Auteur : Équipe du service de sécurité de Qi'anxin
◆ 1.3 Équipe rouge
Les rôles et la répartition des tâches de chaque équipe dans l'exercice sont les suivants. Unité d'exploitation du système cible : responsable du commandement général, de l'organisation et de la coordination de l'équipe rouge. Équipe des opérations de sécurité : responsable de la protection globale et de la surveillance des attaques. Experts offensifs et défensifs : chargés d'analyser et de juger les attaques suspectes trouvées dans la surveillance de la sécurité, de guider les équipes d'opérations de sécurité, les développeurs de logiciels et d'autres départements concernés pour effectuer une série de travaux tels que la rectification des vulnérabilités. · Fournisseurs de sécurité : responsables de l'ajustement des stratégies de surveillance de l'utilisabilité, de la fiabilité et de la protection de leurs propres produits. · Développeur de logiciels : chargé de renforcer et de surveiller la sécurité de son propre système, et de coopérer avec des experts en attaque et en défense pour corriger les problèmes de sécurité détectés. ·Équipe d'exploitation et de maintenance du réseau : responsable de la coopération avec les experts en attaque et en défense dans la maintenance de la sécurité de l'architecture réseau, l'optimisation globale de la sortie du réseau, la surveillance du réseau et le traçage des sources. Fournisseur de cloud (le cas échéant) : chargé de renforcer la sécurité de son propre système cloud, de surveiller la sécurité du système sur le cloud et d'aider les experts en attaque et en défense à corriger les problèmes détectés. ·Autres : dans certains cas, il y aura d'autres membres, et le travail spécifique doit être attribué en fonction de la situation réelle.
◆ 1.3.2 Tendance d'évolution de l'équipe rouge
Auparavant, la plupart des équipes de défense participant à l'exercice avaient constaté qu'après l'attaque, elles bloquaient essentiellement l'IP, déconnectaient le système, réparaient les failles, puis attendaient la prochaine vague d'attaques. L'ennemi est dans l'obscurité et je suis dans la lumière, donc je ne peux être battu que passivement. Désormais, un grand nombre d'équipes défensives ont renforcé leurs capacités de traçabilité et de contre-mesures, lancé une confrontation frontale avec l'équipe attaquante et remporté de nombreuses victoires.
Certaines unités utiliseront des produits tels que des pots de miel pour enterrer les pièges afin d'inciter l'équipe attaquante à sauter dedans, puis utiliseront les chevaux de Troie dans les pièges pour capturer rapidement le système de l'équipe attaquante.
◆ 1.4 Équipe violette
Dans les exercices offensifs et défensifs proprement dits, l'équipe violette assume le rôle d'organisateur pour mener à bien l'organisation et la coordination globales de l'exercice, et est responsable de diverses tâches telles que l'organisation de l'exercice, le suivi des processus, les conseils techniques, le soutien d'urgence, la gestion des risques. contrôle, récapitulatif des exercices, mesures techniques et stratégies d'optimisation .
◆ 1.5 Faiblesses exposées dans les exercices offensifs et défensifs réels
De nombreuses organisations n'ont pas de politiques strictes de contrôle d'accès (ACL) et il n'y a pas ou peu d'isolation réseau entre la DMZ (zone isolée) et le réseau du bureau. Le réseau du bureau est connecté à Internet et la division des zones de réseau n'est pas En ligne, l'attaquant peut facilement mettre en œuvre des attaques interrégionales.
Pendant les exercices offensifs et défensifs, alors que la capacité du défenseur à surveiller, découvrir et retracer la source des attaques a été considérablement améliorée, l'équipe attaquante a commencé à se tourner davantage vers de nouvelles stratégies de combat telles que les attaques de la chaîne d'approvisionnement.
En partant des organisations de la chaîne d'approvisionnement telles que les fournisseurs de services informatiques (équipements et logiciels), les fournisseurs de services de sécurité, les fournisseurs de services de bureau et de production, recherchez les vulnérabilités des logiciels, des équipements et des systèmes, découvrez les faiblesses du personnel et de la gestion et lancez des attaques. Les percées courantes du système incluent les systèmes de messagerie, les systèmes OA, les dispositifs de sécurité, les logiciels sociaux, etc. Les méthodes courantes de percée comprennent l'exploitation des vulnérabilités logicielles et des mots de passe administrateur faibles.
◆ 1.6 Mettre en place un système de sécurité pratique
L'équipe de la défense ne devrait plus résoudre les problèmes en pensant «réparer et bloquer là où il y a un problème», mais devrait planifier à l'avance et établir un système de sécurité systématique et pratique des aspects de la gestion, de la technologie et de l'exploitation, de manière à répondre aux défis réels de sécurité de l'environnement de combat.
◆ Chapitre 2 Les 4 étapes de l'attaque BLU
Travaux préparatoires, collecte d'informations sur le réseau cible, percée verticale du réseau externe et expansion horizontale du réseau interne
◆ 2.1.1 Préparation de l'outil
Avant l'exercice d'attaque et de défense du réseau proprement dit, il est nécessaire de préparer les outils qui seront utilisés dans chaque lien de la tâche, y compris la collecte d'informations, l'analyse et la détection, le dynamitage des mots de passe, l'exploitation des vulnérabilités, le contrôle à distance, la gestion Webshell, la pénétration de tunnel, plate-forme d'analyse et d'intégration de capture de paquets réseau, etc. outil.
Super Weak Password Check Tool (détection d'analyse de mot de passe faible) est un outil de détection de mot de passe faible qui peut s'exécuter sur la plate-forme Windows, prend en charge les vérifications multithread par lots et peut détecter rapidement les mots de passe faibles, les comptes de mots de passe faibles, la prise en charge des mots de passe et le nom d'utilisateur. contrôles combinés, améliorant ainsi considérablement le taux de réussite de l'inspection et prenant en charge les services personnalisés. L'outil prend actuellement en charge la vérification des mots de passe faibles et le dynamitage de services tels que SSH, RDP, Telnet, MySQL, SQL Server, Oracle, FTP, MongoDB, Memcached, PostgreSQL, SMTP, SMTP_SSL, POP3, POP3_SSL, IMAP, IMAP_SSL, SVN, VNC, Redis, etc...
Medusa est un outil de piratage par force brute des services de connexion sous le système Linux Kali. Basé sur le parallélisme multithread, il peut simultanément forcer brutalement les noms d'utilisateur ou les mots de passe sur plusieurs hôtes et serveurs dans le but d'accéder à des services d'authentification à distance. Medusa prend en charge la plupart des services permettant la connexion à distance, notamment FTP, HTTP, SSH v2, SQL Server, MySQL, SMB, SMTP, SNMP, SVN, Telnet, VNC, AFP, CVS, IMAP, NCP, NNTP, POP3, PostgreSQL, rlogin , RSH, etc.
Hydra est un outil de dynamitage automatisé qui peut craquer par force brute des mots de passe faibles et a été intégré au système Kali Linux. Hydra peut effectuer des attaques par dictionnaire sur plusieurs protocoles, notamment RDP, SSH (v1 et v2), Telnet, FTP, HTTP, HTTPS, SMB, POP3, LDAP, SQL Server, MySQL, PostgreSQL, SNMP, SOCKS5, Cisco AAA, Cisco auth, VNC , etc. Il fonctionne sur plusieurs plates-formes, notamment Linux, Windows, Cygwin, Solaris, FreeBSD, OpenBSD, macOS et QNX/BlackBerry, etc.
Hashcat est un outil de craquage de mot de passe gratuit qui prétend être l'outil de craquage de mot de passe basé sur le processeur le plus rapide pour les plates-formes Linux, Windows et macOS. Hashcat prend en charge divers algorithmes de hachage, notamment LM Hashes, MD4, MD5, la série SHA, le format UNIX Crypt, MySQL, Cisco PIX. Il prend en charge diverses formes d'attaque, notamment la force brute, l'attaque combinée, l'attaque par dictionnaire, l'attaque par empreinte digitale, l'attaque hybride, l'attaque par masque, l'attaque par permutation, l'attaque basée sur des règles, l'attaque par recherche de table et l'attaque à bascule.
WebLogic Full Version Vulnerability Exploitation Tool WebLogic est un middleware basé sur l'architecture Java EE, qui est utilisé pour développer, intégrer, déployer et gérer des serveurs d'applications Java pour des applications Web distribuées à grande échelle, des applications réseau et des applications de base de données. L'outil d'exploitation des vulnérabilités intègre les fonctions de détection et d'utilisation automatiques de plusieurs vulnérabilités dans diverses versions des composants WebLogic, qui peuvent automatiquement détecter et utiliser les vulnérabilités de diverses versions de WebLogic, effectuer une exploitation ciblée telle que l'exécution de commandes en fonction des résultats de la détection et obtenir autorité de contrôle du serveur
Struts2 est un framework open source Web Java très puissant. Dans le modèle de conception MVC, Struts2 est utilisé comme contrôleur pour établir l'interaction des données entre le modèle et la vue. L'outil complet d'exploitation des vulnérabilités Struts2 intègre les fonctions de détection et d'utilisation des vulnérabilités Struts2, qui peuvent réaliser l'exécution de code arbitraire et le téléchargement de fichiers arbitraires en utilisant les vulnérabilités Struts2
En raison des besoins de sécurité de l'entreprise, de nombreuses applications internes du réseau cible ne peuvent pas sortir directement du réseau. Pendant le processus d'attaque, l'équipe bleue doit utiliser des outils de pénétration du réseau interne pour obtenir un accès de saut transfrontalier du réseau externe au réseau interne, et utiliser le transfert de port, la technologie de tunnellisation et d'autres moyens pour obtenir un accès de transfert à la cible du réseau interne. ou mapper l'adresse IP du réseau interne cible sur le réseau externe, et établir un canal de communication sécurisé entre le client de contrôle à distance et le terminal cible pour faciliter une pénétration et une expansion supplémentaires de l'extérieur vers l'intérieur.
FRP est un outil de proxy inverse hautes performances qui peut être utilisé pour la pénétration du réseau interne. Il prend en charge TCP, UDP, HTTP, HTTPS et d'autres types de protocoles. Il utilise principalement des machines du réseau interne ou derrière des pare-feu pour fournir des services HTTP ou HTTPS à l'environnement réseau externe Prise en charge de la transmission cryptée et de la pénétration point à point
ngrok est un outil de proxy inverse open source. L'équipe bleue peut utiliser ngrok pour utiliser le serveur frontalier (tel qu'un serveur Web) comme serveur proxy inverse pour établir un canal sécurisé entre le client et le serveur frontalier cible, et le client peut accéder indirectement aux ressources sur différents serveurs principaux via le serveur proxy inverse
reGeorg est un outil qui utilise le Web comme proxy. Il peut être utilisé pour se connecter au port ouvert interne du serveur cible lorsque le serveur cible est sur le réseau interne ou a une politique de port. Il utilise Webshell pour établir un proxy SOCKS pour la pénétration du réseau interne. Le port est transmis à la machine locale via le tunnel HTTP/HTTPS, formant une boucle de communication
Netsh (Network Shell) est un outil de script de ligne de commande de configuration réseau fourni avec le système Windows. Il peut être utilisé pour implémenter la redirection de port en modifiant les configurations réseau locales ou distantes. Il prend en charge la configuration des agents de redirection de port IPv4 ou IPv6, ou des ports bidirectionnels. transfert entre IPv4 et IPv6.
◆ 2.2.2 Les principales tâches de la collecte d'informations sur Internet
La structure organisationnelle comprend la division du service de l'unité, les informations sur le personnel, les fonctions professionnelles, les unités subordonnées, etc. ; les actifs informatiques comprennent le nom de domaine, l'IP, le segment C, le port ouvert, le service d'exploitation, le middleware Web, l'application Web, l'application mobile, l'architecture réseau, etc. ; Les informations sensibles incluent les informations sur les codes, les informations sur les documents, les informations sur les boîtes aux lettres, les informations sur les vulnérabilités historiques, etc. ; Les informations sur les fournisseurs incluent des informations sur les contrats, les systèmes, les logiciels, le matériel, les codes, les services, le personnel, etc.
◆ 2.4.3 Modes d'expansion horizontale de l'intranet
Les vulnérabilités de l'intranet ont souvent trois caractéristiques : premièrement, les vulnérabilités de l'intranet sont principalement des vulnérabilités historiques, car l'intranet est principalement limité par la sécurité de l'entreprise et ne peut pas accéder directement à Internet, et il est difficile de mettre à jour divers correctifs de vulnérabilité des applications et des appareils à temps ; Facile, une bonne connectivité intranet, des services de port plus ouverts et peu de restrictions de politique de sécurité, qui offrent tous une grande commodité pour exploiter les vulnérabilités de l'intranet.Les caractéristiques de l'industrie, les applications métier et les plates-formes système déployées sur l'intranet sont principalement mises en œuvre sur la même plate-forme ou infrastructure, ce qui peut facilement conduire à la situation où la même vulnérabilité tue tous les départements ou sous-nœuds.
Les vulnérabilités de l'intranet sont très difficiles à exploiter et extrêmement mortelles.Par conséquent, le taux de réussite de l'exploitation des vulnérabilités dans l'expansion de l'intranet est très élevé et les dommages causés sont souvent très graves, en particulier pour les plates-formes de gestion intégrées, les hôtes bastion, les systèmes OA, s'il existe failles dans les nœuds de réseau importants tels que les serveurs de messagerie intranet, cela conduira souvent à la terminaison du réseau entier dans un seul pot.
Pour la commodité du travail de bureau intranet, les utilisateurs définissent souvent des politiques d'accès de sécurité relativement lâches pour les serveurs et applications intranet, ce qui offre également une grande commodité à l'équipe bleue pour utiliser la pénétration de la contrefaçon d'authentification par mot de passe dans l'expansion horizontale de l'intranet.
Les informations d'authentification de sécurité intranet incluent la collecte de la propre configuration de sécurité du serveur, la configuration du terminal de contrôle à distance, le fichier de dictionnaire de mots de passe, le cache d'authentification de l'hôte personnel ou le hachage du mot de passe système, etc.
Les points clés pour obtenir des informations d'authentification de sécurité intranet sont les suivants :
Documents importants du dictionnaire de mots de passe ou fichiers de configuration, y compris les fichiers de topologie réseau, les fichiers de mots de passe et divers fichiers de configuration de sécurité de service de base
; Mot de passe du compte de connexion, hachage du mot de passe stocké en XML dans le groupe système répertoire de politiques ;
divers mots de passe de compte de messagerie stockés dans des outils de client de messagerie, y compris Foxmail, Thunderbird, Outlook, etc. ;
informations d'authentification de sécurité stockées dans des clients de contrôle à distance, tels que VNC, SSH, VPN, SVN, FTP et d'autres clients ;
informations de mot de passe obtenues par Hash, comme l'utilisateur du réseau de domaine Hash, l'utilisateur hôte personnel Hash, le jeton d'utilisateur du réseau, etc. ;
Divers mots de passe de compte de base de données, y compris les fichiers de connexion à la base de données ou les clients de la base de données Divers mots de passe de compte de connexion à la base de données enregistrés dans les outils du terminal ;
Divers mots de passe de connexion Web et cookies les informations enregistrées dans les navigateurs, y compris IE, Chrome, Firefox, les navigateurs 360, les navigateurs QQ, etc.
Il existe de nombreuses façons de phishing intranet, telles que le courrier intranet, OA et le système de bureau mobile intranet. Il existe deux situations principales : l'une consiste à utiliser ces droits de gestion du système pour émettre de manière uniforme des notifications de phishing ciblé lors du contrôle de la messagerie intranet, des serveurs OA et du système de bureau mobile ; l'autre consiste à obtenir des cibles limitées sur l'intranet. Dans ce cas, la cible under control est utilisé pour faire semblant d'être une relation de confiance pour le phishing via la relation de communication de la messagerie intranet, OA et du système de bureau mobile.
Une attaque de point d'eau, comme son nom l'indique, consiste à placer un "trou d'eau" (piège) sur le chemin de la victime. Une pratique courante est que les pirates implantent des codes d'attaque malveillants sur le site Web après avoir pénétré et contrôlé le site Web fréquemment visité par la cible attaquée.
◆ 3.1.6 Vulnérabilité de contournement de vérification d'autorisation
La vulnérabilité de contournement de vérification d'autorisation est une sorte de défaut de sécurité qui peut accéder directement aux ressources système qui nécessitent une autorisation sans authentification d'autorisation, ou un accès au-delà des droits d'accès. La raison de cette vulnérabilité est que le système d'application ne répond pas correctement lors du traitement des demandes d'authentification et d'autorisation, et les utilisateurs peuvent contourner le processus de vérification d'autorisation en envoyant les données de la demande dans un format spécialement conçu. Les vulnérabilités de contournement de la vérification des autorisations peuvent entraîner un accès non autorisé ou un accès non autorisé. L'accès non autorisé fait référence à l'accès direct aux ressources système qui nécessitent une authentification sans autorisation. L'accès non autorisé fait référence aux utilisateurs avec des droits d'accès faibles, aux utilisateurs avec des droits d'accès plus élevés ou à différents utilisateurs avec les mêmes droits qui peuvent accéder les uns aux autres.
◆ 3.3.1 Hameçonnage externe
Les formats et formulaires de fichiers leurres courants dans les exercices d'attaque et de défense de combat réels incluent les fichiers exécutables, les scripts de rebond, les macros Office, les ensembles de documents Office, les fichiers CHM, les fichiers LNK, les fichiers HTA, le suffixe de fichier RTLO et les packages compressés auto-extractibles, etc.
Pour le personnel du service client, vous pouvez utiliser un ton plus dur, exigeant que le problème soit résolu immédiatement, et mettre la pression sur le personnel du service client avec la première exigence du client ; Pour le personnel du service du personnel, utilisez un ton de communication amical, construisez confiance par le biais de besoins de communication et attendez l'occasion d'envoyer des documents leurres ; Faites semblant de mener des consultations et des évaluations pour le personnel financier, et effectuez des analyses et des discussions sur un ton plus professionnel ; · Pour le personnel commercial, attirez-les à des fins lucratives et laissez-les prendre l'initiative d'être dupe.
Lorsque le processus de communication est relativement fluide et que la confiance est progressivement acquise ; lorsque les gens ont tendance à se relâcher les jours de travail, comme du lundi au jeudi vers la fin de l'heure de repos, le vendredi après-midi, etc.
◆ 3.3.2 Hameçonnage intranet
Les matériaux de phishing intranet peuvent être sélectionnés de manière flexible en fonction des méthodes de phishing. Pour l'hameçonnage via intranet OA et serveur de messagerie, sélectionnez des documents qui sont plus intéressants pour les cibles d'hameçonnage, tels que : pour les responsables de l'exploitation et de la maintenance du réseau, sélectionnez des documents liés à la dynamique de la sécurité du réseau et à la construction de la sécurité du réseau ; pour le personnel et les dirigeants importants de l'entreprise, sélectionnez ensuite sujets liés au contenu métier cible ou à l'application du système métier. De plus, les problèmes de salaire et de bien-être qui préoccupent davantage tout le personnel sont également de bons supports de phishing sur l'intranet.
◆ 3.3.3 Mesures d'urgence pour la pêche
Lors de l'utilisation d'un document leurre pour le phishing, le document leurre ne contient souvent pas le contenu réel du matériel leurre. Il est nécessaire d'envoyer à nouveau un document normal avec le même thème matériel pour dissimuler une fois que le cheval de Troie a été hameçonné avec succès, donc pour ne pas éveiller les soupçons de l'autre partie.
Pour l'anomalie du document de phishing (telle que le document ne peut pas être ouvert normalement, le logiciel anti-virus de la cible alerte) amenant l'autre partie à poser des questions ou à faire semblant de ne pas savoir (si c'est normal sur mon ordinateur, cela peut être causé par l'anomalie de la version du logiciel et de l'environnement système), ou utilisez Certains sujets professionnels sont confus (par exemple, le document utilise un modèle peu commun et le problème de format du modèle provoque une exception), et en même temps jette un normal document à dissimuler, puis attendez une occasion pour définir le type de logiciel antivirus et l'environnement système de l'autre partie, puis traitez l'antivirus ou l'antivirus dès que possible. pour l'amélioration ultérieure des méthodes d'attaque.
En cas d'être découvert par l'autre partie et susceptible d'être analysé et tracé par l'autre partie, il est nécessaire d'effectuer un traitement anti-traçage sur les documents de phishing ou les chevaux de Troie. Les méthodes spécifiques sont les suivantes : Effacer complètement le système d'exploitation, Informations sur le chemin d'accès au fichier ou le nom d'utilisateur de l'ordinateur ; Emballage ou obscurcissement du code des fichiers exécutables du cheval de Troie, ce qui augmente la difficulté de l'analyse inverse ; Informations sur les champs clés telles que le nom de domaine, l'adresse IP et le port nécessaires pour rebondir et se reconnecter au cheval de Troie lors de sa compilation le traitement de cryptage pour éviter les fuites et empêcher l'analyse de ces informations sensibles ; le nom de domaine, l'adresse IP et le port de sauvegarde du cheval de Troie utilisent un mécanisme de sauvegarde, chaque cheval de Troie intègre plus de 2 options de sauvegarde, et l'adresse IP d'un le nom de domaine est bloqué Dans certains cas, une autre adresse IP de nom de domaine peut entrer en jeu.
◆ 3.4.1 Fournisseur de réseau ou de plateforme
S'infiltrer dans le réseau du fournisseur de réseau cible, localiser le point d'accès au réseau cible (principalement la passerelle de routage) grâce aux informations fournies par l'allocation ou le service IP du réseau cible au sein du fournisseur, et utiliser la relation de communication de confiance de la passerelle de routage ou du frontière du réseau cible La passerelle de routage s'infiltre, en exploitant les vulnérabilités ou en détournant les données du réseau, obtient la passerelle frontalière ou le contrôle du routage du réseau cible, puis s'infiltre et s'étend dans l'intranet cible. Un exemple courant est que dans une attaque APT, le contrôle de l'attaque est directement effectué sur l'opérateur de réseau de base du pays/de la région cible, puis utilisé comme tremplin pour s'infiltrer et s'étendre au réseau cible de la victime.
S'infiltrer dans la plate-forme d'hébergement cloud du réseau cible et le réseau du fournisseur de ressources de serveur, localiser l'emplacement de l'entreprise d'hébergement cible en fonction du service d'hébergement, s'infiltrer pour obtenir l'autorité de contrôle de l'entreprise d'hébergement, implanter un code malveillant dans l'entreprise d'hébergement pour effectuer l'arrosage des attaques de trous sur le personnel cible, ou Trouver l'interface entre le service d'hébergement et le réseau local cible (principalement l'interface de gestion du service d'hébergement) via le service d'hébergement, utiliser des failles d'exploitation ou un faux accès pour infiltrer et étendre davantage le réseau local, et obtenir le pivot de contrôle d'accès du réseau local cible. L'exemple courant actuel consiste à infiltrer le fournisseur de plate-forme d'hébergement cloud cible, à obtenir les informations d'authentification d'accès à l'hébergement de l'entreprise cible et à utiliser ensuite ces informations d'authentification pour le contrôle d'accès.
◆ 3.4.2 Prestataire de services de sécurité
Les attaquants peuvent attaquer le personnel d'exploitation et de maintenance de sécurité tiers, obtenir l'autorité du personnel d'exploitation et de maintenance pour gérer le réseau cible et utiliser leur autorité de gestion pour accéder au réseau cible. Ce type d'attaque a une grande dissimulation, car le réseau cible ne peut pas déterminer avec précision si la connexion d'accès via le service d'exploitation et de maintenance tiers est le personnel d'exploitation et de maintenance ou l'attaquant.
◆ 3.5 Accès VPN contrefaits
Les méthodes d'attaque courantes pour obtenir des informations d'authentification VPN sont les suivantes : hameçonnage de la personne cible, prise de contrôle de l'ordinateur personnel cible et vol
des informations d'accès VPN à l'occasion ; obtention des informations de compte de la passerelle VPN directement à partir du Dispositif de passerelle VPN en exploitant les vulnérabilités ; En plus des méthodes courantes sur le réseau externe, le réseau interne peut souvent obtenir des informations sur le mot de passe du compte VPN grâce à la réutilisation du mot de passe ou à des mots de passe faibles.
Les moyens courants de contrôler les passerelles VPN incluent : l'utilisation de vulnérabilités pour implémenter l'exécution de code à distance, l'ajout de comptes d'administrateur, le contrôle des périphériques de passerelle, le vol des informations d'identification de gestion des périphériques de passerelle sans authentification via des vulnérabilités de lecture de fichiers arbitraires ou l'obtention de bases de données de gestion en arrière-plan via des vulnérabilités d'injection. Informations sur le mot de passe du compte dans .
◆ 3.6 Connexion externe du tunnel caché
Au cours du processus d'attaque, il est souvent rencontré que l'action ou le trafic d'attaque est détecté, et l'intranet cible ne peut pas sortir du réseau. Cela nécessite l'utilisation de moyens de connexion externe de tunnel caché pour réaliser l'exécution secrète de l'action d'attaque et le communication secrète des données d'attaque, ou pour percer La restriction d'isolement des frontières du réseau cible réalise le contrôle d'accès de saut transfrontalier du réseau externe au réseau interne.
La connexion externe du tunnel secret est principalement réalisée grâce à la combinaison de la communication cryptée et de la technologie de transfert de port : la communication cryptée consiste à crypter les données de communication avant l'encapsulation et la transmission. Filtrage du format de fichier ; le transfert de port est le transfert du trafic de port réseau à partir d'un réseau nœud à un autre nœud de réseau, l'objectif principal est de réaliser le saut directionnel de la communication réseau entre les nœuds du réseau, de manière à réaliser un accès indirect à certains nœuds de réseau isolés.
Pendant le processus d'attaque, un outil intranet tiers est principalement utilisé pour établir un canal de communication sécurisé entre le client de contrôle à distance et le terminal cible attaqué, afin de réaliser le saut transfrontalier du trafic de communication du réseau externe vers le réseau interne. réseau, complétant ainsi l'objectif d'isoler le réseau interne Le contrôle d'accès offre la commodité d'une pénétration et d'une expansion supplémentaires de l'extérieur vers l'intérieur. Il existe deux manières principales d'y parvenir : le proxy direct, qui utilise un serveur de bordure pouvant communiquer avec l'intranet, pour se rendre compte que l'hôte sur l'intranet sort activement du réseau et se connecte au terminal de contrôle du réseau externe de l'attaquant ; proxy inverse , qui utilise le serveur frontalier comme proxy Le serveur réalise l'accès à l'hôte intranet de l'extérieur vers l'intérieur. Les outils tiers ont les avantages de prendre en charge la communication cryptée, la configuration libre des ports de transfert, petits et pratiques, etc. La plupart d'entre eux ont de puissantes fonctions de transfert de port, qui peuvent réaliser plusieurs fonctions telles que le transfert local, le transfert à distance et le transfert dynamique. Les outils tiers couramment utilisés incluent : les outils de transfert de port, tels que l'outil de commande Netsh fourni avec Windows, l'outil de commande ssh fourni avec Linux, Netcat, HTran, Lcx, etc. ; les outils proxy SOCKS, tels que frp, ngrok , Proxificateur, etc.
Dans les exercices d'attaque et de défense réels, certains modules de fonction d'arrière-plan du dispositif de bordure cible peuvent également être utilisés pour atteindre l'objectif de pénétration de connexion externe dissimulée.Avec le module de fonction VPN PPTP, L2TP ou SSL, il réalise un accès VPN secret à la cible intranet. Le réseau cible active généralement rarement de tels paramètres de communication sur le périphérique frontalier, et ces paramètres impliquent principalement une communication réseau sous-jacente, qui est stable et dissimulée, et devient souvent une autre méthode pour l'équipe bleue lorsque les outils tiers ne sont pas efficaces.
◆ 3.8 Attaque de proximité
Il y a souvent plus d'angles morts de sécurité à l'intérieur de la cible, tels que divers réseaux de communication sans fil, des interfaces physiques ou des terminaux intelligents. Les attaquants peuvent utiliser ces angles morts de sécurité pour percer la ligne de défense de sécurité cible de manière plus secrète et pénétrer dans le réseau interne, et réaliser enfin la profondeur du réseau cible pénétration.
Désormais, les réseaux Wi-Fi sont largement utilisés dans les bureaux. Vous pouvez utiliser le réseau Wi-Fi près de la zone de bureau cible pour capturer des paquets de données de communication Wi-Fi via des appareils et des outils sans fil, et vous concentrer sur les données dotées d'une authentification de sécurité Wi-Fi. décodage et analyse, craquage de ses informations d'authentification, afin d'obtenir des droits d'accès au réseau Wi-Fi ; ou en forgeant des points d'accès (tels que suggérés par des noms similaires), en utilisant de faux points d'accès avec des signaux plus forts ou en attaquant de vrais itinéraires Wi-Fi pour faire les paralyser, cela incite les initiés à se connecter à de faux points d'accès et vole les informations d'identification Wi-Fi de la cible.
L'intrusion masquée consiste à tirer parti des failles de supervision de la sécurité de la cible, à se faire passer pour le personnel interne de la cible pour entrer dans la zone de bureau cible, à rechercher les ports réseau câblés exposés, les terminaux intelligents, les hôtes non supervisés et d'autres appareils pouvant avoir des conditions de connexion au réseau interne à l'intérieur du cible et utiliser ces ports réseau ou périphériques sont connectés à l'intranet cible pour effectuer une pénétration d'attaque. Par exemple : le port réseau exposé peut être directement connecté à l'ordinateur et il est très probable qu'il puisse accéder à l'intranet cible ; la plupart des terminaux intelligents ont des ports USB et un code malveillant peut être implanté à l'aide de ces ports ; les hôtes non supervisés peuvent contourner la vérification autorisée Contrôler à travers les failles et accéder directement à l'intranet.
◆ 4.1 La différence entre les capacités de combat réelles et les capacités traditionnelles
Pour un simple travail d'extraction de vulnérabilités, il suffit généralement de prouver l'existence de la vulnérabilité et de soumettre un rapport de vulnérabilité. Cependant, dans un environnement commercial pratique, l'existence de vulnérabilités ne signifie pas que des attaques efficaces peuvent être réalisées.
◆ 4.2 La carte réelle des capacités des talents de l'équipe bleue
Sur la base des principes de classement et de classification susmentionnés, ce livre divise les capacités réelles des talents de l'équipe bleue de combat en 3 niveaux, 14 catégories et 85 compétences spécifiques. Parmi eux, il y a 20 objets dans les 2 catégories de capacités de base, 23 objets dans les 4 catégories de capacités avancées et 42 objets dans les 8 catégories de capacités avancées.
◆ 4.2.3 Capacités avancées
SafeSEH est un mécanisme de sécurité du système d'exploitation Windows, qui est spécialement utilisé pour empêcher la falsification de la fonction de gestion des exceptions. Avant que le programme appelle la fonction de gestion des exceptions, SafeSEH effectuera une série de contrôles de validité sur la fonction de gestion des exceptions à appeler. S'il s'avère que la fonction de gestion des exceptions n'est pas fiable ou présente des risques pour la sécurité, l'appel de la fonction de gestion des exceptions doit être terminé immédiatement. Si le mécanisme SafeSEH n'est pas bien conçu ou présente des lacunes, il peut être exploité, trompé ou contourné par des attaquants. Lorsque le système est attaqué, le programme s'exécutera anormalement et la fonction de gestion des exceptions sera déclenchée. Pour permettre à l'attaque de se poursuivre, l'attaquant doit souvent falsifier ou altérer la fonction de gestion des exceptions du système afin que le système ne puisse pas percevoir l'occurrence de l'exception.
La fonction de DEP (Data Execution Protection) est d'empêcher que les données de la page de données soient exécutées en tant que code exécutable, entraînant des risques de sécurité. Du point de vue de la mémoire informatique, il n'y a pas de distinction claire entre le traitement des données et du code, mais dans le cadre de la planification du système, le processeur effectuera différents calculs pour différentes données dans différentes zones de mémoire. Cela oblige le système à exécuter par erreur des "données spéciales" en tant que code exécutable lors du traitement de certaines données soigneusement construites par l'attaquant, déclenchant ainsi l'exécution de commandes malveillantes. L'objectif important de la conception du mécanisme DEP est d'empêcher ce type de problème de se produire ; si la conception du mécanisme DEP n'est pas parfaite ou s'il y a des lacunes, il peut être utilisé, trompé ou contourné par des attaquants.
PIE (Position-Independent Executable, Address Independent Executable) a fondamentalement la même signification que PIC (Position-Independent Code, Address Independent Code), et est une technologie d'implémentation de bibliothèques de liens dynamiques dans les systèmes Linux ou Android.
NX (No-eXecute, non exécutable) est une sorte de technologie DEP, qui est utilisée pour empêcher que les données de débordement ne soient exécutées en tant que code exécutable dans les attaques de débordement. Le principe de base de NX est de marquer la page mémoire où se trouvent les données comme non exécutable.Lorsque le système d'exploitation lira ces données de débordement, il lèvera une exception au lieu d'exécuter des instructions malveillantes. Si la conception du mécanisme NX n'est pas parfaite ou s'il y a des lacunes, il peut être exploité par des attaquants et lancer des attaques par débordement.
ASLR (Address Space Layout Randomization, randomisation de l'espace d'adressage) est un mécanisme de protection de la mémoire utilisé par le système d'exploitation pour résister aux attaques par débordement de tampon. Cette technique rend les adresses mémoire des processus exécutés sur le système imprévisibles, ce qui rend les vulnérabilités associées à ces processus beaucoup plus difficiles à exploiter.
SEHOP est l'abréviation de Structured Exception Handler Overwrite Protection, ce qui signifie Structured Exception Handler Overwrite Protection. Parmi eux, la gestion structurée des exceptions fait référence à une méthode de gestion des exceptions sur un programme selon une certaine structure de contrôle ou structure logique. Si un ou plusieurs nœuds de la liste chaînée de gestion des exceptions structurées sont couverts par des données soigneusement construites par l'attaquant, cela peut entraîner le contrôle du flux d'exécution du programme, ce qui est une attaque SEH. SEHOP est un schéma de protection de sécurité pour ce type d'attaque dans le système d'exploitation Windows.
GS signifie vérification de la sécurité des tampons, qui est un mécanisme de surveillance de la sécurité des tampons Windows pour empêcher les attaques par débordement de tampon. Le débordement de tampon signifie que lorsque l'ordinateur remplit le tampon avec des bits de données, les données remplies dépassent la capacité du tampon lui-même et les données débordées écraseront les données légales. La situation idéale est la suivante : le programme vérifiera la longueur des données et n'autorisera pas l'entrée de caractères dépassant la longueur du tampon. Mais de nombreux programmes supposent que la longueur des données correspond toujours à l'espace de stockage alloué, ce qui crée des dangers cachés de dépassement de mémoire tampon, c'est-à-dire des vulnérabilités de dépassement de mémoire tampon. Le rôle de GS est d'empêcher les attaques par débordement de tampon en effectuant diverses vérifications sur les données du tampon.
Un réseau anonyme fait généralement référence à un réseau de communication dans lequel le destinataire de l'information ne peut pas localiser l'identité et retracer l'emplacement physique de l'expéditeur de l'information, ou le processus de traçabilité est extrêmement difficile. Ce type de réseau masque généralement l'identité de l'initiateur en utilisant un réseau virtuel spécial composé de logiciels de communication spécifiques dans l'environnement Internet existant. Parmi eux, toutes sortes de réseaux sombres représentés par le réseau Tor (onion network) sont des réseaux anonymes relativement couramment utilisés.
En volant l'ID/le compte d'autres personnes, l'attaquant peut non seulement obtenir l'autorité système liée à l'ID/au compte, puis effectuer des opérations illégales, mais également usurper l'identité du propriétaire de l'ID/du compte pour effectuer diverses opérations sur le réseau, de manière à atteindre le but de cacher l'identité.
L'utilisation d'un tremplin signifie que l'attaquant n'attaque pas directement la cible, mais utilise un hôte intermédiaire comme tremplin pour attaquer la cible à travers une série de chemins prédéfinis. Il y a deux raisons principales à l'utilisation de la machine tremplin : l'une est limitée par les règles de sécurité de l'intranet, la machine cible peut ne pas être directement accessible et n'est accessible qu'indirectement via la machine tremplin ; l'autre est d'utiliser la machine tremplin , l'attaquant peut se cacher dans une certaine mesure. En conséquence, la plupart des enregistrements d'opération laissés dans le système sont effectués par la machine tremplin, ce qui augmente la difficulté de l'analyse de traçabilité du défenseur.
L'usurpation d'identité frauduleuse fait référence à l'utilisation de moyens techniques pour tromper le système de reconnaissance d'identité ou les analystes de sécurité, puis utiliser frauduleusement l'identité d'autrui pour compléter le système de connexion, effectuer des opérations illégales et lancer des programmes malveillants et d'autres attaques.
Un serveur proxy fait référence à un périphérique serveur qui fournit spécifiquement des agents d'accès Internet pour d'autres périphériques en réseau. Dans le cas où vous n'utilisez pas de serveur proxy, l'appareil en réseau sera directement connecté à Internet et se verra attribuer une adresse IP unique sur l'ensemble du réseau par l'opérateur ; lors de l'utilisation d'un serveur proxy, l'appareil en réseau accédera d'abord au serveur proxy, puis passez Un serveur proxy accède à Internet.
Dans certains cas, les attaquants configurent même plusieurs niveaux de serveurs proxy pour une dissimulation plus profonde de l'identité.
La maîtrise de l'équipe bleue du jeu d'instructions CPU déterminera directement la capacité de l'équipe bleue à creuser et à exploiter les vulnérabilités au niveau du système. Actuellement, les jeux d'instructions CPU les plus courants sont x86, MIPS, ARM et PowerPC.
1) Commandant en chef des opérations : généralement la personne ayant la capacité globale la plus forte dans l'équipe d'attaque, qui doit avoir une forte conscience organisationnelle, une capacité d'adaptation et une riche expérience de combat réel. Responsable de la formulation de la stratégie, de la répartition des tâches, du contrôle des progrès, etc. 2) Collecteurs de renseignements : responsables de la reconnaissance du renseignement et de la collecte d'informations. Le contenu collecté comprend, mais sans s'y limiter, la structure organisationnelle du système cible, les actifs informatiques, les fuites d'informations sensibles, les informations sur les fournisseurs, etc. 3) Armuriers et équipementiers : Responsables de l'exploitation des vulnérabilités et des outils d'écriture, ils constituent le cœur de métier de l'équipe d'attaque, ils doivent non seulement être capables de trouver et d'exploiter les vulnérabilités, mais aussi s'efforcer d'obtenir une exploitation stable et en profondeur des vulnérabilités dans différents environnements. 4) Les exécutants RBI : responsables de l'obtention des points d'accès, de la pénétration du Web, etc. Après avoir trouvé le maillon faible, faites appel à des échappatoires ou à des assistants sociaux pour obtenir l'autorité de contrôle du système de réseau externe ; puis trouvez un canal pour vous connecter au réseau interne et établir un bastion (tremplin). 5) Personnel de hameçonnage des travailleurs sociaux : responsable des attaques des travailleurs sociaux. Profitant des faiblesses humaines telles qu'une sensibilisation insuffisante à la sécurité ou des capacités de sécurité insuffisantes, des attaques d'ingénierie sociale sont menées et la tromperie est effectuée via des e-mails de phishing ou des plateformes sociales, puis pénétrées dans l'intranet. 6) Personnel de pénétration de l'intranet : responsable de l'expansion horizontale après l'entrée sur l'intranet. Utilisez l'intelligence des collecteurs d'intelligence combinée à d'autres faiblesses pour vous développer horizontalement et étendre les résultats de la bataille. Essayez de percer l'autorité du système de base, de contrôler les tâches de base, d'obtenir des données de base et enfin de terminer le travail de percée cible.
◆ 5.4 Malentendu : obscurcir le trafic et éviter la détection
Trouvez plusieurs systèmes avec des vulnérabilités d'accès direct aux autorisations, attaquez un certain système avec un trafic important de l'avant, attirez la puissance de feu et minimisez le trafic latéral pour obtenir directement les autorisations et percer rapidement l'intranet.
Tous les membres, à l'exception du chef d'équipe, se concentrent sur les sites Web de marketing et ont préparé de nombreux tremplins appartenant à différents segments de réseau IP. Ils ne se soucient pas qu'ils soient découverts ou bloqués. Ils utilisent même des scanners de vulnérabilité et s'efforcent d'ouvrir le système d'analyse des menaces de trafic. Un "déni de service distribué" à grande échelle a occupé les défenseurs de l'équipe rouge avec l'analyse et la réponse ; tandis que le chef d'équipe utilisait discrètement différentes empreintes IP et de navigateur pour infiltrer les applications Web, en essayant d'utiliser le moins de trafic possible. le serveur et laissez les données de menace se noyer dans le flot d'attaques du site Web marketing
◆ 5.5 Détours : Attaques ciblées sur la chaîne d'approvisionnement
Tout d'abord, en recherchant des mots-clés tels que "bonne nouvelle", "adjudication", "signer un contrat", "coopération" et "acceptation", mener une enquête de type tapis sur les fournisseurs et partenaires commerciaux de l'entreprise au sein de l'ensemble du réseau
◆ 5.6 Li Daitao Zombie : contournez l'attaque, obtenez la cible
Remplacez la page d'accueil du site Web par une capture d'écran ; certains arrêtent toutes les interfaces de transmission de données et importent des données sous la forme d'un tableau Excel ; certains limitent l'IP du système cible intranet, n'autorisant l'accès qu'à une certaine IP administrateur.
Si la société mère ne peut pas attaquer, alors attaquez la filiale secondaire.
Si la filiale de deuxième niveau ne peut pas attaquer, alors attaquez la filiale de troisième niveau sous la filiale de deuxième niveau.
◆ 5.9 Combat au corps à corps : pénétration à proximité, accès direct à l'intranet
Achetez un badge du même style que la cible sur Internet, fabriquez de fausses informations d'identité, faites semblant d'être un membre du personnel interne et entrez ouvertement dans la zone de bureau cible pendant les heures de bureau.
◆ 6.1 Phase de préparation de la guerre : les soldats et les chevaux ne sont pas déplacés, la nourriture et l'herbe passent en premier
Dirigez le groupe. Afin de renforcer l'organisation et la direction des exercices offensifs et défensifs et d'assurer l'efficacité des exercices offensifs et défensifs, un groupe de direction des exercices devrait être créé pour unifier la direction et le commandement des exercices offensifs et défensifs. Les principales responsabilités de l'équipe de direction sont les suivantes. ·Confirmer les responsabilités du groupe de travail sur l'exercice et habiliter le groupe de commandement à l'exécuter. ·Participer à la réunion de démarrage de la phase de combat proprement dite en temps de guerre pour remonter le moral. · Prendre des décisions majeures en cas d'incident de sécurité. · Mener des relations publiques de crise.
Groupe de commandement de l'exercice. Un groupe de commandement de forage est mis en place sous le groupe de tête pour organiser et déployer des tâches de forage offensives et défensives, gérer et coordonner spécifiquement les travaux de forage offensifs et défensifs et rendre compte aux unités de niveau supérieur et au quartier général en temps de guerre. Les principales responsabilités du groupe de commandement de l'exercice sont les suivantes. · Prise de décision sur l'orientation de la stratégie défensive. ·Promouvoir la mise en œuvre du mécanisme de travail, du processus et de l'arrangement du personnel en service de chaque groupe. ·Organiser la réunion régulière de la journée de soutenance, compter et analyser les résultats de soutenance de la journée et transmettre le travail quotidien au groupe dirigeant. · Coordonner et résoudre d'autres problèmes dans le travail défensif.
équipe de surveillance. Il est composé de personnel de plusieurs points de surveillance tels que le réseau, la sécurité, le système, l'application, etc., pour surveiller les comportements d'attaque suspects en temps réel et effectuer une analyse préliminaire ; le personnel de l'équipe de surveillance doit avoir la capacité de pénétration initiale.
Groupe d'analyse de jugement. Mener des recherches et des analyses sur les comportements d'intrusion suspectés.
Équipe d'intervention d'urgence. Bloquez et éliminez les attaques en temps opportun, déconnectez-vous et renforcez les actifs attaqués.
Groupe des contre-mesures de traçabilité. Tracez la source de l'objet d'attaque, contrez l'attaquant et aidez à la compilation des rapports de défense.
groupe de renseignement. Collectez des indices d'attaque et des renseignements sur les vulnérabilités avec les unités de coordination du renseignement et les fournisseurs (équipement, application, service) et signalez-les à temps pour réaliser le partage de renseignements.
Groupe de sécurité. Fournir un soutien technique pour l'environnement de base et la disponibilité des installations, et fournir un soutien logistique pour le matériel vivant nécessaire sur le site de combat.
Groupe de liaison de coordination. Responsable de la coordination et de la liaison des unités subordonnées, des unités externes, des frères et des unités voisines.
(1) Tri des actifs 1) Tri des informations sensibles. Utilisez le service de renseignement sur les fuites d'informations sensibles pour trier les informations sensibles exposées par les unités participantes sur Internet et les nettoyer ou les masquer, afin de réduire le risque que les informations soient utilisées par l'équipe d'attaque. 2) Découverte d'actifs Internet. Utilisez le service de découverte d'actifs Internet pour trier les actifs exposés par les unités participantes sur Internet, trouver des actifs et des services inconnus et former une liste d'actifs du système Internet ; clarifier les attributs des actifs et les informations sur les actifs, et nettoyer sans propriété, sans importance et à haute actifs à risque. 3) Tri des actifs intranet. En triant les actifs de l'intranet, les versions de composants, les personnes responsables, l'identification des empreintes digitales, etc., le statut des actifs de l'intranet est clarifié et une liste d'actifs est formée pour faciliter la rectification et le renforcement ultérieurs. temps, et les composants apparentés exposés peuvent également être identifiés. Les vulnérabilités sont localisées et réparées en temps opportun ; et l'identification des systèmes importants (y compris les systèmes centralisés) facilite également la protection ultérieure des systèmes importants et le tri des flux commerciaux. 4) Triez les fournisseurs tiers. Triez tous les fournisseurs tiers, y compris les fabricants d'équipements (équipements de réseau, de sécurité, etc.), les développeurs d'applications et les fournisseurs de services (services cloud, services d'exploitation et de maintenance, etc.), et exigez qu'ils fassent un bon travail dans leur propre gestion de la sécurité, leur propre renforcement de la sécurité des produits et fournissent un support de moniteur défensif. 5) Trier les unités de connexion d'affaires. Triez toutes les unités de connexion d'entreprise et les formulaires de connexion, les systèmes, les régions et les entrées IP, comprenez l'état de la protection et de la surveillance, coopérez avec les unités de connexion d'entreprise participantes pour la prévention et le contrôle conjoints et mettez en place un mécanisme de notification des incidents de sécurité. 6) Tri des actifs cloud. En triant la plate-forme de gestion cloud, le logiciel cloud, le système d'exploitation sous-jacent et les actifs de cloud public du cloud privé, le statut des actifs cloud est clarifié et une liste d'actifs est formée pour faciliter la rectification et le renforcement ultérieurs. notifiées à temps pour une intervention d'urgence, et les vulnérabilités exposées dans les composants connexes ont été localisées et réparées en temps opportun.
(2) Trier l'architecture du réseau 1) Trier les chemins d'accès au réseau. Clarifier le type, l'emplacement et les nœuds de réseau des sources d'accès au système (y compris les utilisateurs, les appareils ou les systèmes), qui sont pratiques pour la surveillance et le traçage des sources ultérieurs, et assurer l'intégrité du trafic de surveillance nord-sud une fois l'architecture de sécurité triée . 2) Trier le chemin d'accès d'exploitation et de maintenance. Identifiez s'il existe des risques potentiels pour la sécurité, facilitez l'optimisation ultérieure, la rectification unifiée et le renforcement, et confirmez s'il y a un manque d'équipement de protection et de surveillance. 3) Trier l'architecture de sécurité. Grâce à l'examen du cadre, évaluez si la division des domaines de sécurité est raisonnable, si le lieu de déploiement des équipements de protection et de surveillance est approprié, s'il existe des lacunes et s'il existe des risques potentiels pour la sécurité. 4) Déploiement des dispositifs de sécurité. Il est recommandé aux unités participantes de reconstituer les équipements de sécurité pertinents dès que possible, afin de ne pas nuire au bon déroulement des travaux de protection de la sécurité. Sur la base de l'expérience des projets de défense de ces dernières années, évaluez les équipements de protection de sécurité qui manquent au client aux endroits clés.
(3) Inspection de sécurité 1) Inspection de sécurité de routine. Les inspections de sécurité de routine, c'est-à-dire les travaux traditionnels d'évaluation et d'inspection de la sécurité, impliquent principalement des évaluations de sécurité sur la sécurité du réseau, la sécurité de l'hôte, la sécurité des applications, la sécurité des terminaux, l'audit des journaux, la sauvegarde, etc. Grâce au travail d'inspection de sécurité, les risques existant dans l'environnement des unités participantes sont soigneusement étudiés et le "rapport de rectification des risques" est compilé en fonction des résultats de l'inspection. 2) Contrôle spécial. Réalisez un inventaire spécial des principales méthodes et cibles d'attaque utilisées par l'équipe d'attaque, impliquant principalement des mots de passe et des vulnérabilités non autorisées, des contrôles de sécurité importants du système, etc., afin d'éviter autant que possible les problèmes à haut risque et à faible coût. 3) Détection de sécurité Web. La détection de la sécurité Web doit se concentrer sur la découverte des vulnérabilités de sécurité potentielles dans la plus grande mesure et vérifier si les vulnérabilités de sécurité cachées découvertes auparavant ont été corrigées en place. Lorsque les conditions le permettent, effectuez des inspections de sécurité Web telles que des inspections de sécurité du code source, une analyse des vulnérabilités de sécurité et des tests d'intrusion pour les systèmes d'information importants. L'accent doit être mis sur la détection des maillons faibles des intrusions Web, tels que les mots de passe faibles, les téléchargements de fichiers arbitraires et les intergiciels. exécution de commandes à distance, injection SQL, etc. (4) Exercices offensifs et défensifs L'objectif des exercices offensifs et défensifs est de simuler un combat réel, de tester les effets sur le travail des étapes d'auto-examen des risques et de renforcement de la sécurité, de tester les résultats des travaux antérieurs de chaque groupe de travail, de tester les capacité de l'unité à surveiller, découvrir, analyser et traiter les attaques de réseau, à tester l'efficacité des mesures de protection de la sécurité et des moyens techniques de surveillance, à tester la compréhension tacite de la coordination et de la coopération de chaque groupe de travail et à vérifier pleinement la rationalité du plan technique ; résumer les responsabilités professionnelles et la mise en œuvre du contenu du travail de surveillance, d'alerte précoce, d'analyse, de vérification, d'élimination et d'autres liens, en fonction de la situation réelle des exercices offensifs et défensifs, améliorer encore le plan technique et jeter des bases solides pour le travail en temps de guerre.
◆ 6.2 Phase de bataille : mobilisation d'avant-guerre, remonter le moral
Les systèmes centralisés sont généralement les principales cibles des attaquants. Si vous supprimez un système centralisé, vous pouvez prendre le contrôle de tous les hôtes relevant de sa juridiction. Les systèmes centralisés comprennent les serveurs de contrôleur de domaine (contrôleur de domaine), les serveurs DNS, les serveurs de sauvegarde, les systèmes de gestion de l'exploitation et de la maintenance ITSM, Zabbix, Nagios, les machines bastion et autres systèmes intégrés de surveillance et de maintenance, les serveurs R&D, SVN, Git, les terminaux personnels R&D, l'exploitation et maintenance Terminal personnel, connexion VPN et entrée à authentification unique, etc.
◆ 6.4 Phase de synthèse : examen complet, résumé de l'expérience
Méthodes d'attaque de pénétration traditionnelles souvent utilisées par les équipes d'attaque (telles que l'attaque d'exécution de commande de désérialisation WebLoigc fréquemment utilisée, l'attaque d'exécution de code à distance JBoss, l'attaque d'exécution de commande à distance Struts2, l'attaque d'accès non autorisé Redis, l'attaque de vulnérabilité Eternal Blue, l'attaque de vulnérabilité du système d'exploitation Windows, la faiblesse de la base de données mot de passe et attaque par mot de passe faible du système d'exploitation, attaque par connexion anonyme FTP, attaque par accès non autorisé rsync, attaque par la méthode HTTP OPTIONS, SSL/TLS existe une attaque de vulnérabilité Bar Mitzvah Attack, X-Forwarded-For forgery attack, etc.)
◆ 7.1 Nettoyage des informations : informations sensibles sur Internet
Il est strictement interdit de télécharger des fichiers contenant des informations sensibles sur la plate-forme d'information publique et, grâce à la collecte régulière d'informations sensibles divulguées, de découvrir et de nettoyer en temps opportun les informations sensibles de l'unité qui ont été exposées sur Internet, afin de réduire le risque. d'exposition des informations sensibles de l'unité, augmentent en même temps le coût en temps de l'équipe d'attaque pour collecter des informations sensibles, et augmentent la difficulté de ses attaques ultérieures.
◆ 7.4 Protéger le cœur : Trouver les points clés
Droits d'accès ouverts selon le "principe du minimum" ; enfin, le système cible doit être déployé dans le réseau interne en évitant au maximum l'ouverture directe à Internet. Si les conditions le permettent, un logiciel de protection de la sécurité peut également être déployé pour l'hôte du système cible et la restriction de la liste blanche des processus sur l'hôte du système cible peut être effectuée. Pendant la défense, l'état de sécurité du système cible peut être surveillé en temps réel.
◆ 7.6 Défense active : surveillance complète
En déployant les règles de liaison entre le système de connaissance de la situation et l'équipement de sécurité, les informations d'alarme de l'équipement de sécurité dans l'ensemble du réseau sont collectées. Une fois que le système de connaissance de la situation a reçu les informations d'alarme de sécurité, il émet automatiquement la stratégie de blocage des limites en fonction du préréglage règles, afin que l'équipement de blocage puisse prendre des mesures rapides et efficaces Bloquer et intercepter, réduisant ainsi considérablement la participation manuelle
La capture du comportement d'attaque en surveillant l'ensemble du trafic réseau est actuellement le moyen le plus efficace de surveillance de la sécurité
◆ 8.1.1 Empêcher la fuite d'informations sur les documents
Les attaquants utilisent généralement les types de sites Web ou d'outils suivants pour rechercher des informations sur l'unité cible : sites Web universitaires, tels que CNKI, Google Scholar et Baidu Academic ; disques réseau, tels que Vdisk, Baidu Netdisk, 360 cloud disk, etc. ; · Code des plates-formes d'hébergement, telles que GitHub, Bitbucket, GitLab, Gitee, etc. ; des sites Web d'enchères, des sites Web d'enchères auto-construits, des sites Web d'enchères tiers, etc. ; des bibliothèques, telles que Baidu Wenku, Douding.com, Daoke Baba, etc. ; Les plateformes sociales, telles que les groupes WeChat, les groupes QQ, les forums, les barres de publication, etc.
Les informations de document les plus populaires pour les attaquants incluent les catégories suivantes. Manuel de l'utilisateur : Manuel de l'utilisateur pour le système VPN, le système OA, la boîte aux lettres et d'autres systèmes, où les informations sensibles peuvent inclure l'adresse d'accès à l'application, les informations de compte par défaut, etc. ·Manuel d'installation : il peut contenir le mot de passe par défaut de l'application, l'adresse réseau interne et externe du périphérique matériel, etc. · Document de livraison : peut contenir des informations sur la configuration de l'application, la topologie du réseau, des informations sur la configuration du réseau, etc.
Les suggestions de manipulation spécifiques sont les suivantes. 1) Il ressort clairement du système que les documents sensibles ne sont pas autorisés à être téléchargés sur le disque réseau ou la bibliothèque, et doivent être révisés régulièrement. 2) Les documents sensibles liés à l'unité sont également requis pour le personnel tiers. Sans l'autorisation de l'unité contractante, ils ne doivent pas être partagés avec du personnel non lié au projet et ne doivent pas être téléchargés sur des plateformes publiques telles que des disques en ligne. , bibliothèques et partage de groupe QQ. Une fois découvert, traitez-le sérieusement. 3) Recherchez régulièrement les mots-clés de votre unité dans les différents sites ou outils cités ci-dessus.Si vous trouvez des documents sensibles, demandez à l'uploader ou à la plateforme de les supprimer.
◆ 8.1.2 Fuite d'hébergement anti-code
Les suggestions pour prévenir les fuites d'hébergement de code sont les suivantes : 1) Il est strictement interdit de divulguer le code source du projet au site Web d'hébergement de code ; 2) Il est interdit aux développeurs de copier le code source sur un ordinateur incontrôlable ; , Gitee et d'autres sites Web majeurs d'hébergement de code pour rechercher des mots-clés de votre propre unité, si vous trouvez le code source de votre propre unité dessus, demandez au téléchargeur ou à la plate-forme de le supprimer.
◆ 8.1.3 Anti-divulgation des vulnérabilités historiques
La plupart des attaquants recherchent les informations de vulnérabilité du système de l'unité cible ou du système avec la même empreinte digitale que le système de l'unité cible sur la plate-forme de vulnérabilité, et testent si la vulnérabilité existe sur la base des informations de vulnérabilité. seront directement exploités. Les principales plateformes actuelles de signalement des vulnérabilités sont les suivantes. · Plateforme Butian : https://www.butian.net/. Boîte de vulnérabilité : https://www.vulbox.com. · Miroir de nuage sombre : http://www.anquan.us. Hackerone : https://www.hackerone.com.
Les suggestions d'élimination sont les suivantes : 1) Collecter les informations de vulnérabilité concernant l'unité sur les principales plates-formes de vulnérabilité et vérifier la situation de réparation une par une ; 2) Collecter les informations de vulnérabilité du même système commercial ou système open source utilisé par l'unité , et vérifiez s'il existe une plate-forme vulnérable dans le système de l'unité une par une Vulnérabilités divulguées.
◆ 8.1.4 Empêcher la fuite d'informations personnelles
Les suggestions d'élimination sont les suivantes : 1) Renforcez la sensibilisation du personnel à la sécurité, n'ouvrez pas facilement les e-mails suspects, ne divulguez pas d'informations sensibles au personnel non confirmé et interdisez l'ajout de personnel non confirmé aux groupes d'affaires ou à d'autres groupes de travail sensibles ; Mettez des informations sensibles telles que le nom de l'administrateur adresse e-mail et numéro de téléphone.
◆ 8.1.5 Prévention d'autres fuites d'informations
Les suggestions d'élimination sont les suivantes : 1) Interconnectez-vous avec les systèmes des unités subordonnées, déployez des équipements de protection et de détection de sécurité au niveau du réseau et publiez des rapports d'audit de code et de test de pénétration avant d'accéder aux systèmes des unités subordonnées pour garantir la sécurité d'accès ; 2) Ne ne pas communiquer avec d'autres unités système Ou des mots de passe partagés personnels, si les conditions le permettent, des mots de passe dynamiques ou une authentification par clé peuvent être ajoutés pour empêcher les pirates de frapper des attaques de base de données ; 3) Pour les systèmes hébergés sur des clouds publics, les fournisseurs de cloud sont tenus de se déployer séparément et doivent pas partager des segments de réseau avec d'autres systèmes d'unités, des composants tels que des serveurs et du stockage pour empêcher les attaques par canal latéral.
◆ 8.5 Architecture de protection améliorée
Alors que le VPN apporte la commodité à tout le monde, c'est aussi l'un des chemins d'attaque les plus populaires pour les attaquants.Une fois le VPN compromis, l'attaquant ne sera plus gêné après avoir pénétré dans l'intranet. Dans le même temps, en raison des propriétés de cryptage du VPN, les attaquants peuvent contourner tous les dispositifs de protection de sécurité et il n'est pas facile d'être découvert. Les recommandations d'élimination sont les suivantes. 1) Pour plusieurs ensembles de VPN, essayez de les fusionner. 2) Pour ceux qui réservent le canal de télémaintenance VPN du fournisseur, adoptez la stratégie de l'ouvrir lorsqu'il est utilisé et de le fermer lorsqu'il est utilisé. 3) Adoptez l'authentification à double couche VPN + authentification d'accès, c'est-à-dire ajoutez l'authentification d'accès et l'authentification à deux facteurs après l'appel VPN. Une fois le VPN compromis, l'authentification d'accès sera la deuxième barrière de protection. 4) Tri des comptes VPN : les comptes VPN, en particulier ceux du personnel externe, peuvent être désactivés s'ils peuvent l'être, et ceux qui ne peuvent pas être désactivés peuvent être contrôlés en fonction de la période d'utilisation. 5) Nettoyage des autorisations VPN : autorisez clairement les ressources accessibles après la connexion au VPN. 6) Nettoyage du compte VPN : nettoyez le compte de gestion par défaut ; pour le compte VPN attribué, fermez celui qui n'a jamais été utilisé, adoptez une politique de mot de passe fort pour les autres comptes et changez régulièrement le mot de passe.
◆ 8.5.3 Défense côté hôte
À l'heure actuelle, le middleware Web grand public comprend WebLogic, WebSphere, JBoss, Tomcat, Nginx, etc. Il existe plusieurs façons de prévenir ces vulnérabilités : ① Appliquer régulièrement des correctifs de sécurité ; ② Mettre à niveau le middleware vers une version sécurisée ; ③ Désactiver les composants inutilisés présentant des problèmes de sécurité ; ④ Ne pas ouvrir les ports de gestion en arrière-plan ou les répertoires sensibles au monde extérieur.
Les mesures de protection en arrière-plan du middleware sont les suivantes : ① Interdire l'utilisation du chemin et du port par défaut ; ② Interdire que l'arrière-plan du middleware soit exposé à Internet ; ③ L'arrière-plan du middleware restreint l'accès aux adresses sur l'intranet ; ④ Interdire l'utilisation de le nom d'utilisateur et le mot de passe par défaut du middleware ; ⑤ Interdire Publier le système de test dans l'environnement de production.
Les suggestions de renforcement de sécurité pour le middleware web sont les suivantes : ① Modifier le nom d'utilisateur et le mot de passe par défaut ; ② Désactiver la fonction d'annuaire du site web ; ③ Supprimer la page de test ; ④ Interdire que le fichier d'erreur soit retourné directement à l'utilisateur dans un environnement formel. ⑤ S'il n'y a pas d'exigence particulière, méthode de transmission HTTP Il est corrigé pour n'autoriser que les méthodes POST et GET ; ⑥ activer la fonction de journal ; ⑦ fermer l'autorisation d'opération du dossier de téléchargement ; ⑧ configurer un mot de passe fort pour le nom d'utilisateur de l'administrateur du middleware ;
◆ 9.1 Équipement de défense des frontières
En tant qu'équipement de protection de sécurité le plus élémentaire, le pare-feu joue également un rôle important dans les exercices de combat réels, principalement grâce aux méthodes de protection suivantes. 1) Configuration ACL : en divisant la zone réseau au sein du réseau, les fonctions de chaque zone sont clarifiées et l'ACL d'autorisation/de refus clair est réalisée entre chaque zone pour obtenir un contrôle d'accès strict. Un grand nombre de combats offensifs et défensifs ont prouvé que l'isolement interrégional peut largement limiter la portée de l'expansion horizontale des attaquants. 2) Configuration de la liste noire : le pare-feu déployé sur la couche externe du réseau peut bloquer le trafic d'attaque suspect depuis la couche réseau en ajoutant l'adresse IP de l'attaquant/attaquant suspect à la liste noire en combat réel, empêchant l'attaquant de continuer à attaquer, forçant ainsi l'attaquant à changer l'adresse IP d'attaque, retardant le rythme d'attaque de l'attaquant. 3) Liaison en temps réel : selon l'environnement de déploiement réel, il peut être lié à des produits de détection du trafic et de détection des menaces pour bloquer l'adresse IP malveillante analysée. 4) Interdiction automatisée : De plus, afin de faire face plus efficacement aux attaques telles que la numérisation, des mesures d'interdiction automatique peuvent être mises en œuvre au moyen de la programmation et d'autres méthodes, afin d'améliorer l'efficacité de l'interdiction et de réduire la pression de travail du personnel de traitement.
◆ 9.1.2 Système de prévention des intrusions
IPS s'appuie sur un moteur intégré efficace pour réaliser l'analyse du trafic du réseau protégé, l'alarme et le blocage des comportements anormaux ou d'attaque, le contrôle de la protection de la sécurité des couches 2 à 7 et l'affichage visuel du comportement de l'utilisateur et de l'état de santé du réseau. L'IPS peut non seulement découvrir les attaques, mais également mettre en œuvre des stratégies de défense automatiquement et en temps réel, assurant ainsi efficacement la sécurité des systèmes d'information.
◆ 9.1.4 Système de protection cloud de la sécurité des applications Web
Le système de protection cloud de sécurité des applications Web est un système qui fournit une protection de sécurité pour les sites Web cloud et fournit des services de protection de sécurité basés sur SaaS pour les sites Web. Selon les besoins de sécurité réels et le statu quo des sites Web d'entreprise, il intègre des capacités de résolution DNS intelligentes, des capacités de protection DDoS, des capacités de protection contre les attaques d'applications Web, des capacités d'accélération CDN, des capacités d'opération de sécurité et des capacités de gestion de configuration unifiée dans le même système de protection de sécurité, fournir aux entreprises Le site Web fournit des fonctionnalités de sécurité complètes telles que le cloud WAF, le cloud anti-D, l'accélération du cloud, la protection contre les attaques CC, l'anti-crawler, la mise en miroir complète du site (reprotégé en lecture seule), la surveillance et l'alarme en temps réel, et la sécurité visuelle. Cela peut réduire le risque de fuite de données de sites Web et de falsification de pages Web, améliorer la fiabilité des liens de sites Web et réduire la probabilité d'être averti ou puni par les autorités supérieures/unités d'application de la loi sur la sécurité des réseaux.
◆ 9.1.5 Système de détection des menaces par e-mail
Le système de détection des menaces par e-mail doit utiliser une variété de moteurs de détection de virus, combiner des informations sur les menaces et des bases de données de réputation d'URL pour porter des jugements malveillants sur les URL et les pièces jointes dans les e-mails, et utiliser la technologie sandbox dynamique, les modèles de détection du comportement des e-mails et les modèles d'apprentissage automatique pour découvrir des menaces et ciblez-les attaquer le courrier. Détection en temps réel des menaces avancées inconnues grâce à la modélisation de données massives et à l'analyse de corrélation de scénarios multidimensionnels d'e-mails massifs
◆ 9.2 Équipement de test de sécurité
Les fonctions de base que l'équipement doit avoir 1) Découverte d'actifs et d'applications : déterminez l'étendue des actifs de l'entreprise grâce à l'exploration de données et à la recherche, puis utilisez la technologie de numérisation Web, la technologie de détection du système d'exploitation, la technologie de détection de port, la technologie de détection de service et Web Divers les technologies de détection telles que la technologie crawler peuvent découvrir activement les hôtes/serveurs, les dispositifs de sécurité, les dispositifs réseau, les dispositifs de contrôle industriels, les applications Web, les intergiciels, les bases de données, les systèmes de messagerie et les systèmes DNS dans le système d'information des unités participantes, et générer des actifs et une liste d'applications, la liste comprend non seulement le type d'appareil, le nom de domaine, l'adresse IP, le port, mais peut également identifier en profondeur les détails (type, version, nom de service, etc.) du middleware, de l'application et de l'architecture technique s'exécutant sur l'actif. 2) Dessin du portrait des actifs de sécurité de l'information : sur la base de la découverte des actifs et des applications, triez et analysez chaque entreprise, et résumez les informations en fonction de la situation réelle du système d'information, des caractéristiques de l'entreprise, de l'importance des actifs, etc., combinées aux meilleures pratiques en sécurité de l'information, et enfin Former le portrait exclusif des actifs des unités participantes, et construire le portrait exclusif des actifs de sécurité de l'information des unités participantes. Une fois le portrait de l'actif créé, l'actif peut être interrogé et compté en fonction du nom de domaine, de l'adresse IP, du port, du middleware, de l'application, de l'architecture technique, du statut de modification, du type d'entreprise (personnalisé) et d'autres conditions.
◆ 9.2.2 Système de test d'intrusion automatisé
La méthode de détection d'URL de site Web consiste à empreintes digitales de la cible, à collecter des informations d'empreintes digitales telles que le middleware, le cadre général du site Web, le langage de développement, le système d'exploitation, etc., à trouver les plug-ins de vulnérabilité associés à partir de la bibliothèque de plug-ins et à trouver les vulnérabilités existantes.
La méthode de détection d'adresse IP consiste à scanner le port de la cible, à découvrir le service ouvert sur le monde extérieur, à identifier le type de service correspondant et à trouver le plug-in de vulnérabilité associé, afin de juger si la vulnérabilité existe
Le système de test d'intrusion automatisé fournit une fonction d'exploitation en un clic, capable d'exécuter des commandes, d'exécuter SQL, de télécharger des fichiers, de rebondir Shell, de télécharger Webshell, de télécharger des fichiers, etc. La bibliothèque d'empreintes digitales Web fournie par le système de test d'intrusion automatisé peut identifier plus de 600 CMS (systèmes de gestion de contenu)
◆ 9.2.3 Système de détection de composants open source
La fonction principale que l'appareil doit avoir est la détection open source : identifier avec précision les composants open source impliqués dans le système d'application, aider les entreprises à établir un registre des composants open source, générer la liste des composants open source de chaque système logiciel et donner le informations sur la vulnérabilité des composants open source correspondants, informations sur l'accord open source, suggestions de rectification pour les composants open source, etc. Dans le même temps, l'équipe de service analyse les vulnérabilités de sécurité de sortie selon le modèle d'évaluation des vulnérabilités, donne des priorités scientifiques et raisonnables de rectification des vulnérabilités et des suggestions de rectification, et fournit des suggestions d'atténuation et de renforcement pour les composants open source difficiles à réparer, et peut également fournir des vulnérabilités d'urgence qui ne peuvent pas être réparées.
◆ 9.2.4 Système de gestion et d'audit de la sécurité d'exploitation et de maintenance (hôte bastion)
Le système de gestion et d'audit de la sécurité d'exploitation et de maintenance (machine forteresse) est basé sur le concept de conception de processus de gestion d'authentification, d'autorisation, d'accès et d'audit, et effectue une gestion et un audit unifiés de l'exploitation et de la maintenance. Le mode de déploiement de contournement est adopté pour couper l'accès direct du terminal aux ressources du réseau et du serveur, et la méthode de proxy de protocole est utilisée pour réaliser une gestion et un contrôle centralisés de l'exploitation et de la maintenance, une supervision en temps réel du processus, un contrôle de conformité d'accès, et audit graphique du processus, et construire un ensemble de pré-prévention pour les entreprises, surveillance en cas d'événement et système de gestion de la sécurité d'audit post-événement.
◆ 9.3 Équipement de surveillance du débit
Basé sur le trafic réseau et les journaux EDR des terminaux, le système de détection des menaces de trafic utilise des technologies telles que l'intelligence des menaces, le moteur de règles, l'exécution virtuelle de fichiers et l'apprentissage automatique pour découvrir avec précision les attaques réseau avancées connues et les nouvelles attaques réseau inconnues sur les hôtes et les serveurs du réseau. . , utilisez la plate-forme Big Data locale pour stocker et interroger les journaux de trafic et les journaux des terminaux, et analyser, juger et tracer les événements en fonction des renseignements sur les menaces et de l'analyse de la chaîne d'attaque. En même temps, combiné avec le NDR limite, l'EDR terminal et l'orchestration automatique et élimination, les menaces peuvent être bloquées à temps .
◆ 9.3.2 Plateforme d'opérations de connaissance de la situation et de sécurité
La plate-forme de connaissance de la situation et d'opérations de sécurité est basée sur une plate-forme de mégadonnées. En collectant des journaux massifs multiples et hétérogènes, elle utilise l'analyse de corrélation, l'apprentissage automatique, l'intelligence des menaces et d'autres technologies pour aider les entreprises à surveiller en permanence la situation de la sécurité du réseau et à réaliser la transformation de de la défense passive à la défense active. Il fournit aux responsables de la sécurité une aide à la prise de décision pour l'évaluation des risques et les interventions d'urgence, et fournit au personnel des opérations de sécurité des outils opérationnels de sécurité pour la découverte des menaces, l'investigation et l'analyse, ainsi que la réponse et l'élimination.
◆ 9.3.3 Système de pot de miel
La technologie Honeypot est essentiellement une technologie pour tromper l'attaquant. En organisant certains hôtes, services réseau ou informations comme appâts pour inciter l'attaquant à les attaquer, le défenseur peut capturer et analyser le comportement de l'attaque, comprendre les outils et les méthodes utilisés par l'attaquant et spéculer sur son intention d'attaque et sa motivation. les menaces de sécurité auxquelles vous êtes confronté, afin d'améliorer les capacités de protection de la sécurité du système réel par des moyens techniques et de gestion.
1) Appâtage actif : grâce à l'extraction du trafic en temps réel, le trafic pointant vers l'appât est acheminé vers la ressource d'appât centralisée. 2) Émulation multi-appareils : combinée à la bibliothèque d'empreintes digitales (bannières) de l'appareil de centaines de protocoles collectés à partir de données volumineuses sur le cloud, elle peut simuler des milliers d'appareils ou de services réseau. Certains outils de détection automatisés pour les attaquants (tels que l'analyse de port de Nmap) peuvent effectuer une meilleure tromperie. 3) Imitation élevée des actifs : premièrement, utilisez divers moyens pour être aussi proche que possible des actifs réels ; deuxièmement, sur la base des données de trafic et des données sur les actifs, rendez les actifs simulés aussi proches que possible des actifs réels. 4) Traçabilité et collecte de preuves : en fonction des caractéristiques de l'attaque, le trafic est distribué au pot de miel correspondant et un mécanisme de suivi actif est utilisé pour retracer la source de la chaîne d'attaque. Grâce au suivi du renseignement et aux mécanismes d'agrégation et de suivi des informations sur les attaquants, une carte complète du profil d'attaque est formée. 5) Contre-mesures actives : pour les attaquants qui entrent dans la plate-forme de tromperie et de piégeage, des contre-mesures sont prises dans une certaine mesure, y compris, mais sans s'y limiter, des contre-mesures via JSONP, des contre-mesures contre la tromperie de téléchargement de fichiers, des contre-mesures MySQL, des contre-mesures RDP, etc. Les informations obtenues par les contre-mesures d'attaque incluent, mais sans s'y limiter, les données de confidentialité du navigateur de l'attaquant, le compte hôte, l'adresse IP de l'hôte et l'état d'ouverture du port, le compte d'application personnel et l'ID d'identité, etc.
◆ 9.4 Équipement de protection des bornes
Endpoint Detection and Response (EDR) est une extension et un complément des produits de sécurité des terminaux traditionnels en termes de détection et de réponse avancées aux menaces. Évaluez les risques inconnus dans le réseau de l'entreprise dans différentes dimensions et utilisez le moteur de comportement comme élément central pour utiliser les informations sur les menaces. pour raccourcir le délai entre la découverte des menaces et leur élimination, réduire efficacement les pertes commerciales, améliorer la visibilité et améliorer les capacités de sécurité globales.
◆ 9.4.2 Système de gestion de la sécurité du serveur
Le système de gestion de la sécurité des serveurs est un produit de sécurité des serveurs qui aide les entreprises à mettre en œuvre efficacement la sécurité des serveurs dans une architecture de centre de données hybride en étant compatible avec plusieurs architectures de virtualisation et systèmes d'exploitation. Le système détecte et résiste aux codes malveillants connus et inconnus et aux attaques de pirates en temps réel et efficacement grâce à l'agent léger côté serveur, au système de serveur de renforcement de la sécurité et à la sonde WAF d'application, à la sonde RASP et à la sonde de renforcement du noyau ; Gestion, micro-ségrégation, la traçabilité des attaques, l'exploitation et la maintenance automatisées, l'inspection de base et d'autres fonctions permettent une exploitation et une maintenance efficaces et sûres des serveurs.
◆ 9.4.3 Système de gestion de la sécurité de la virtualisation
Le système de gestion de la sécurité de la virtualisation est un produit de sécurité unique pour le cloud computing ou l'environnement de virtualisation. Le produit prend en charge les environnements de virtualisation tels que vSphere, XEN, KVM et Hyper-V, et les plates-formes de cloud computing telles qu'OpenStack, fournit des fonctions telles que la protection de l'hyperviseur, le renforcement du système hôte cloud, la protection contre les logiciels malveillants et le contrôle des applications, et prend en charge la gestion unifiée des plates-formes de virtualisation hétérogènes, pour escorter les centres de données cloud des unités participantes.
◆ 9.4.4 Système d'accès sécurisé au terminal
Le système d'accès à la sécurité des terminaux (contrôle d'accès aux réseaux, NAC) est principalement utilisé pour résoudre la protection de la sécurité de l'accès aux appareils, l'inspection de conformité de la sécurité d'accès au réseau, l'authentification par nom réel des utilisateurs et des appareils, la sécurité d'accès du cœur de métier et de la frontière du réseau, l'accès Problèmes de gestion tels que la traçabilité et l'audit, pour éviter les menaces de sécurité causées par l'accès illégal des terminaux aux ressources du réseau.
◆ 9.4.5 Système de gestion de la sécurité du terminal
Le système de gestion de la sécurité des terminaux est une solution de sécurité des terminaux intégrée, qui intègre l'antivirus, le contrôle de la sécurité des terminaux, l'accès aux terminaux, l'audit des terminaux, le contrôle des périphériques, l'EDR et d'autres fonctions, et est compatible avec différents systèmes d'exploitation et plates-formes informatiques, aidant les entreprises à réaliser intégration de plate-forme Protection tridimensionnelle de la sécurité des terminaux avec modernisation, intégration fonctionnelle et intégration des données.
◆ 9.5 Système de renseignements sur les menaces
En s'appuyant sur la visibilité des menaces et la compréhension globale des risques et des menaces réseau issues de l'analyse des informations sur les menaces, les incidents d'attaque peuvent être rapidement détectés et des actions rapides et décisives peuvent être prises pour contrer les menaces. La collecte et l'analyse de renseignements sur les menaces sont devenues un élément indispensable de la sécurité des réseaux.
◆ 10.1.4 Combattre avec ténacité, défense conjointe et contrôle conjoint
Organigramme
◆ 10.3.2 Combat en trois étapes, résolvant le dilemme défensif des drills
Il y aura relativement beaucoup d'incidents de sécurité au début de la première étape, parmi lesquels les alarmes de numérisation et de test d'outils représentent une proportion élevée. À ce stade, l'équipe d'attaque explore en permanence le chemin de l'attaque.
Dans la dernière partie de la première étape, on constatera que les incidents de numérisation ont diminué, mais que les incidents de vulnérabilité et de téléchargement ont augmenté. À ce stade, l'équipe d'attaque a trouvé des chemins d'attaque possibles et continue de lancer des tentatives d'attaque.
La deuxième étape représente l'équipe bleue franchissant la frontière et entrant dans l'intranet. Dans la première partie de la deuxième étape, il y aura une augmentation des événements d'analyse de l'hôte. Une fois que l'équipe bleue a trouvé le chemin et tenté d'attaquer, elle lancera une violente attaque sur l'hôte cible. À ce moment, l'hôte attaqué générera un grand nombre d'alarmes.
Dans la dernière partie de la deuxième phase, les événements d'analyse de l'hôte diminueront, mais les événements de sécurité du système d'exploitation et des vulnérabilités augmenteront. L'équipe de la défense doit s'assurer de la rapidité et de l'efficacité du traitement de chaque alarme
Au début de la troisième étape, il y aura une augmentation simultanée des événements d'analyse, de vulnérabilité et de téléchargement. Au fur et à mesure que l'attaque et la défense deviennent intenses, davantage de ressources d'attaque seront concentrées dans la phase finale
◆ 11.1 Éléments organisationnels des exercices offensifs et défensifs réels
L'équipe d'attaque est généralement formée indépendamment par plusieurs fournisseurs de sécurité, et chaque équipe d'attaque est généralement équipée de 3 à 5 personnes. Sous le principe de l'autorisation, les attaques de pénétration sont principalement menées par l'exploration d'actifs, la numérisation d'outils et la pénétration manuelle pour obtenir l'autorité et les données du système cible de l'exercice. L'équipe de défense est composée de personnel des unités participantes, de fournisseurs de sécurité, etc., et est principalement responsable de la protection des actifs sous la juridiction de l'équipe de défense.
◆ 11.2 Forme organisationnelle des exercices offensifs et défensifs réels
Partant des besoins réels, il existe deux principales formes d'organisation des exercices de combat offensifs et défensifs réels. 1) Exercices organisés par l'État, les autorités de l'industrie et les organismes de réglementation. Ces exercices sont généralement organisés par les organes de sécurité publique à tous les niveaux, les services de cybersécurité et d'informatisation à tous les niveaux, les gouvernements, les finances, les transports, la santé, l'éducation, l'électricité, les opérateurs et d'autres autorités nationales, industrielles ou agences de réglementation. Pour l'infrastructure d'information clé et les systèmes importants de l'industrie, organisez des équipes d'attaque et diverses entreprises et institutions de l'industrie pour mener de véritables exercices d'attaque et de défense du réseau. 2) Exercices organisés par de grandes entreprises et institutions. Les sociétés financières, les opérateurs, les agences administratives, les institutions publiques et d'autres unités gouvernementales et d'entreprise organisent des équipes d'attaque et des entreprises et institutions pour mener de véritables exercices d'attaque de combat et de défense en réponse aux exigences de vérification de l'efficacité de la construction du système de défense de sécurité des entreprises.
◆ 11.4 Mesures d'évitement des risques pour les exercices d'attaque et de défense réels
1) Il est interdit d'attaquer en achetant l'équipe de défense ; 2) Il est interdit d'attaquer par intrusion physique, en coupant et en surveillant les fibres optiques externes ; 3) Il est interdit d'utiliser des brouilleurs radio et d'autres méthodes d'attaque qui affectent directement le fonctionnement du système cible. (5) Le cheval de Troie utilisé par l'attaquant nécessite que le terminal de contrôle du cheval de Troie utilise le logiciel fourni par le quartier général de l'exercice. Le cheval de Troie utilisé ne doit pas supprimer automatiquement les fichiers système cibles, endommager le secteur d'amorçage, diffuser activement, infecter fichiers, ou provoquer des temps d'arrêt du serveur et d'autres fonctions destructrices. L'exercice interdit l'utilisation de virus et de vers destructeurs et infectieux. (6) Blocage et notification des attaques illégales Afin de renforcer la surveillance des attaques de chaque équipe d'attaque, l'ensemble du processus de l'exercice est supervisé, enregistré, audité et affiché via la plate-forme d'exercices offensifs et défensifs, afin d'éviter l'exercice affectant le fonctionnement normal de l'entreprise. Le quartier général de l'exercice doit organiser des unités de support technique pour enregistrer et analyser le flux complet des attaques, bloquer les attaques illégales lorsque des attaques non conformes sont détectées, les transférer au traitement manuel et faire rapport à l'équipe d'attaque.
◆ 12.1 Phase d'organisation et de planification
Méthodes d'attaque interdites Attaque DDoS ; Attaque par usurpation ARP, usurpation DHCP ; Attaque par piratage du système de noms de domaine (DNS) ; Virus d'infection et de réplication automatique ; Cheval de Troie multi-démons et autres méthodes d'attaque ; Par exemple : Attaque par coupure et surveillance de la fibre optique externe) ; Attaque en achetant l'équipe de défense ; Attaque en dehors de la plage horaire convenue ; Attaque en dehors de la plage IP convenue.
Méthodes d'attaque utilisées avec prudence Attaque physique (telle que contrôle d'accès intelligent, compteur intelligent) Scan à grande échelle via les ports intranet ; Opérations de contrefaçon après l'obtention des autorisations ; Modification des données de l'entreprise ; Débordement de mémoire ; Requête par lots.
◆ 12.5 Étape de résumé de l'exercice
1) Recueillir des rapports : recueillir les rapports de synthèse soumis par l'équipe attaquante et l'équipe de défense et résumer les informations. 2) Effacer la porte dérobée : selon le trafic d'attaque signalé et surveillé par l'équipe d'attaque, effacez la porte dérobée téléchargée par l'attaquant. 3) Reprendre les comptes et les autorisations : une fois que l'équipe attaquante a soumis le rapport, tous les comptes et autorisations de l'équipe attaquante seront récupérés, y compris les comptes nouvellement créés de l'équipe attaquante sur le système cible. 4) Équipement de récupération : formatez l'ordinateur (ou le terminal virtuel) de l'équipe attaquante et effacez les données de processus. 5) Reprenez l'accès au réseau : reprenez l'accès au réseau de l'équipe attaquante. 6) Nettoyer les données d'exercice : Une fois que l'organisateur a fini d'exporter les données d'exercice, il nettoiera les données d'exercice du côté de la plate-forme.