataque Toggle-Case.
Herramienta de explotación de vulnerabilidades de la versión completa de WebLogic WebLogic es un middleware basado en la arquitectura Java EE, que se utiliza para desarrollar, integrar, implementar y administrar servidores de aplicaciones Java para aplicaciones web distribuidas a gran escala, aplicaciones de red y aplicaciones de bases de datos. La herramienta de explotación de vulnerabilidades integra múltiples funciones automáticas de detección y utilización de varias versiones de los componentes de WebLogic. Puede detectar y utilizar automáticamente varias versiones de vulnerabilidades de WebLogic y realizar una explotación dirigida, como ejecutar comandos de acuerdo con los resultados de la detección y obtener derechos de control del servidor.
Struts2 es un framework de código abierto de Java Web muy poderoso.En el patrón de diseño MVC, Struts2 se usa como un controlador para establecer la interacción de datos entre el modelo y la vista. La herramienta integral de explotación de vulnerabilidades de Struts2 integra las funciones de detección y utilización de las vulnerabilidades de Struts2, que pueden realizar la ejecución de código arbitrario y la carga de archivos arbitrarios mediante el uso de vulnerabilidades de Struts2.
Debido a las necesidades de seguridad empresarial, muchas aplicaciones internas de la red de destino no pueden salir directamente de la red. Durante el proceso de ataque, el equipo azul necesita usar herramientas de penetración de la red interna para lograr un acceso de salto transfronterizo desde la red externa a la red interna, y usar el reenvío de puertos, la tecnología de tunelización y otros medios para lograr el acceso de reenvío al objetivo de la red interna. o asigne la IP de la red interna de destino a la red externa, y establezca un canal de comunicación seguro entre el cliente de control remoto y el terminal de destino para facilitar una mayor penetración y expansión desde el exterior hacia el interior.
FRP es una herramienta de proxy inverso de alto rendimiento que se puede utilizar para la penetración de la red interna. Es compatible con TCP, UDP, HTTP, HTTPS y otros tipos de protocolos. Utiliza principalmente máquinas en la red interna o detrás de cortafuegos para proporcionar servicios HTTP o HTTPS a El entorno de red externo Admite transmisión cifrada y penetración punto a punto
ngrok es una herramienta de proxy inverso de código abierto. El equipo azul puede usar ngrok para usar el servidor fronterizo (como un servidor web) como un servidor proxy inverso para establecer un canal seguro entre el cliente y el servidor fronterizo de destino, y el cliente puede acceder indirectamente a los recursos en diferentes servidores back-end a través del servidor proxy inverso
reGeorg es una herramienta que utiliza la Web como proxy. Se puede utilizar para conectarse al puerto abierto interno del servidor de destino cuando el servidor de destino está en la red interna o tiene una política de puerto. Utiliza Webshell para establecer un proxy SOCKS para la penetración de la red interna. El puerto se reenvía a la máquina local a través del túnel HTTP/HTTPS, formando un bucle de comunicación
Netsh (Network Shell) es una herramienta de secuencias de comandos de línea de comandos de configuración de red que viene con el sistema Windows. Se puede usar para implementar el reenvío de puertos modificando las configuraciones de red locales o remotas. Admite la configuración de agentes de reenvío de puertos IPv4 o IPv6, o puertos bidireccionales. reenvío entre IPv4 e IPv6.
◆ 2.2.2 Las principales tareas de recopilación de información en Internet
La estructura organizativa incluye la división del departamento de la unidad, la información del personal, las funciones laborales, las unidades subordinadas, etc.; los activos de TI incluyen el nombre de dominio, IP, segmento C, puerto abierto, servicio de operación, middleware web, aplicación web, aplicación móvil, arquitectura de red, etc. ; Información confidencial incluye información de códigos, información de documentos, información de buzones, información histórica de vulnerabilidades, etc.; Información de proveedores incluye información sobre contratos, sistemas, software, hardware, códigos, servicios, personal, etc.
◆ 2.4.3 Formas de Expansión Horizontal de Intranet
Las vulnerabilidades de la intranet a menudo tienen tres características: en primer lugar, las vulnerabilidades de la intranet son principalmente vulnerabilidades históricas, porque la intranet está principalmente restringida por la seguridad empresarial y no puede acceder directamente a Internet, y es difícil actualizar varios parches de vulnerabilidad de aplicaciones y dispositivos a tiempo; Fácil, buena conectividad de intranet, más servicios de puertos abiertos y pocas restricciones de políticas de seguridad, todo lo cual brinda una gran comodidad para explotar las vulnerabilidades de la intranet. puede conducir fácilmente a la situación de que la misma vulnerabilidad mate a todos los departamentos o subnodos.
Las vulnerabilidades de la intranet son muy difíciles de explotar y extremadamente letales. Por lo tanto, la tasa de éxito de la explotación de vulnerabilidades en la expansión de la intranet es muy alta y el daño causado suele ser muy grave, especialmente para las plataformas de administración integradas, hosts bastión, sistemas OA, si hay lagunas en nodos de red importantes, como los servidores de correo de la intranet, a menudo conducirá a que toda la red se termine en un solo recipiente.
Para la comodidad del trabajo de oficina de la intranet, los usuarios a menudo establecen políticas de acceso de seguridad relativamente flexibles para los servidores y las aplicaciones de la intranet, lo que también proporciona una gran comodidad para que el equipo azul use la penetración de falsificación de autenticación de contraseña en la expansión horizontal de la intranet.
La información de autenticación de seguridad de la intranet incluye la recopilación de la configuración de seguridad propia del servidor, la configuración del terminal de control remoto, el archivo del diccionario de contraseñas, la caché de autenticación del host personal o el hash de la contraseña del sistema, etc.
Los puntos clave para obtener información de autenticación de seguridad de intranet son los siguientes:
Documentos importantes del diccionario de contraseñas o archivos de configuración, incluidos archivos de topología de red, archivos de contraseñas y varios archivos de configuración de seguridad de servicios básicos
Contraseña de cuenta de conexión, hash de contraseña almacenado en XML en el grupo del sistema directorio de políticas;
Varias contraseñas de cuentas de correo electrónico almacenadas en herramientas de clientes de correo electrónico, incluidos Foxmail, Thunderbird, Outlook, etc.;
Información de autenticación de seguridad almacenada en clientes de control remoto, como VNC, SSH, VPN, SVN, FTP y otros clientes;
Información de contraseña obtenida por Hash, como Hash de usuario de red de dominio, Hash de usuario de host personal, token de usuario de red, etc.;
Varias contraseñas de cuenta de base de datos, incluidos archivos de conexión de base de datos o clientes de base de datos Varias contraseñas de cuenta de conexión de base de datos guardadas en herramientas de terminal;
Varias contraseñas de inicio de sesión web y cookies información guardada en navegadores, incluidos IE, Chrome, Firefox, navegadores 360, navegadores QQ, etc.
Hay muchas formas de phishing de intranet, como el correo de intranet, OA y el sistema de oficina móvil de intranet. Hay dos situaciones principales: una es usar estos derechos de administración del sistema para emitir notificaciones uniformes de phishing dirigido al controlar el correo de la intranet, OA y servidores de sistemas de oficinas móviles; la otra es obtener objetivos limitados en la intranet. En este caso, el objetivo bajo control se utiliza para pretender ser una relación de confianza para el phishing a través de la relación de comunicación del correo de intranet, OA y el sistema de oficina móvil.
Un ataque de abrevadero, como sugiere el nombre, consiste en colocar un "abrevadero" (trampa) en el camino de la víctima. Una práctica común es que los piratas implanten códigos de ataque maliciosos en el sitio web después de penetrar y controlar el sitio web visitado con frecuencia por el objetivo atacado.
◆ 3.1.6 Vulnerabilidad de omisión de verificación de autorización
La vulnerabilidad de omisión de verificación de autorización es un tipo de defecto de seguridad que puede acceder directamente a los recursos del sistema que requieren autorización sin autenticación de autorización, o acceder más allá de los derechos de acceso. El motivo de la vulnerabilidad es que el sistema de la aplicación responde incorrectamente al procesar las solicitudes de autenticación y autorización, y los usuarios pueden omitir el proceso de verificación de la autorización enviando los datos de la solicitud en un formato especialmente diseñado. Las vulnerabilidades de omisión de verificación de autorización pueden conducir a acceso no autorizado o acceso no autorizado. El acceso no autorizado se refiere al acceso directo a los recursos del sistema que requieren autenticación sin autorización. El acceso no autorizado se refiere a usuarios con derechos de acceso bajos, usuarios con derechos de acceso más altos o usuarios diferentes con los mismos derechos que pueden acceder entre sí.
◆ 3.3.1 Suplantación de identidad externa
Los formatos y formularios de archivo de señuelo comunes en los ejercicios reales de ataque y defensa de combate incluyen archivos ejecutables, scripts de rebote, macros de Office, paquetes de documentos de Office, archivos CHM, archivos LNK, archivos HTA, sufijo de archivo RTLO y paquetes comprimidos autoextraíbles, etc.
Para el personal de servicio al cliente, puede usar un tono más duro, requiriendo que el problema se resuelva de inmediato, y presionar al personal de servicio al cliente con el primer requisito del cliente; Para el personal del departamento de personal, use un tono de comunicación amigable, cree confiar a través de las necesidades de comunicación y esperar la oportunidad de enviar documentos de señuelo; Pretender realizar consultas y evaluaciones para el personal financiero, y realizar análisis y discusiones en un tono más profesional; · Para el personal de negocios, atraerlos para obtener ganancias y dejar que tomen la iniciativa de dejarse engañar.
Cuando el proceso de comunicación es relativamente fluido y la confianza se gana gradualmente; cuando las personas tienden a holgazanear en los días laborales, como de lunes a jueves cerca del final del horario de salida del trabajo, los viernes por la tarde, etc.
◆ 3.3.2 Suplantación de identidad en la intranet
Los materiales de phishing de intranet se pueden seleccionar de manera flexible de acuerdo con los métodos de phishing. Para phishing a través de intranet OA y servidor de correo, seleccione materiales que sean más interesantes para los objetivos de phishing, como: para gerentes de operación y mantenimiento de redes, seleccione materiales relacionados con la dinámica de seguridad de redes y la construcción de seguridad de redes; para personal y líderes comerciales importantes, luego seleccione temas relacionados con el contenido comercial de destino o la aplicación del sistema comercial. Además, los temas de salario y bienestar que más preocupan a todo el personal también son buenos materiales de phishing en la intranet.
◆ 3.3.3 Medidas de emergencia para la pesca
Cuando se utiliza un documento de señuelo para el phishing, el documento de señuelo a menudo no contiene el contenido real del material de señuelo. Es necesario enviar un documento normal con el mismo tema de material nuevamente para encubrir después de que el caballo de Troya haya sido phishing con éxito, por lo que para no despertar la sospecha de la otra parte.
Para la anormalidad del documento de phishing (como el documento no se puede abrir normalmente, el software antivirus del objetivo emite una alarma) que hace que la otra parte haga preguntas o pretenda no saber (si es normal en mi computadora, puede ser causado por la anormalidad de la versión del software y el entorno del sistema), o usar Algunos temas profesionales están confusos (por ejemplo, el documento usa una plantilla poco común y el problema del formato de la plantilla provoca una excepción), y al mismo tiempo descartar una normal documento para encubrir, y luego esperar la oportunidad de establecer el tipo de software antivirus y el entorno del sistema de la otra parte, y luego tratar con el antivirus o antivirus lo antes posible.evasión, en preparación para la posterior mejora de los métodos de ataque.
En caso de ser descubierto por la otra parte y puede ser analizado y rastreado por la otra parte, es necesario realizar un procesamiento anti-rastreo en los documentos de phishing o caballos de Troya. Los métodos específicos son los siguientes: Limpiar completamente el sistema operativo, Ruta del archivo o información del nombre de usuario de la computadora; Empaquetado u ofuscación del código de los archivos ejecutables del caballo de Troya, lo que aumenta la dificultad del análisis inverso; Información de campo clave, como el nombre de dominio, la dirección IP y el puerto requerido para recuperar y volver a conectarse al caballo de Troya al compilarlo Llevar elimine el procesamiento de cifrado para evitar fugas y evitar que se analice información confidencial; el nombre de dominio, la dirección IP y el puerto de la copia de seguridad del caballo de Troya utilizan un mecanismo de copia de seguridad, cada caballo de Troya integra más de 2 opciones de copia de seguridad y la dirección IP de un el nombre de dominio está bloqueado En algunos casos, puede entrar en juego una dirección IP de nombre de dominio alternativo.
◆ 3.4.1 Proveedor de red o plataforma
Infiltrarse en la red del proveedor de la red de destino, ubicar el punto de acceso de la red de destino (principalmente la puerta de enlace de enrutamiento) a través de la información proporcionada por la asignación o el servicio de IP de la red de destino dentro del proveedor, y utilizar la relación de comunicación de confianza de la puerta de enlace de enrutamiento o el límite de la red de destino La puerta de enlace de enrutamiento se infiltra, a través de la explotación de vulnerabilidades o el secuestro de datos de la red, obtiene la puerta de enlace de borde o el control de enrutamiento de la red de destino, y se infiltra y expande aún más en la intranet de destino. Un ejemplo común es que en un ataque APT, el control del ataque se lleva a cabo directamente en el operador de la red básica del país/región de destino y luego se utiliza como trampolín para infiltrarse y expandirse a la red de destino de la víctima.
Infiltrarse en la plataforma de alojamiento en la nube de la red objetivo y en la red del proveedor de recursos del servidor, ubicar la ubicación del negocio de alojamiento objetivo de acuerdo con el servicio de alojamiento, infiltrarse para obtener la autoridad de control del negocio de alojamiento, implantar código malicioso en el negocio de alojamiento para llevar a cabo el riego Ataques de agujeros en el personal de destino, o Encuentre la interfaz entre el servicio de alojamiento y la red local de destino (principalmente la interfaz de administración del servicio de alojamiento) a través del servicio de alojamiento, use exploits de lagunas o acceso falso para infiltrarse aún más y expandir la red local, y obtener el fulcro de control de acceso de la red local de destino. El ejemplo común actual es infiltrarse en el proveedor de la plataforma de alojamiento en la nube de destino, obtener la información de autenticación de acceso al alojamiento de la empresa objetivo y utilizar esta información de autenticación para el control de acceso.
◆ 3.4.2 Proveedor de servicios de seguridad
Los atacantes pueden atacar al personal de operación y mantenimiento de seguridad de terceros, obtener la autoridad del personal de operación y mantenimiento para administrar la red de destino y usar su autoridad de administración para acceder a la red de destino. Este tipo de ataque tiene una gran ocultación, porque la red objetivo no puede determinar con precisión si la conexión de acceso a través del servicio de operación y mantenimiento de terceros es el personal de operación y mantenimiento o el atacante.
◆ 3.5 Acceso VPN falsificado
Los métodos comunes de ataque para obtener información de autenticación de VPN son los siguientes: Phishing para la persona objetivo, tomar el control de la computadora personal objetivo y robar
información de acceso a VPN en una oportunidad; Obtener información de cuenta de puerta de enlace VPN directamente desde el Dispositivo de puerta de enlace VPN a través de la explotación de vulnerabilidades; Además de los métodos comunes en la red externa, la red interna a menudo puede obtener información de la contraseña de la cuenta VPN a través de la reutilización de contraseñas o contraseñas débiles.
Las formas comunes de controlar las puertas de enlace VPN incluyen: usar vulnerabilidades para implementar la ejecución remota de código, agregar cuentas de administrador, controlar dispositivos de puerta de enlace, robar credenciales de administración de dispositivos de puerta de enlace sin autenticación a través de vulnerabilidades de lectura de archivos arbitrarias u obtener bases de datos de administración en segundo plano a través de vulnerabilidades de inyección Información de contraseña de cuenta en .
◆ 3.6 Conexión externa del túnel encubierto
Durante el proceso de ataque, a menudo se detecta la acción o el tráfico de ataque y la intranet de destino no puede salir de la red. Esto requiere el uso de medios de conexión externa de túnel encubierto para realizar la ejecución encubierta de la acción de ataque y la comunicación encubierta de los datos de ataque, o para romper La restricción de aislamiento de la frontera de la red de destino realiza el control de acceso de salto transfronterizo de la red externa a la red interna.
La conexión externa del túnel encubierto se realiza principalmente a través de la combinación de comunicación encriptada y tecnología de reenvío de puertos: la comunicación encriptada es para encriptar los datos de comunicación antes de la encapsulación y transmisión.Filtrado de formato de archivo; el reenvío de puertos es el reenvío del tráfico de puertos de red desde una red nodo a otro nodo de red, el objetivo principal es realizar el salto direccional de la comunicación de red entre nodos de red, para realizar acceso indirecto a algunos nodos de red aislados.
Durante el proceso de ataque, se utiliza principalmente una herramienta de intranet de terceros para establecer un canal de comunicación seguro entre el cliente de control remoto y el terminal de destino atacado, a fin de realizar el salto transfronterizo del tráfico de comunicación de la red externa a la interna. red, completando así el objetivo de aislar la red interna El control de acceso brinda comodidad para una mayor penetración y expansión desde el exterior hacia el interior. Hay dos formas principales de lograr esto: proxy de reenvío, que utiliza un servidor fronterizo que puede comunicarse con la intranet, para darse cuenta de que el host de la intranet sale activamente de la red y se conecta a la terminal de control de red externa del atacante; proxy inverso , que utiliza el servidor fronterizo como proxy. El servidor realiza el acceso al host de la intranet desde el exterior hacia el interior. Las herramientas de terceros tienen las ventajas de admitir la comunicación encriptada, configurar libremente los puertos de reenvío, ser pequeños y prácticos, etc. La mayoría de ellos tienen potentes funciones de reenvío de puertos, que pueden realizar múltiples funciones, como el reenvío local, el reenvío remoto y el reenvío dinámico. Las herramientas de terceros comúnmente utilizadas incluyen: herramientas de reenvío de puertos, como la herramienta de comando Netsh que viene con Windows, la herramienta de comando ssh que viene con Linux, Netcat, HTran, Lcx, etc.; herramientas de proxy SOCKS, como frp, ngrok , Proxificador, etc.
En los simulacros de ataque y defensa reales, algunos módulos de funciones en segundo plano del dispositivo de borde de destino también se pueden usar para lograr el propósito de penetración de conexión externa oculta.Con el módulo de función PPTP, L2TP o SSL VPN, realiza el acceso encubierto de VPN al objetivo. intranet. Por lo general, la red de destino rara vez habilita dicha configuración de comunicación en el dispositivo de borde, y dicha configuración implica principalmente una comunicación de red subyacente, que es estable y oculta, y a menudo se convierte en otro método para el equipo azul cuando las herramientas de terceros no son efectivas.
◆ 3.8 Ataque de proximidad
A menudo hay más puntos ciegos de seguridad dentro del objetivo, como varias redes de comunicación inalámbrica, interfaces físicas o dispositivos terminales inteligentes. Los atacantes pueden usar estos puntos ciegos de seguridad para atravesar la línea de defensa de seguridad del objetivo de manera más encubierta e ingresar a la red interna, y finalmente darse cuenta de la profundidad de la penetración de la red de destino.
Ahora, las redes Wi-Fi se utilizan ampliamente en áreas de oficina. Puede usar la red Wi-Fi cerca del área de la oficina de destino para capturar paquetes de datos de comunicación Wi-Fi a través de dispositivos y herramientas inalámbricos, y enfocarse en datos que tienen autenticación de seguridad Wi-Fi. acceso Decodificación y análisis, descifrando su información de autenticación, para obtener derechos de acceso a la red Wi-Fi, o falsificando puntos de acceso (como los que se insinúan con nombres similares), usando puntos de acceso falsos con señales más fuertes o atacando rutas Wi-Fi reales para hacer los paraliza. Esto engaña a los internos para que se conecten a puntos de acceso falsos y roba las credenciales de Wi-Fi del objetivo.
La intrusión enmascarada es aprovechar las lagunas de supervisión de seguridad del objetivo, hacerse pasar por el personal interno del objetivo para ingresar al área de la oficina objetivo, buscar puertos de red cableados expuestos, dispositivos terminales inteligentes, hosts no supervisados y otros dispositivos que pueden tener condiciones de conexión de red interna dentro del destino y utilizar estos puertos de red o dispositivos conectados a la intranet de destino para llevar a cabo la penetración del ataque. Por ejemplo: el puerto de red expuesto se puede conectar directamente a la computadora y es muy probable que pueda acceder a la intranet de destino; la mayoría de los dispositivos terminales inteligentes tienen puertos USB, y el código malicioso se puede implantar con la ayuda de dichos puertos; los hosts no supervisados pueden pasar por alto la verificación autorizada Controlar a través de lagunas e ingresar directamente a la intranet.
◆ 4.1 La diferencia entre las capacidades de combate reales y las capacidades tradicionales
Para trabajos simples de minería de vulnerabilidades, generalmente solo es necesario probar la existencia de la vulnerabilidad y presentar un informe de vulnerabilidad. Sin embargo, en un entorno comercial práctico, la existencia de vulnerabilidades no significa que se puedan lograr ataques efectivos.
◆ 4.2 El mapa de habilidad de talento del equipo azul real
Basado en los principios de calificación y clasificación antes mencionados, este libro divide las capacidades reales de talento del equipo azul de combate en 3 niveles, 14 categorías y 85 habilidades específicas. Entre ellos, hay 20 ítems en las 2 categorías de habilidades básicas, 23 ítems en las 4 categorías de habilidades avanzadas y 42 ítems en las 8 categorías de habilidades avanzadas.
◆ 4.2.3 Habilidades Avanzadas
SafeSEH es un mecanismo de seguridad del sistema operativo Windows, que se utiliza especialmente para evitar que se altere la función de manejo de excepciones. Antes de que el programa llame a la función de manejo de excepciones, SafeSEH realizará una serie de comprobaciones de validez en la función de manejo de excepciones que se va a llamar. Si se encuentra que la función de manejo de excepciones no es confiable o tiene riesgos de seguridad, la llamada de la función de manejo de excepciones debe terminarse inmediatamente. Si el mecanismo SafeSEH no está bien diseñado o tiene deficiencias, los atacantes pueden explotarlo, engañarlo o eludirlo. Cuando el sistema es atacado, el programa se ejecutará de manera anormal y se activará la función de manejo de excepciones. Para permitir que el ataque continúe, el atacante a menudo necesita falsificar o alterar la función de manejo de excepciones del sistema para que el sistema no pueda percibir la ocurrencia de la excepción.
La función de DEP (Protección de ejecución de datos) es evitar que los datos de la página de datos se ejecuten como código ejecutable, lo que genera riesgos de seguridad. Desde la perspectiva de la memoria de la computadora, no existe una distinción clara entre el procesamiento de datos y el código, pero según la programación del sistema, la CPU realizará diferentes cálculos para diferentes datos en diferentes áreas de memoria. Esto hace que el sistema ejecute por error algunos "datos especiales" como código ejecutable al procesar algunos datos construidos cuidadosamente por el atacante, lo que desencadena la ejecución de comandos maliciosos. El propósito importante del diseño del mecanismo DEP es evitar que ocurra este tipo de problema; si el diseño del mecanismo DEP no es perfecto o hay deficiencias, los atacantes pueden usarlo, engañarlo o eludirlo.
PIE (ejecutable independiente de la posición, ejecutable independiente de la dirección) tiene básicamente el mismo significado que PIC (código independiente de la posición, código independiente de la dirección) y es una tecnología de implementación de bibliotecas de enlaces dinámicos en sistemas Linux o Android.
NX (No-eXecute, no ejecutable) es un tipo de tecnología DEP, que se utiliza para evitar que los datos de desbordamiento se ejecuten como código ejecutable en ataques de desbordamiento. El principio básico de NX es marcar la página de memoria donde se encuentran los datos como no ejecutable. Cuando el sistema operativo lee estos datos de desbordamiento, lanzará una excepción en lugar de ejecutar instrucciones maliciosas. Si el diseño del mecanismo NX no es perfecto o hay deficiencias, los atacantes pueden explotarlo y lanzar ataques de desbordamiento.
ASLR (Aleatorización del diseño del espacio de direcciones, aleatorización del espacio de direcciones) es un mecanismo de protección de la memoria que utiliza el sistema operativo para resistir los ataques de desbordamiento del búfer. Esta técnica hace que las direcciones de memoria de los procesos que se ejecutan en el sistema sean impredecibles, lo que hace que las vulnerabilidades asociadas con estos procesos sean mucho más difíciles de explotar.
SEHOP es la abreviatura de Protección de sobrescritura del controlador de excepciones estructurado, lo que significa Protección de sobrescritura del controlador de excepciones estructurado. Entre ellos, el manejo estructurado de excepciones se refiere a un método para realizar el manejo de excepciones en un programa de acuerdo con una determinada estructura de control o estructura lógica. Si uno o más nodos en la lista vinculada de manejo de excepciones estructuradas están cubiertos por datos construidos cuidadosamente por el atacante, puede causar que el flujo de ejecución del programa sea controlado, lo cual es un ataque SEH. SEHOP es un esquema de protección de seguridad para este tipo de ataques en el sistema operativo Windows.
GS significa verificación de seguridad del búfer, que es un mecanismo de monitoreo de seguridad para los búferes de Windows para evitar ataques de desbordamiento de búfer. El desbordamiento del búfer significa que cuando la computadora llena el búfer con bits de datos, los datos llenos exceden la capacidad del búfer en sí, y los datos desbordados sobrescribirán los datos legales. La situación ideal es: el programa verificará la longitud de los datos y no permitirá la entrada de caracteres que excedan la longitud del búfer. Pero muchos programas asumen que la longitud de los datos siempre coincide con el espacio de almacenamiento asignado, lo que crea peligros ocultos de desbordamiento de búfer, es decir, vulnerabilidades de desbordamiento de búfer. La función de GS es evitar ataques de desbordamiento de búfer realizando varias comprobaciones en los datos del búfer.
La red anónima generalmente se refiere a una red de comunicación en la que el receptor de la información no puede localizar la identidad y rastrear la ubicación física del remitente de la información, o el proceso de rastreabilidad es extremadamente difícil. Este tipo de red suele ocultar la identidad del iniciador mediante el uso de una red virtual especial compuesta por un software de comunicación específico en el entorno de Internet existente. Entre ellas, todo tipo de redes oscuras representadas por la red Tor (red cebolla) son redes anónimas de uso relativamente común.
Al robar la ID/cuenta de otras personas, el atacante no solo puede obtener la autoridad del sistema relacionada con la ID/cuenta y luego realizar operaciones ilegales, sino también hacerse pasar por la identidad del ID/propietario de la cuenta para realizar varias operaciones de red, a fin de lograr el propósito de ocultar la identidad.
El uso de un trampolín significa que el atacante no ataca directamente al objetivo, sino que utiliza un host intermedio como trampolín para atacar al objetivo a través de una serie de rutas preestablecidas. Hay dos razones principales para usar la máquina trampolín: una está restringida por las reglas de seguridad de la intranet, es posible que no se pueda acceder directamente a la máquina de destino y solo se puede acceder indirectamente a través de la máquina trampolín; la otra es usar la máquina trampolín , el atacante puede ocultarse hasta cierto punto Como resultado, la mayoría de los registros de operaciones que quedan en el sistema son realizados por la máquina de trampolín, lo que aumenta la dificultad del análisis de trazabilidad del defensor.
El fraude de identidad fraudulento se refiere al uso de medios técnicos para engañar al sistema de reconocimiento de identidad o a los analistas de seguridad, y luego usar de manera fraudulenta la identidad de otros para completar el sistema de inicio de sesión, realizar operaciones ilegales y lanzar programas maliciosos y otros ataques.
Un servidor proxy hace referencia a un dispositivo de servidor que proporciona específicamente agentes de acceso a Internet para otros dispositivos en red. En el caso de no usar un servidor proxy, el dispositivo en red se conectará directamente a Internet y se le asignará una dirección IP única en toda la red del operador; mientras usa un servidor proxy, el dispositivo en red primero accederá al servidor proxy, y luego pasar Un servidor proxy accede a Internet.
En algunos casos, los atacantes incluso configuran varios niveles de servidores proxy para ocultar más profundamente la identidad.
El dominio del conjunto de instrucciones de la CPU por parte del equipo azul determinará directamente la capacidad del equipo azul para excavar y explotar las vulnerabilidades a nivel del sistema. Actualmente, los conjuntos de instrucciones de CPU más comunes son x86, MIPS, ARM y PowerPC.
1) Comandante en jefe de operaciones: por lo general, la persona con la mayor capacidad integral en el equipo de ataque, que debe tener una fuerte conciencia organizativa, adaptabilidad y rica experiencia real en combate. Responsable de la formulación de la estrategia, distribución de tareas, control de progreso, etc. 2) Recolectores de inteligencia: responsables del reconocimiento de inteligencia y la recopilación de información. El contenido recopilado incluye, entre otros, la estructura organizativa del sistema de destino, los activos de TI, la fuga de información confidencial, la información del proveedor, etc. 3) Fabricantes de armas y equipos: Responsables de explotar vulnerabilidades y herramientas de escritura, son la fuerza de combate central del equipo de ataque, no solo deben ser capaces de encontrar y explotar vulnerabilidades, sino también esforzarse por lograr una explotación estable y profunda de vulnerabilidades en diferentes entornos. 4) Implementadores RBI: encargados de obtener puntos de acceso, realizar penetración Web, etc. Después de encontrar el eslabón débil, use lagunas o trabajadores sociales para obtener la autoridad de control del sistema de red externo; luego encuentre un canal para conectarse con la red interna y establezca una fortaleza (trampolín). 5) Personal de phishing de trabajadores sociales: responsable de los ataques de los trabajadores sociales. Aprovechando las debilidades humanas, como la conciencia de seguridad insuficiente o las capacidades de seguridad insuficientes, se llevan a cabo ataques de ingeniería social y el engaño se lleva a cabo a través de correos electrónicos de phishing o plataformas sociales, y luego penetra en la intranet. 6) Personal de penetración de intranet: responsable de la expansión horizontal luego de ingresar a la intranet. Usa la inteligencia de los recolectores de inteligencia combinada con otras debilidades para expandirte horizontalmente y expandir los resultados de la batalla. Trate de romper la autoridad del sistema central, controle las tareas centrales, obtenga datos centrales y finalmente complete el trabajo de avance objetivo.
◆ 5.4 Malentendidos: ofuscar el tráfico y evitar la detección
Encuentre múltiples sistemas con vulnerabilidades de acceso de permisos directos, ataque un determinado sistema con gran tráfico desde el frente, atraiga potencia de fuego y minimice el tráfico lateral para obtener permisos directamente y atravesar rápidamente la intranet.
Todos los miembros, excepto el líder del equipo, se enfocan en sitios web de marketing y han preparado muchos trampolines que pertenecen a diferentes segmentos de redes IP. No les importa si son descubiertos o bloqueados. Incluso usan escáneres de vulnerabilidades y se esfuerzan por abrir el sistema de análisis de amenazas de tráfico. Una "denegación de servicio distribuida" a gran escala hizo que los defensores del equipo rojo estuvieran ocupados con el análisis y la respuesta, mientras que el líder del equipo usó discretamente diferentes IP y huellas dactilares del navegador para infiltrarse en las aplicaciones web, tratando de usar la menor cantidad de tráfico. el servidor y dejar que los datos de amenazas se ahoguen en la inundación de ataques del sitio web de marketing
◆ 5.5 Desvíos: Ataques dirigidos a la cadena de suministro
Primero, al buscar palabras clave como "buenas noticias", "ganar la licitación", "firmar un contrato", "cooperación" y "aceptación", realice una investigación tipo alfombra de los proveedores y socios comerciales de la empresa dentro de toda la red.
◆ 5.6 Li Daitao Zombie: Evitar ataque, conseguir el objetivo
Reemplace la página de inicio del sitio web con una captura de pantalla; algunos cierran todas las interfaces de transmisión de datos e importan datos en forma de una tabla de Excel; algunos limitan la IP del sistema de destino de la intranet, permitiendo que solo acceda una determinada IP de administrador.
Si la empresa matriz no puede atacar, entonces ataca a la subsidiaria secundaria.
Si la subsidiaria de segundo nivel no puede atacar, entonces ataque a la subsidiaria de tercer nivel debajo de la subsidiaria de segundo nivel.
◆ 5.9 Combate cuerpo a cuerpo: penetración de fuente cercana, acceso directo a la intranet
Compre una insignia del mismo estilo que el objetivo en Internet, cree información de identidad falsa, pretenda ser un miembro del personal interno e ingrese al área de la oficina objetivo abiertamente durante el horario de oficina.
◆ 6.1 Etapa de preparación para la guerra: los soldados y los caballos no se mueven, la comida y el pasto van primero
Liderar el grupo. Para fortalecer la organización y el liderazgo de los ejercicios ofensivos y defensivos y asegurar la efectividad de los ejercicios ofensivos y defensivos, se debe establecer un grupo de liderazgo de ejercicios para unificar el liderazgo y el mando de los ejercicios ofensivos y defensivos. Las principales responsabilidades del equipo de liderazgo son las siguientes. ·Confirmar las responsabilidades del grupo de trabajo del ejercicio y facultar al grupo de mando para ejecutarlo. ·Participar en la reunión de puesta en marcha de la etapa de combate real en tiempo de guerra para levantar la moral. · Tomar decisiones importantes sobre incidentes de seguridad. · Realizar relaciones públicas de crisis.
Ejercer grupo de mando. Se establece un grupo de comando de instrucción bajo el grupo líder para organizar y desplegar tareas de instrucción ofensivas y defensivas, administrar y coordinar específicamente el trabajo de instrucción ofensiva y defensiva e informar a las unidades de nivel superior y al cuartel general en tiempo de guerra. Las principales responsabilidades del grupo de mando del ejercicio son las siguientes. · Toma de decisiones sobre el enfoque de la estrategia defensiva. ·Promover la implementación del mecanismo de trabajo, proceso y disposición del personal de guardia de cada grupo. ·Organizar la reunión ordinaria del día de defensa, contar y analizar los resultados de defensa del día y entregar el trabajo diario al grupo líder. · Coordinar y resolver otras cuestiones en el trabajo defensivo.
equipo de vigilancia. Está compuesto por personal de múltiples puntos de monitoreo como red, seguridad, sistema, aplicación, etc., para monitorear comportamientos de ataques sospechosos en tiempo real y realizar análisis preliminares; el personal del equipo de monitoreo debe tener la capacidad de penetración inicial.
Grupo de análisis del juicio. Llevar a cabo investigaciones y análisis sobre comportamientos sospechosos de intrusión.
Equipo de respuesta de Emergencia. Bloquee y elimine los ataques de manera oportuna, y cierre la sesión y refuerce los activos atacados.
Grupo de contramedidas de trazabilidad. Rastree la fuente del objeto de ataque, contrarreste al atacante y ayude en la compilación de informes de defensa.
grupo de inteligencia. Recopile pistas de ataques e inteligencia de vulnerabilidades con unidades de coordinación de inteligencia y proveedores (equipo, aplicación, servicio), y repórtelos a tiempo para lograr el intercambio de inteligencia.
grupo de seguridad. Brindar apoyo técnico para el entorno básico y la disponibilidad de instalaciones, y brindar apoyo logístico para los materiales vivos necesarios en el lugar de combate.
Grupo de Enlace de Coordinación. Responsable de la coordinación y enlace de unidades subordinadas, unidades externas, hermanos y unidades vecinas.
(1) Clasificación de activos 1) Clasificación de información confidencial. Utilice el servicio de inteligencia de fuga de información confidencial para clasificar la información confidencial expuesta por las unidades participantes en Internet y limpiarla u ocultarla, a fin de reducir el riesgo de que el equipo de ataque utilice la información. 2) Descubrimiento de activos de Internet. Utilice el servicio de descubrimiento de activos de Internet para clasificar los activos expuestos por las unidades participantes en Internet, encontrar activos y servicios desconocidos y formar una lista de activos del sistema de Internet; aclarar los atributos de los activos y la información de los activos, y limpiar los activos sin dueño, sin importancia y de alta activos de riesgo. 3) Clasificación de activos de intranet. Al clasificar los activos de la intranet, las versiones de los componentes, las personas responsables, la identificación de huellas dactilares, etc., se aclara el estado de los activos de la intranet y se forma una lista de activos para facilitar la rectificación y el refuerzo posteriores. En respuesta de emergencia, la persona responsable puede ser notificada en tiempo, y también se pueden identificar los componentes relacionados expuestos. Las vulnerabilidades se localizan y reparan de manera oportuna; y la identificación de sistemas importantes (incluidos los sistemas centralizados) también facilita la protección posterior de los sistemas importantes y la clasificación del flujo comercial. 4) Clasificar proveedores de terceros. Clasifique todos los proveedores externos, incluidos los fabricantes de equipos (equipos de red, equipos de seguridad, etc.), desarrolladores de aplicaciones y proveedores de servicios (servicios en la nube, servicios de operación y mantenimiento, etc.), y pídales que hagan un buen trabajo en su propia gestión de seguridad, su propio refuerzo de seguridad de productos y proporcionan soporte de monitor defensivo. 5) Separación de unidades de conexión empresarial. Clasifique todas las unidades de conexión comercial y formas de conexión, sistemas, regiones y entradas de IP para comprender el estado de protección y monitoreo, coopere con las unidades de conexión comercial participantes para la prevención y el control conjuntos, y establezca un mecanismo de informe de incidentes de seguridad. 6) Clasificación de activos en la nube. Al combinar la plataforma de administración de la nube, el software de la nube, el sistema operativo subyacente y los activos de la nube pública de la nube privada, se aclara el estado de los activos de la nube y se forma una lista de activos para facilitar la rectificación y el refuerzo posteriores. Se puede notificar a la persona responsable. a tiempo para la respuesta de emergencia, y las Vulnerabilidades expuestas en los componentes relacionados fueron localizadas y reparadas de manera oportuna.
(2) Clasificación de la arquitectura de la red 1) Clasificación de las rutas de acceso a la red. Aclarar el tipo, la ubicación y los nodos de red de las fuentes de acceso al sistema (incluidos los usuarios, dispositivos o sistemas), que son convenientes para el monitoreo posterior y el rastreo de fuentes, y garantizar la integridad del tráfico de monitoreo norte-sur después de que se resuelva la arquitectura de seguridad. . 2) Ordenar la ruta de acceso de operación y mantenimiento. Identificar si existen riesgos potenciales para la seguridad, facilitar la optimización posterior, la rectificación unificada y el refuerzo, y confirmar si existe una falta de equipos de protección y monitoreo. 3) Ordenar la arquitectura de seguridad. A través de la revisión del marco, evalúe si la división de los dominios de seguridad es razonable, si la ubicación de implementación del equipo de protección y monitoreo es adecuada, si hay deficiencias y si existen riesgos potenciales para la seguridad. 4) Despliegue de dispositivos de seguridad. Se recomienda que las unidades participantes repongan los equipos de seguridad pertinentes lo antes posible, para no afectar el buen desarrollo de los trabajos de protección de seguridad. Con base en la experiencia de proyectos de defensa en los últimos años, evaluar los equipos de protección de seguridad que le faltan al cliente en lugares clave.
(3) Inspección de seguridad 1) Inspección de seguridad de rutina. Las inspecciones de seguridad de rutina, es decir, la evaluación de seguridad tradicional y el trabajo de inspección, implican principalmente evaluaciones de seguridad sobre la seguridad de la red, la seguridad del host, la seguridad de la aplicación, la seguridad del terminal, la auditoría de registros, la copia de seguridad, etc. A través del trabajo de inspección de seguridad, se investigan exhaustivamente los riesgos existentes en el entorno de las unidades participantes y se elabora el "Informe de Rectificación de Riesgos" de acuerdo con los resultados de la salida de la inspección. 2) Inspección especial. Realice un inventario especial de métodos y objetivos de ataque clave utilizados por el equipo de ataque, principalmente relacionados con contraseñas y vulnerabilidades no autorizadas, controles importantes de seguridad del sistema, etc., para evitar en la medida de lo posible problemas de alto riesgo y bajo costo. 3) Detección de seguridad web. La detección de seguridad web debe centrarse en descubrir posibles vulnerabilidades de seguridad en la mayor medida y verificar si las vulnerabilidades de seguridad ocultas descubiertas anteriormente se han rectificado en su lugar. Cuando las condiciones lo permitan, realice inspecciones de seguridad web, como inspecciones de seguridad del código fuente, escaneo de vulnerabilidades de seguridad y pruebas de penetración para sistemas de información importantes. El enfoque debe estar en detectar enlaces débiles en intrusiones web, como contraseñas débiles, cargas de archivos arbitrarios y middleware. ejecución remota de comandos, inyección SQL, etc. (4) Ejercicios ofensivos y defensivos El propósito de los ejercicios ofensivos y defensivos es simular un combate real, probar los efectos del trabajo de las etapas de autoexamen de riesgo y fortalecimiento de la seguridad, probar los resultados del trabajo previo de cada grupo de trabajo, probar el la capacidad de la unidad para monitorear, descubrir, analizar y lidiar con ataques a la red, probar la Eficacia de las medidas de protección de seguridad y monitorear los medios técnicos, probar la comprensión tácita de la coordinación y cooperación de cada grupo de trabajo, y verificar completamente la racionalidad del plan técnico; resumir las responsabilidades del trabajo y la implementación del contenido del trabajo de monitoreo, alerta temprana, análisis, verificación, eliminación y otros enlaces, de acuerdo con la situación real de los simulacros ofensivos y defensivos, mejorar aún más el plan técnico y sentar una base sólida para el trabajo en tiempos de guerra.
◆ 6.2 Etapa de batalla: movilización antes de la guerra, levantar la moral
Los sistemas centralizados son generalmente los principales objetivos de los atacantes. Si elimina un sistema centralizado, puede obtener el control de todos los hosts dentro de su jurisdicción. Los sistemas centralizados incluyen servidores de controlador de dominio (Domain Controller), servidores DNS, servidores de respaldo, sistemas de gestión de operación y mantenimiento de ITSM, Zabbix, Nagios, máquinas bastión y otros sistemas integrados de monitoreo y mantenimiento, servidores de I+D, SVN, Git, terminales personales de I+D, operación y mantenimiento Terminal personal, e inicio de sesión de VPN y entrada de inicio de sesión único, etc.
◆ 6.4 Etapa de resumen: revisión exhaustiva, resumen de la experiencia
Los métodos de ataque de penetración tradicionales que suelen utilizar los equipos de ataque (como el ataque de ejecución de comandos de deserialización WebLoigc de uso frecuente, el ataque de ejecución remota de código JBoss, el ataque de ejecución remota de comandos Struts2, el ataque de acceso no autorizado de Redis, el ataque de vulnerabilidad Eternal Blue, el ataque de vulnerabilidad del sistema operativo Windows, la base de datos débil ataque de contraseña débil y sistema operativo, ataque de inicio de sesión anónimo de FTP, ataque de acceso no autorizado de rsync, ataque de método de OPCIONES HTTP, SSL/TLS existe, ataque de vulnerabilidad de ataque de Bar Mitzvah, ataque de falsificación X-Forwarded-For, etc.)
◆ 7.1 Limpieza de información: información sensible de Internet
Está estrictamente prohibido subir archivos con información confidencial a la plataforma de información pública y, a través de la recopilación periódica de información confidencial filtrada, descubrir y limpiar oportunamente la información confidencial de la unidad que ha estado expuesta en Internet, a fin de reducir el riesgo. de exposición de información confidencial de la unidad, al mismo tiempo aumenta el costo de tiempo del equipo de ataque para recopilar información confidencial y aumenta la dificultad de sus ataques posteriores.
◆ 7.4 Proteger el núcleo: encontrar puntos clave
Derechos de acceso abiertos de acuerdo con el "principio mínimo"; finalmente, el sistema de destino debe implementarse en la red interna, evitando en la medida de lo posible la apertura directa a Internet. Si las condiciones lo permiten, el software de protección de seguridad también se puede implementar para el host del sistema de destino y se puede llevar a cabo la restricción de la lista blanca del proceso en el host del sistema de destino.Durante la defensa, el estado de seguridad del sistema de destino se puede monitorear en tiempo real.
◆ 7.6 Defensa Activa: Monitoreo Integral
Al implementar las reglas de vinculación entre el sistema de conciencia situacional y el equipo de seguridad, se recopila la información de alarma del equipo de seguridad en toda la red. Después de que el sistema de conciencia situacional recibe la información de alarma de seguridad, emite automáticamente la estrategia de bloqueo de límites de acuerdo con el preestablecido reglas, para que el equipo de bloqueo pueda realizar acciones oportunas y efectivas.Bloquear e interceptar, lo que reduce en gran medida la participación manual
Capturar el comportamiento de los ataques al monitorear todo el tráfico de la red es actualmente la forma más efectiva de monitorear la seguridad.
◆ 8.1.1 Evitar la fuga de información del documento
Los atacantes suelen utilizar los siguientes tipos de sitios web o herramientas para buscar información de la unidad de destino: Sitios web académicos, como CNKI, Google Scholar y Baidu Academic; Discos de red, como Vdisk, Baidu Netdisk, 360 cloud disk, etc.; Código plataformas de alojamiento, como GitHub, Bitbucket, GitLab, Gitee, etc., sitios web de ofertas, sitios web de ofertas creados por ellos mismos, sitios web de ofertas de terceros, etc., bibliotecas, como Baidu Wenku, Douding.com, Daoke Baba, etc.; Plataformas sociales, como grupos WeChat, grupos QQ, foros, barras de publicaciones, etc.
La información de documentos más popular para los atacantes incluye las siguientes categorías. Manual del usuario: Manual del usuario para el sistema VPN, el sistema OA, el buzón de correo y otros sistemas, donde la información confidencial puede incluir la dirección de acceso a la aplicación, la información de la cuenta predeterminada, etc. ·Manual de instalación: Puede contener la contraseña predeterminada de la aplicación, la dirección de red interna y externa del dispositivo de hardware, etc. · Documento de entrega: puede contener información de configuración de la aplicación, topología de la red, información de configuración de la red, etc.
Las sugerencias de manejo específicas son las siguientes. 1) Está claro en el sistema que los documentos confidenciales no pueden cargarse en el disco de la red o la biblioteca, y deben revisarse con regularidad. 2) Los documentos sensibles relacionados con la unidad también son requeridos para personal de terceros, sin el permiso de la unidad de contrato, no deben ser compartidos con personal no relacionado con el proyecto, y no deben ser subidos a plataformas públicas como discos en línea. , bibliotecas y uso compartido de grupos QQ. Una vez descubierto, trátelo con seriedad. 3) Busque regularmente las palabras clave de su unidad en los diversos sitios web o herramientas mencionadas anteriormente. Si encuentra documentos confidenciales, solicite al cargador o plataforma que los elimine.
◆ 8.1.2 Fuga de alojamiento anticódigo
Las sugerencias para prevenir filtraciones de alojamiento de código son las siguientes: 1) Está estrictamente prohibido divulgar el código fuente del proyecto al sitio web de alojamiento de código; 2) Está prohibido que los desarrolladores copien el código fuente en una computadora no controlable; , Gitee y otros sitios web importantes de alojamiento de código para buscar palabras clave de su propia unidad, si encuentra el código fuente de su propia unidad en él, pídale al cargador o plataforma que lo elimine.
◆ 8.1.3 Anti-divulgación de vulnerabilidades históricas
La mayoría de los atacantes buscarán la información de vulnerabilidad del sistema de la unidad de destino o el sistema con la misma huella digital que el sistema de la unidad de destino en la plataforma de vulnerabilidad y probarán si la vulnerabilidad existe en función de la información de vulnerabilidad. será explotado directamente. Las principales plataformas actuales de informes de vulnerabilidades son las siguientes. · Plataforma Butian: https://www.butian.net/. Caja de vulnerabilidad: https://www.vulbox.com. · Espejo Nube Oscura: http://www.anquan.us. Hackerone: https://www.hackerone.com.
Las sugerencias de eliminación son las siguientes: 1) Recopile la información de vulnerabilidad sobre la unidad en las principales plataformas de vulnerabilidad y verifique la situación de reparación una por una; 2) Recopile la información de vulnerabilidad del mismo sistema comercial o sistema de código abierto utilizado por la unidad , y verificar si existe una plataforma vulnerable en el sistema de la unidad una por una Vulnerabilidades Divulgadas.
◆ 8.1.4 Evitar la fuga de información del personal
Las sugerencias de eliminación son las siguientes: 1) Mejore la conciencia de seguridad del personal, no abra fácilmente correos electrónicos sospechosos, no divulgue información confidencial a personal no confirmado y prohíba agregar personal no confirmado a grupos comerciales u otros grupos de trabajo confidenciales; Coloque información confidencial como la del administrador dirección de correo electrónico y número de teléfono en él.
◆ 8.1.5 Prevención de otras fugas de información
Las sugerencias de eliminación son las siguientes: 1) Interconectarse con los sistemas de unidades subordinadas, implementar equipos de protección y detección de seguridad a nivel de red y emitir informes de auditoría de código y pruebas de penetración antes de acceder a los sistemas de unidades subordinadas para garantizar la seguridad del acceso; 2) Hacer no comunicarse con otras unidades del sistema O contraseñas personales compartidas, si las condiciones lo permiten, se pueden agregar contraseñas dinámicas o autenticación clave para evitar que los piratas informáticos ataquen la base de datos; 3) Para los sistemas alojados en nubes públicas, los proveedores de la nube deben implementar por separado y deben No comparta segmentos de red con otros sistemas de unidades, componentes como servidores y almacenamiento para evitar ataques de canal lateral.
◆ 8.5 Arquitectura de protección mejorada
Si bien VPN brinda comodidad para todos, también es una de las rutas de ataque más populares para los atacantes. Una vez que la VPN se ve comprometida, el atacante no tendrá obstáculos después de ingresar a la intranet. Al mismo tiempo, debido a las propiedades de cifrado de VPN, los atacantes pueden eludir todos los dispositivos de protección de seguridad y no es fácil descubrirlos. Las recomendaciones de eliminación son las siguientes. 1) Para varios conjuntos de VPN, intente fusionarlos. 2) Para aquellos que reservan el canal de mantenimiento remoto de VPN del proveedor, adoptar la estrategia de abrirlo cuando se usa y cerrarlo cuando se agota. 3) Adopte la autenticación de doble capa de autenticación de acceso VPN+, es decir, agregue la autenticación de acceso y la autenticación de dos factores después de la marcación VPN. Una vez que la VPN se ve comprometida, la autenticación de acceso será la segunda barrera de protección. 4) Clasificación de cuentas VPN: las cuentas VPN, especialmente las del personal externo, se pueden desactivar si se pueden desactivar, y aquellas que no se pueden desactivar se pueden controlar de acuerdo con el período de tiempo de uso. 5) Limpieza de permisos de VPN: autorice claramente los recursos a los que se puede acceder después de conectarse a la VPN. 6) Limpieza de la cuenta VPN: limpie la cuenta de administración predeterminada; para la cuenta VPN asignada, cierre la que nunca se haya utilizado, adopte una política de contraseña segura para otras cuentas y cambie la contraseña regularmente.
◆ 8.5.3 Defensa del lado anfitrión
En la actualidad, el middleware web principal incluye WebLogic, WebSphere, JBoss, Tomcat, Nginx, etc. Hay varias formas de prevenir dichas vulnerabilidades: ① Aplicar parches de seguridad con regularidad; ② Actualizar el middleware a una versión segura; ③ Deshabilitar los componentes no utilizados con problemas de seguridad; ④ No abrir puertos de administración en segundo plano o directorios confidenciales al mundo exterior;
Las medidas de protección de fondo de middleware son las siguientes: ① Prohibir el uso de la ruta y el puerto predeterminados; ② Prohibir que el fondo de middleware se exponga a Internet; ③ El fondo de middleware restringe el acceso a direcciones en la intranet; ④ Prohibir el uso de el nombre de usuario y la contraseña predeterminados del middleware; ⑤ Prohibir Publicar el sistema de prueba en el entorno de producción.
Las sugerencias de refuerzo de seguridad para el middleware web son las siguientes: ① Modificar el nombre de usuario y la contraseña predeterminados; ② Deshabilitar la función de directorio del sitio web; ③ Eliminar la página de prueba; ④ Prohibir que el archivo de error se devuelva directamente al usuario en un entorno formal; ⑤ Si no hay un requisito especial, el método de transmisión HTTP está arreglado para permitir solo los métodos POST y GET; ⑥ habilitar la función de registro; ⑦ cerrar el permiso de operación de la carpeta de carga; ⑧ configurar una contraseña segura para el nombre de usuario del administrador de middleware;
◆ 9.1 Equipos de defensa fronteriza
Como el equipo de protección de seguridad más básico, el firewall también juega un papel importante en los ejercicios de combate reales, principalmente a través de los siguientes métodos de protección. 1) Configuración de ACL: al dividir el área de red dentro de la red, se aclaran las funciones de cada área y se realiza la ACL clara de permitir/denegar entre cada área para lograr un control de acceso estricto. Un gran número de combates ofensivos y defensivos han demostrado que el aislamiento interregional puede limitar en gran medida el alcance de la expansión horizontal de los atacantes. 2) Configuración de la lista negra: el firewall desplegado en la capa externa de la red puede bloquear el tráfico de ataques sospechosos de la capa de red agregando la dirección IP del atacante/atacante sospechoso a la lista negra en el combate real, evitando que el atacante continúe atacando. por lo tanto, obliga al atacante a cambiar la dirección IP del ataque, lo que retrasa el ritmo de ataque del atacante. 3) Enlace en tiempo real: de acuerdo con el entorno de implementación real, se puede vincular con productos de conciencia de tráfico y amenazas para bloquear la IP maliciosa analizada. 4) Prohibición automática: además, para hacer frente a ataques como el escaneo de manera más eficiente, se pueden implementar medidas de prohibición automática por medio de programación y otros métodos, para mejorar la eficiencia de la prohibición y reducir la presión de trabajo del personal de procesamiento.
◆ 9.1.2 Sistema de prevención de intrusiones
IPS se basa en un motor integrado eficiente para realizar análisis de tráfico de la red protegida, alarma y bloqueo de comportamiento anormal o de ataque, control de protección de seguridad de capa 2-7 y visualización del comportamiento del usuario y el estado de salud de la red. IPS no solo puede descubrir ataques, sino también implementar estrategias de defensa de forma automática y en tiempo real, garantizando de manera efectiva la seguridad de los sistemas de información.
◆ 9.1.4 Sistema de protección de la nube de seguridad de aplicaciones web
El sistema de protección en la nube de seguridad de aplicaciones web es un sistema que brinda protección de seguridad para sitios web en la nube y proporciona servicios de protección de seguridad basados en SaaS para sitios web. De acuerdo con las necesidades de seguridad reales y el status quo de los sitios web empresariales, integra capacidades de resolución de DNS inteligente, capacidades de protección DDoS, capacidades de protección contra ataques de aplicaciones web, capacidades de aceleración de CDN, capacidades de operación de seguridad y capacidades de gestión de configuración unificada en el mismo sistema de protección de seguridad, proporcionar a las empresas El sitio web proporciona capacidades de seguridad integrales, como WAF en la nube, anti-D en la nube, aceleración en la nube, protección contra ataques CC, anti-rastreador, duplicación de sitio completo (solo lectura re-protegida), monitoreo y alarmas en tiempo real, y seguridad visual. Puede reducir el riesgo de fuga de datos del sitio web y manipulación de la página web, mejorar la confiabilidad de los enlaces del sitio web y reducir la probabilidad de ser notificado o castigado por autoridades superiores/unidades de aplicación de la ley de seguridad de la red.
◆ 9.1.5 Sistema de detección de amenazas de correo electrónico
El sistema de detección de amenazas de correo electrónico debe usar una variedad de motores de detección de virus, combinar la inteligencia de amenazas y las bases de datos de reputación de URL para emitir juicios maliciosos sobre las URL y los archivos adjuntos en los correos electrónicos, y usar tecnología de espacio aislado dinámico, modelos de detección de comportamiento de correo electrónico y modelos de aprendizaje automático para descubrir amenazas avanzadas. amenazas y atacarlas por correo de ataque. A través del modelado de datos masivos y el análisis de correlación de escenas multidimensionales de correos electrónicos masivos, detección oportuna de amenazas avanzadas desconocidas
◆ 9.2 Equipo de prueba de seguridad
Las funciones principales que debe tener el equipo 1) Descubrimiento de activos y aplicaciones: Determinar el alcance de los activos de la empresa a través de la minería de datos y la investigación, y luego usar la tecnología de escaneo web, la tecnología de detección del sistema operativo, la tecnología de detección de puertos, la tecnología de detección de servicios y Web Varios Las tecnologías de detección, como la tecnología de rastreo, pueden descubrir activamente hosts/servidores, dispositivos de seguridad, dispositivos de red, dispositivos de control industrial, aplicaciones web, middleware, bases de datos, sistemas de correo y sistemas DNS en el sistema de información de las unidades participantes, y generar activos y lista de aplicaciones, la lista no solo incluye el tipo de dispositivo, el nombre de dominio, la IP, el puerto, sino que también puede identificar profundamente los detalles (tipo, versión, nombre del servicio, etc.) del middleware, la aplicación y la arquitectura técnica que se ejecuta en el activo. 2) Dibujo de retrato de activos de seguridad de la información: sobre la base del descubrimiento de activos y aplicaciones, clasifique y analice cada negocio y resuma la información según la situación real del sistema de información, las características comerciales, la importancia de los activos, etc., combinado con las mejores prácticas en seguridad de la información, y finalmente Formar el retrato exclusivo de activos de las unidades participantes, y construir el retrato exclusivo de activos de seguridad de la información de las unidades participantes. Una vez que se crea el retrato del activo, el activo se puede consultar y contar según el nombre de dominio, la IP, el puerto, el middleware, la aplicación, la arquitectura técnica, el estado de cambio, el tipo de negocio (personalizado) y otras condiciones.
◆ 9.2.2 Sistema de prueba de penetración automatizado
El método de detección de URL del sitio web consiste en tomar la huella digital del objetivo, recopilar información de la huella digital, como middleware, marco general del sitio web, lenguaje de desarrollo, sistema operativo, etc., encontrar complementos de vulnerabilidad relacionados en la biblioteca de complementos y encontrar vulnerabilidades existentes.
El método de detección de direcciones IP es escanear el puerto del objetivo, descubrir el servicio abierto al mundo exterior, identificar el tipo de servicio correspondiente y encontrar el complemento de vulnerabilidad relacionado, para juzgar si existe la vulnerabilidad.
El sistema de prueba de penetración automatizado proporciona una función de explotación con un solo clic, capaz de ejecutar comandos, ejecutar SQL, cargar archivos, recuperar Shell, cargar Webshell, descargar archivos, etc. La biblioteca de huellas dactilares web proporcionada por el sistema de prueba de penetración automatizado puede identificar más de 600 CMS (sistemas de gestión de contenido)
◆ 9.2.3 Sistema de detección de componentes de código abierto
La función principal que debe tener el dispositivo es la detección de código abierto: identifique con precisión los componentes de código abierto involucrados en el sistema de aplicación, ayude a las empresas a establecer un libro de activos de componentes de código abierto, genere la lista de activos de componentes de código abierto de cada sistema de software y proporcione la información de vulnerabilidad del componente de código abierto correspondiente, información del acuerdo de código abierto, sugerencias de rectificación para componentes de código abierto, etc. Al mismo tiempo, el equipo de servicio analiza las vulnerabilidades de seguridad de salida de acuerdo con el modelo de evaluación de vulnerabilidades, brinda prioridades de rectificación de vulnerabilidades científicas y razonables y sugerencias de rectificación, y brinda sugerencias de mitigación y refuerzo para componentes de código abierto que son difíciles de reparar, y también puede proporcionar vulnerabilidades de emergencia que no se pueden reparar Proporcionar verificación.
◆ 9.2.4 Sistema de gestión y auditoría de seguridad de operación y mantenimiento (host bastión)
El sistema de auditoría y gestión de seguridad de operación y mantenimiento (máquina fortaleza) se basa en el concepto de diseño del proceso de gestión de autenticación, autorización, acceso y auditoría, y realiza una gestión y auditoría de operación y mantenimiento unificados. El modo de implementación de derivación se adopta para cortar el acceso directo del terminal a la red y los recursos del servidor, y el método de proxy de protocolo se utiliza para realizar una gestión y control centralizados de la operación y el mantenimiento, supervisión en tiempo real del proceso, control de cumplimiento de acceso, y auditoría gráfica del proceso, y construir un conjunto de prevención previa para empresas, monitoreo en el evento y sistema de gestión de seguridad de auditoría posterior al evento.
◆ 9.3 Equipo de monitoreo de flujo
Basado en el tráfico de la red y los registros EDR del terminal, el sistema de concientización sobre amenazas de tráfico utiliza tecnologías como inteligencia de amenazas, motor de reglas, ejecución virtual de archivos y aprendizaje automático para descubrir con precisión ataques de red avanzados conocidos y nuevos ataques de red desconocidos en hosts y servidores de la red. ., use la plataforma local de big data para almacenar y consultar registros de tráfico y registros de terminales, y analizar, juzgar y rastrear eventos en función de la inteligencia de amenazas y el análisis de la cadena de ataques. Al mismo tiempo, combinado con NDR de límites, EDR de terminales y orquestación automática y Eliminación, las amenazas se pueden bloquear a tiempo.
◆ 9.3.2 Plataforma de operaciones de conciencia situacional y seguridad
La plataforma de operación de seguridad y conciencia situacional se basa en una plataforma de big data. Al recopilar registros masivos múltiples y heterogéneos, utiliza análisis de correlación, aprendizaje automático, inteligencia de amenazas y otras tecnologías para ayudar a las empresas a monitorear continuamente la situación de seguridad de la red y realizar la transformación de desde la defensa pasiva hasta la defensa activa. Proporciona a los administradores de seguridad apoyo en la toma de decisiones para la evaluación de riesgos y la respuesta a emergencias, y proporciona al personal de operaciones de seguridad herramientas de operaciones de seguridad para el descubrimiento, investigación y análisis de amenazas, y respuesta y eliminación.
◆ 9.3.3 Sistema Honeypot
La tecnología Honeypot es esencialmente una tecnología para engañar al atacante. Al organizar algunos hosts, servicios de red o información como cebo para atraer al atacante para que los ataque, el defensor puede capturar y analizar el comportamiento del ataque, comprender las herramientas y los métodos utilizados por el atacante y especular sobre su intención y motivación de ataque. las amenazas de seguridad que enfrenta, para mejorar las capacidades de protección de seguridad del sistema real a través de medios técnicos y de gestión.
1) Cebo activo: a través de la extracción de tráfico en tiempo real, el tráfico que apunta al cebo se atrae al recurso de cebo centralizado. 2) Emulación de múltiples dispositivos: combinado con la biblioteca de huellas dactilares del dispositivo (banner) de cientos de protocolos recopilados de big data en la nube, puede simular miles de dispositivos o servicios de red. Algunas herramientas de detección automatizadas para atacantes (como el escaneo de puertos de Nmap) pueden engañar mejor. 3) Alta imitación de activos: primero, use varios medios para estar lo más cerca posible de los activos reales; segundo, en función de los datos de tráfico y los datos de activos, haga que los activos simulados se acerquen lo más posible a los activos reales. 4) Trazabilidad y recopilación de pruebas: en función de las características del ataque, el tráfico se distribuye al honeypot correspondiente y se utiliza un mecanismo de seguimiento activo para rastrear la fuente de la cadena de ataque. Mediante el seguimiento de inteligencia y la agregación de información del atacante y los mecanismos de seguimiento, se forma un mapa de perfil de ataque completo. 5) Contramedidas activas: para los atacantes que ingresan a la plataforma de engaño y captura, las contramedidas se llevan a cabo hasta cierto punto, incluidas, entre otras, contramedidas a través de JSONP, contramedidas contra el engaño de la descarga de archivos, contramedidas de MySQL, contramedidas de RDP, etc. La información obtenida por las contramedidas de ataque incluye, entre otros, los datos de privacidad del navegador del atacante, la cuenta del host, la IP del host y el estado de apertura del puerto, la cuenta de la aplicación personal y la ID de identidad, etc.
◆ 9.4 Equipos de protección de terminales
Endpoint Detection and Response (EDR) es una extensión y complemento de los productos tradicionales de seguridad de terminales en términos de detección y respuesta de amenazas avanzadas. Evalúe los riesgos desconocidos en la red empresarial en diferentes dimensiones y use el motor de comportamiento como núcleo para usar la inteligencia de amenazas. para acortar el tiempo desde el descubrimiento de amenazas hasta su eliminación, reducir de manera efectiva las pérdidas comerciales, mejorar la visibilidad y mejorar las capacidades generales de seguridad.
◆ 9.4.2 Sistema de gestión de seguridad del servidor
El sistema de administración de seguridad del servidor es un producto de seguridad del servidor que ayuda a las empresas a implementar de manera eficiente la seguridad del servidor bajo una arquitectura de centro de datos híbrido al ser compatible con múltiples arquitecturas de virtualización y sistemas operativos. El sistema detecta y defiende contra códigos maliciosos conocidos y desconocidos y ataques de piratas informáticos en tiempo real y de manera efectiva a través de un agente liviano del lado del servidor, sondas WAF de aplicación y sistema de servidor de refuerzo de seguridad, sondas RASP y sondas de refuerzo de kernel; administración, microsegregación, ataque la trazabilidad, la operación y el mantenimiento automatizados, la inspección de referencia y otras funciones permiten una operación y un mantenimiento eficientes y seguros de los servidores.
◆ 9.4.3 Sistema de gestión de seguridad de virtualización
El sistema de administración de seguridad de virtualización es un producto de seguridad integral para entornos de computación en la nube o virtualización. El producto admite entornos de virtualización como vSphere, XEN, KVM e Hyper-V, y plataformas de computación en la nube como OpenStack, proporciona funciones como protección de hipervisor, refuerzo del sistema de host en la nube, protección contra malware y control de aplicaciones, y admite la gestión unificada de plataformas de virtualización heterogéneas, para escoltar los centros de datos en la nube de las unidades participantes.
◆ 9.4.4 Sistema de acceso de seguridad del terminal
El sistema de acceso de seguridad de terminales (Networks Access Control, NAC) se utiliza principalmente para resolver la protección de seguridad del acceso a dispositivos, la inspección de cumplimiento de la seguridad de acceso a la red, la autenticación de nombre real de usuarios y dispositivos, la seguridad de acceso del negocio principal y el borde de la red, acceso Cuestiones de gestión como la trazabilidad y la auditoría, para evitar amenazas de seguridad provocadas por el acceso ilegal de terminales a los recursos de la red.
◆ 9.4.5 Sistema de gestión de seguridad de terminales
El sistema de gestión de seguridad de terminales es una solución integrada de seguridad de terminales, que integra antivirus, control de seguridad de terminales, acceso a terminales, auditoría de terminales, control de periféricos, EDR y otras funciones, y es compatible con diferentes sistemas operativos y plataformas informáticas, lo que ayuda a las empresas a realizar integración de plataforma Protección de seguridad de terminal tridimensional con modernización, integración funcional e integración de datos.
◆ 9.5 Sistema de inteligencia de amenazas
Confiando en la visibilidad de amenazas y la comprensión integral de los riesgos y amenazas de la red derivados del análisis de la inteligencia de amenazas, los incidentes de ataque se pueden detectar rápidamente y se pueden tomar medidas rápidas y decisivas para contrarrestar las amenazas. La recopilación y el análisis de inteligencia de amenazas se ha convertido en una parte indispensable de la seguridad de la red.
◆ 10.1.4 Luchar tenazmente, defensa conjunta y control conjunto
Organigrama
◆ 10.3.2 Combate en tres etapas, resolviendo el dilema defensivo de los ejercicios
Habrá relativamente muchos incidentes de seguridad en la primera parte de la primera etapa, entre los cuales las alarmas de escaneo y prueba de herramientas representan una alta proporción.En este momento, el equipo de ataque está constantemente explorando la ruta del ataque.
En la última parte de la primera etapa, se encontrará que los incidentes de escaneo han disminuido, pero la vulnerabilidad y los incidentes de carga han aumentado. En este momento, el equipo de ataque ha encontrado algunas posibles rutas de ataque y continúa iniciando ataques tentativos.
La segunda etapa representa al equipo azul rompiendo la frontera e ingresando a la intranet. En la primera parte de la segunda etapa, habrá un aumento en los eventos de escaneo del host. Después de que el equipo azul encuentre el camino e intente atacar, lanzará un ataque violento contra el host objetivo. En este momento, el host atacado generará una gran cantidad de alarmas.
En la última parte de la segunda fase, los eventos de análisis del host disminuirán, pero aumentarán los eventos de seguridad de vulnerabilidades y del sistema operativo. El equipo de defensa debe garantizar la puntualidad y la eficacia del manejo de cada alarma.
En la primera parte de la tercera etapa, habrá un aumento simultáneo de eventos de escaneo, vulnerabilidad y carga. A medida que el ataque y la defensa se vuelven intensos, más recursos de ataque se concentrarán en la etapa final.
◆ 11.1 Elementos organizativos de ejercicios ofensivos y defensivos reales
El equipo de ataque generalmente está formado de forma independiente por varios proveedores de seguridad, y cada equipo de ataque generalmente está equipado con 3 a 5 personas. Bajo la premisa de la autorización, los ataques de penetración se llevan a cabo principalmente mediante la exploración de activos, el escaneo de herramientas y la penetración manual para obtener la autoridad y los datos del sistema objetivo del ejercicio. El equipo de defensa está compuesto por personal de las unidades participantes, proveedores de seguridad, etc., y es el principal responsable de proteger los bienes bajo la jurisdicción del equipo de defensa.
◆ 11.2 Forma de organización de los ejercicios ofensivos y defensivos reales
A partir de las necesidades reales, existen dos formas organizativas principales de ejercicios ofensivos y defensivos de combate reales. 1) Simulacros organizados por el estado, las autoridades de la industria y las agencias reguladoras. Dichos simulacros generalmente son organizados por órganos de seguridad pública en todos los niveles, departamentos de ciberseguridad e informatización en todos los niveles, gobiernos, finanzas, transporte, salud, educación, electricidad, operadores y otras autoridades industriales o agencias reguladoras nacionales. Para la infraestructura de información clave y los sistemas importantes de la industria, organice equipos de ataque y varias empresas e instituciones en la industria para realizar simulacros reales de ataque y defensa de la red. 2) Simulacros organizados por grandes empresas e instituciones. Las compañías financieras, los operadores, las agencias administrativas, las instituciones públicas y otras unidades gubernamentales y empresariales organizan equipos de ataque y empresas e instituciones para realizar simulacros reales de ataque y defensa de combate en respuesta a los requisitos de verificación para la efectividad de la construcción del sistema de defensa de seguridad empresarial.
◆ 11.4 Medidas para evitar riesgos en ejercicios reales de ataque y defensa
1) Está prohibido atacar comprando el equipo de defensa; 2) Está prohibido atacar mediante intrusión física, cortando y monitoreando fibras ópticas externas; 3) Está prohibido usar bloqueadores de radio y otros métodos de ataque que afecten directamente el funcionamiento del sistema de destino. (5) El caballo de Troya utilizado por la parte atacante requiere que la terminal de control del caballo de Troya utilice el software proporcionado por la sede del ejercicio. El caballo de Troya utilizado no debe eliminar automáticamente los archivos del sistema de destino, dañar el sector de arranque, propagarse activamente, infectar archivos, o causar tiempo de inactividad del servidor y otras funciones destructivas. El simulacro prohíbe el uso de virus y gusanos destructivos e infecciosos. (6) Bloqueo y notificación de ataques ilegales Para fortalecer el monitoreo de los ataques de cada equipo de ataque, todo el proceso del simulacro se supervisa, registra, audita y muestra a través de la plataforma de simulacros ofensivo y defensivo, para evitar el simulacro. afectando el normal funcionamiento de la empresa. El cuartel general de simulacros debe organizar unidades de soporte técnico para registrar y analizar el flujo completo de ataques, bloquear ataques ilegales cuando se encuentran ataques que no cumplen, y transferirlos al manejo manual e informar al equipo de ataque.
◆ 12.1 Etapa de organización y planificación
Métodos de ataque prohibidos Ataque DDoS; Ataque de suplantación de identidad ARP, Suplantación de identidad DHCP; Ataque de secuestro del sistema de nombres de dominio (DNS); Virus de infección y replicación automática; Caballo de Troya multidemon y otros métodos de ataque; Por ejemplo: Ataque por corte y monitorización de fibra óptica externa) ; Ataque comprando el equipo de defensa; Ataque fuera del rango de tiempo acordado; Ataque fuera del rango de IP acordado.
Métodos de ataque usados con precaución Ataque físico (como control de acceso inteligente, medidor inteligente); Escaneo a gran escala a través de puertos de intranet; Operaciones infractoras después de obtener permisos; Modificación de datos comerciales; Desbordamiento de memoria; Consulta por lotes.
◆ 12.5 Etapa de resumen del ejercicio
1) Recopilar informes: recopilar los informes resumidos presentados por el equipo atacante y el equipo de defensa y resumir la información. 2) Borrar la puerta trasera: de acuerdo con el tráfico de ataque informado y monitoreado por el equipo de ataque, borre la puerta trasera cargada por el atacante. 3) Recuperar cuentas y permisos: después de que el equipo atacante envíe el informe, se recuperarán todas las cuentas y permisos del equipo atacante, incluidas las cuentas recién creadas del equipo atacante en el sistema de destino. 4) Equipo de recuperación: formatee la computadora (o terminal virtual) del equipo atacante y borre los datos del proceso. 5) Recuperar el acceso a la red: recuperar el acceso a la red del equipo atacante. 6) Limpiar los datos del ejercicio: después de que el organizador termine de exportar los datos del ejercicio, limpiará los datos del ejercicio en el lado de la plataforma.