著者: Qi'anxin セキュリティ サービス チーム
◆ 1.3 レッドチーム
演習における各チームの役割と分掌は以下の通り。ターゲット システム運用ユニット: レッド チームの全体的な指揮、組織、調整を担当します。セキュリティ運用チーム: 全体的な保護と攻撃の監視を担当します。攻撃と防御の専門家:セキュリティ監視で発見された不審な攻撃の分析と判断を担当し、セキュリティ運用チームやソフトウェア開発者などの関連部門を指導して脆弱性の修正などの一連の作業を実施します。· セキュリティ ベンダー: 自社製品の使いやすさ、信頼性、保護の監視戦略を調整する責任があります。·ソフトウェア開発者: 独自のシステムのセキュリティを強化および監視し、攻撃および防御の専門家と協力して発見されたセキュリティ問題を修正する責任があります。·ネットワーク運用および保守チーム: ネットワーク アーキテクチャのセキュリティ保守、ネットワーク出力の全体的な最適化、ネットワーク監視、およびソース トレースにおいて、攻撃および防御の専門家と協力する責任を負います。クラウド プロバイダー (存在する場合): 独自のクラウド システムのセキュリティを強化し、クラウド上のシステムのセキュリティを監視し、見つかった問題を修正するために攻撃および防御の専門家を支援する責任を負います。・その他:他のメンバーがいる場合もあり、具体的な業務は状況に応じて分担する必要があります。
◆ 1.3.2 レッドチームの進化傾向
以前、訓練に参加した防御チームのほとんどは、攻撃後、基本的に IP をブロックし、システムをオフラインにし、抜け穴を修復して、次の攻撃の波を待っていたことがわかりました。敵は暗闇にいて、私は光の中にいるので、受動的に倒すことしかできません。現在、多くの守備チームがトレーサビリティと対策能力を強化し、攻撃チームと真っ向から対決し、多くの勝利を収めています。
一部のユニットは、ハニーポットなどの製品を使用してトラップを埋め、攻撃チームの飛び込みを誘導し、トラップ内のトロイの木馬を使用して攻撃チームのシステムを迅速に占領します。
◆ 1.4 紫チーム
実際の攻防訓練では、パープルチームが主催者の役割を担い、訓練全体の組織化と調整を行い、訓練の組織化、プロセス監視、技術指導、緊急支援、リスク管理などのさまざまな業務を担当します。管理、訓練の概要、技術的対策、最適化戦略。
◆ 1.5 実際の攻防訓練で露呈した弱点
多くの組織には厳密なアクセス制御 (ACL) ポリシーがなく、DMZ (隔離エリア) とオフィス ネットワークとの間にネットワークの分離がまったくないか、ほとんどありません。オフィス ネットワークはインターネットに接続されており、ネットワーク エリアの分割は行われていません。オンラインでは、攻撃者はクロスリージョン攻撃を簡単に実行できます。
攻撃と防御の訓練中に、攻撃源を監視、発見、追跡する防御側の能力が大幅に向上したため、攻撃チームはサプライチェーン攻撃などの新しい戦闘戦略にさらに目を向け始めました。
IT(機器およびソフトウェア)サービスプロバイダー、セキュリティサービスプロバイダー、オフィスおよび生産サービスプロバイダーなどのサプライチェーン組織を起点として、ソフトウェア、機器、システムの脆弱性を探し、人員および管理上の弱点を発見し、攻撃を実行します。一般的なシステムのブレークスルーには、メール システム、OA システム、セキュリティ デバイス、ソーシャル ソフトウェアなどが含まれます。一般的なブレークスルーの手法には、ソフトウェアの脆弱性の悪用や脆弱な管理者パスワードが含まれます。
◆ 1.6 実践的なセキュリティ体制の確立
弁護団は、「問題があるところを修復して遮断する」という考え方で問題を解決するのではなく、事前に計画を立て、管理、技術、運用の面から体系的かつ実践的なセキュリティ体制を構築し、効果的にセキュリティを確保する必要がある。実際の戦闘環境の安全保障上の課題に対応します。
◆第2章 BLU攻撃の4段階
準備作業、対象ネットワークの情報収集、外部ネットワークの垂直突破と内部ネットワークの水平展開
◆ 2.1.1 ツールの準備
実際のネットワーク攻撃と防御訓練の前に、情報収集、スキャンと検出、パスワードブラスト、脆弱性悪用、リモート制御、Webshell 管理、トンネル侵入、などのタスクの各リンクで使用されるツールを準備する必要があります。ネットワークパケットキャプチャ分析および統合プラットフォームなどのツール。
Super Weak Password Check Tool (弱いパスワード スキャン検出) は、Windows プラットフォーム上で実行できる弱いパスワード パスワード検出ツールであり、バッチ マルチスレッド チェックをサポートし、弱いパスワード、弱いパスワード アカウント、パスワード サポート、およびユーザー名の組み合わせチェックを迅速に検出できます。により、検査の成功率が大幅に向上し、カスタム サービスがサポートされます。このツールは現在、SSH、RDP、Telnet、MySQL、SQL Server、Oracle、FTP、MongoDB、Memcached、PostgreSQL、SMTP、SMTP_SSL、POP3、POP3_SSL、IMAP、IMAP_SSL、SVN、VNC などのサービスの弱いパスワード チェックとブラストをサポートしています。リディスなど
Medusa は、Kali Linux システムでログイン サービスをブルート フォース クラッキングするためのツールです。マルチスレッド並列処理に基づいて、リモート認証サービスへのアクセスを取得するために、複数のホストおよびサーバー上のユーザー名またはパスワードを同時にブルート フォース攻撃できます。Medusa は、FTP、HTTP、SSH v2、SQL Server、MySQL、SMB、SMTP、SNMP、SVN、Telnet、VNC、AFP、CVS、IMAP、NCP、NNTP、POP3、PostgreSQL、rlogin を含む、リモート ログインを可能にするほとんどのサービスをサポートします。 rshなど
Hydra は、弱いパスワードをブルートフォース クラックできる自動爆破ツールであり、Kali Linux システムに統合されています。Hydra は、RDP、SSH (v1 および v2)、Telnet、FTP、HTTP、HTTPS、SMB、POP3、LDAP、SQL Server、MySQL、PostgreSQL、SNMP、SOCKS5、Cisco AAA、Cisco auth、VNC を含む複数のプロトコルに対して辞書攻撃を実行できます。 、など。Linux、Windows、Cygwin、Solaris、FreeBSD、OpenBSD、macOS、QNX/BlackBerry などの複数のプラットフォームで動作します。
Hashcat は、Linux、Windows、および macOS プラットフォーム向けの最速の CPU ベースのパスワード クラッキング ツールであると主張する無料のパスワード クラッキング ツールです。Hashcat は、LM ハッシュ、MD4、MD5、SHA シリーズ、UNIX 暗号形式、MySQL、Cisco PIX など、さまざまなハッシュ アルゴリズムをサポートしています。ブルート フォース、組み合わせ攻撃、辞書攻撃、指紋攻撃、ハイブリッド攻撃、マスク攻撃、順列攻撃、ルールベース攻撃、テーブル ルックアップ攻撃、トグルケース攻撃など、さまざまな攻撃形式をサポートします。
WebLogic フルバージョン脆弱性悪用ツール WebLogic は、Java EE アーキテクチャに基づくミドルウェアで、大規模な分散 Web アプリケーション、ネットワーク アプリケーション、データベース アプリケーション向けの Java アプリケーション サーバーの開発、統合、デプロイ、管理に使用されます。脆弱性悪用ツールは、さまざまなバージョンのWebLogicコンポーネントに存在する複数の脆弱性の自動検出および活用機能を統合しており、さまざまなバージョンのWebLogicコンポーネントの脆弱性を自動的に検出して活用し、検出結果に応じてコマンドを実行するなどの対象を絞った悪用を実行し、サーバー制御権限
Struts2 は非常に強力な Java Web オープン ソース フレームワークであり、MVC デザイン パターンでは、Struts2 はモデルとビュー間のデータ対話を確立するコントローラーとして使用されます。Struts2総合脆弱性悪用ツールは、Struts2の脆弱性の検出・活用機能を統合し、Struts2の脆弱性を利用した任意のコード実行や任意のファイルアップロードを実現します。
ビジネス セキュリティのニーズにより、ターゲット ネットワークの多くの内部アプリケーションはネットワークの外に直接出すことができません。攻撃プロセス中、青チームは内部ネットワーク侵入ツールを使用して外部ネットワークから内部ネットワークへの国境を越えたジャンプ アクセスを実現し、ポート転送、トンネリング テクノロジ、およびその他の手段を使用して内部ネットワーク ターゲットへの転送アクセスを実現する必要があります。または、ターゲットの内部ネットワーク IP を外部ネットワークにマッピングし、リモート コントロール クライアントとターゲット端末の間に安全な通信チャネルを確立して、外部から内部へのさらなる侵入と拡張を促進します。
FRP は、内部ネットワークの侵入に使用できる高性能リバース プロキシ ツールです。TCP、UDP、HTTP、HTTPS およびその他のプロトコル タイプをサポートしています。主に、内部ネットワークまたはファイアウォールの背後にあるマシンを使用して、HTTP または HTTPS サービスを提供します。外部ネットワーク環境への暗号化通信とポイントツーポイント侵入をサポート
ngrok は、オープンソースのリバース プロキシ ツールです。青チームは、ngrok を使用してボーダー サーバー (Web サーバーなど) をリバース プロキシ サーバーとして使用し、クライアントとターゲット ボーダー サーバーの間に安全なチャネルを確立できます。また、クライアントは、リバースプロキシサーバー
reGeorg は、Web をプロキシとして使用するツールです。ターゲット サーバーが内部ネットワーク上にある場合、またはポート ポリシーがある場合に、ターゲット サーバーの内部オープン ポートに接続するために使用できます。Webshell を使用して SOCKS プロキシを確立します。内部ネットワーク侵入用。ポートは HTTP/HTTPS トンネル経由でローカル マシンに転送され、通信ループを形成します。
Netsh (ネットワーク シェル) は、Windows システムに付属するネットワーク構成コマンド ライン スクリプト ツールです。ローカルまたはリモート ネットワーク構成を変更することで、ポート転送を実装するために使用できます。IPv4 または IPv6 ポート転送エージェント、または双方向ポートの構成をサポートします。 IPv4 と IPv6 の間の転送を行います。
◆ 2.2.2 インターネット情報収集の主な作業
組織構造には、部門部門、人事情報、職務機能、下位ユニットなどが含まれ、IT 資産には、ドメイン名、IP、C セグメント、オープンポート、運用サービス、Web ミドルウェア、Web アプリケーション、モバイル アプリケーション、ネットワーク アーキテクチャなどが含まれます。 ; 機密情報には、コード情報、文書情報、メールボックス情報、過去の脆弱性情報などが含まれます; サプライヤー情報には、契約、システム、ソフトウェア、ハードウェア、コード、サービス、人材などに関する情報が含まれます。
◆ 2.4.3 イントラネットの水平展開の方法
イントラネットの脆弱性には、多くの場合 3 つの特徴があります: 第一に、イントラネットは主にビジネス セキュリティによって制限されており、インターネットに直接アクセスできないため、イントラネットの脆弱性は主に歴史的な脆弱性であり、さまざまなアプリケーションやデバイスの脆弱性パッチを適時に更新するのは困難です。良好なイントラネット接続、より多くのオープン ポート サービス、およびわずかなセキュリティ ポリシー制限により、イントラネットの脆弱性を悪用するのに非常に便利です。業界の特性、イントラネット上に展開されるビジネス アプリケーションおよびシステム プラットフォームは、ほとんどが同じプラットフォームまたはインフラストラクチャに基づいて実装されます。同じ脆弱性によってすべての部門またはサブノードが破壊されるという状況が簡単に発生する可能性があります。
イントラネットの脆弱性は悪用するのが非常に難しく、非常に致命的であるため、イントラネット拡張における脆弱性悪用の成功率は非常に高く、特に統合管理プラットフォーム、要塞ホスト、OA システムなどでは、引き起こされる被害は非常に深刻になることがよくあります。イントラネット メール サーバーなどの重要なネットワーク ノードに抜け穴があると、多くの場合、ネットワーク全体が 1 つのポットで終端されてしまいます。
イントラネットでの事務作業の利便性を考慮して、ユーザーはイントラネット サーバーやアプリケーションに対して比較的緩やかなセキュリティ アクセス ポリシーを設定することがよくあります。これは、ブルー チームがイントラネットの水平展開でパスワード認証の偽造侵入を使用する際にも非常に便利です。
イントラネットセキュリティ認証情報には、収集サーバー自身のセキュリティ設定、リモート制御端末設定、パスワード辞書ファイル、個人ホスト認証キャッシュまたはシステムパスワードハッシュなどが含まれます。
イントラネット セキュリティ認証情報を取得するための重要なポイントは次のとおりです:
重要なパスワード ディクショナリ ドキュメントまたは構成ファイル (ネットワーク トポロジ ファイル、パスワード ファイル、およびさまざまな基本サービス セキュリティ構成ファイルを含む)、
システム グループ内の XML で保存された接続アカウント パスワード、パスワード ハッシュポリシー ディレクトリ、
Foxmail、Thunderbird、Outlook などの電子メール クライアント ツールに保存されているさまざまな電子メール アカウントのパスワード、
VNC、SSH、VPN、SVN、FTP およびその他のクライアントなどのリモート コントロール クライアントに保存されているセキュリティ認証情報、取得
されたパスワード情報ドメイン ネットワーク ユーザー ハッシュ、個人ホスト ユーザー ハッシュ、ネットワーク ユーザー トークンなどのハッシュ別;
データベース接続ファイルまたはデータベース クライアントを含むさまざまなデータベース アカウント パスワード ターミナル ツールに保存されたさまざまなデータベース接続アカウント パスワード; さまざまな
Web ログイン パスワードと Cookie IE、Chrome、Firefox、360 ブラウザ、QQ ブラウザなどのブラウザに保存された情報。
イントラネット フィッシングには、イントラネット メール、OA、イントラネット モバイル オフィス システムなど、さまざまな方法があります。このシステム管理権限を利用して、イントラネットのメール、OA、モバイルオフィスシステムのサーバーを制御する際に、標的型フィッシングの通知を一律に発行する場合と、イントラネット上の限定されたターゲットを取得する場合の主な状況が 2 つあります。 under controlは、イントラネットメールやOA、モバイルオフィスシステムなどの通信関係を介して、信頼関係を装ったフィッシング詐欺に利用されます。
水飲み場攻撃は、その名前が示すように、被害者の進路に「水飲み場」(トラップ)を設置することを含みます。一般的な手法は、ハッカーが、攻撃対象が頻繁にアクセスする Web サイトを突破して制御した後、Web サイトに悪意のある攻撃コードを埋め込むことです。
◆ 3.1.6 認可検証バイパスの脆弱性
認可検証バイパス脆弱性とは、認可が必要なシステムリソースに認可認証を行わずに直接アクセスしたり、アクセス権限を超えてアクセスしたりするセキュリティ上の欠陥の一種です。この脆弱性の理由は、アプリケーション システムが認証および認可リクエストを処理する際に不適切に応答し、ユーザーが特別に細工された形式でリクエスト データを送信することで認可検証プロセスをバイパスできることです。認可検証バイパスの脆弱性により、不正アクセスや不正アクセスが発生する可能性があります。不正アクセスとは、認証が必要なシステム リソースへのアクセスを許可なしに直接アクセスすることを指し、アクセス権の低いユーザー、アクセス権の高いユーザー、または同じ権限を持つ異なるユーザーが相互にアクセスできることを指します。
◆ 3.3.1 外部からのフィッシング
実際の戦闘攻撃および防御訓練における一般的なおとりファイルの形式および形式には、実行可能ファイル、リバウンド スクリプト、Office マクロ、Office ドキュメント バンドル、CHM ファイル、LNK ファイル、HTA ファイル、ファイル サフィックス RTLO、自己解凍実行圧縮パッケージなどが含まれます。
カスタマー サービス スタッフに対しては、問題をすぐに解決するよう厳しい口調で顧客第一の要求を要求し、カスタマー サービス スタッフにプレッシャーをかけることができます。人事部門の担当者に対しては、フレンドリーなコミュニケーション トーンを使用し、コミュニケーションを構築します。・コミュニケーションニーズを通じて信頼し、おとり文書を送る機会を待つ ・金融担当者に対しては相談・評価をするふりをして、より専門的な口調で分析や議論を行う ・営業担当者に対しては、利益のために誘い出し、騙し取らせる騙されるイニシアチブ。
コミュニケーションが比較的スムーズで徐々に信頼が得られるとき、月曜日から木曜日の終業時間近くや金曜日の午後など、仕事がサボりがちなとき。
◆ 3.3.2 イントラネットフィッシング
フィッシング手法に応じて、イントラネットフィッシング資料を柔軟に選択できます。イントラネットOAやメールサーバーを経由したフィッシングの場合は、ネットワーク運用保守管理者向けにはネットワークセキュリティダイナミクスやネットワークセキュリティ構築に関する資料を、重要なビジネス担当者やリーダー向けにはフィッシング対象者にとって興味のある資料を選択します。対象となる業務内容や業務システムのアプリケーションに関するトピック。さらに、すべての職員がより関心を持っている給与や福利厚生の問題も、イントラネット上の格好のフィッシング資料になります。
◆ 3.3.3 漁業における緊急措置
おとり文書をフィッシングに利用する場合、おとり文書には実際のおとり資料の内容が含まれていないことが多く、トロイの木馬のフィッシング成功後に隠蔽するために、同じ素材テーマの通常文書を再度送信する必要があるため、相手の疑惑を招かないように。
フィッシング文書の異常(文書が正常に開けない、対象のウイルス対策ソフトが警告するなど)の場合、相手に質問されたり、知らんぷりをされたりする(私のパソコンでは正常であれば、もしかしたらその可能性があります)。ソフトウェアのバージョンやシステム環境の異常が原因)、または一部の専門的なトピックが曖昧になっている(たとえば、ドキュメントで一般的ではないテンプレートが使用されており、テンプレートの形式の問題により例外が発生する)と同時に、通常の隠蔽する文書を作成し、相手のウイルス対策ソフトの種類やシステム環境を明らかにする機会を待ち、できるだけ早くウイルス対策またはウイルス対策に対処する必要があります。その後の攻撃手法の改善に向けて。
相手に発見され、解析・追跡される可能性がある場合には、フィッシング文書やトロイの木馬に対して追跡防止処理を行う必要があり、具体的な方法としては、OSの徹底的なクリア、ファイル パスまたはコンピュータのユーザー名情報; トロイの木馬実行可能ファイルのパッキングまたはコード難読化、逆解析の難易度の増加; コンパイル時にトロイの木馬にリバウンドして接続し直すために必要なドメイン名、IP アドレス、ポートなどのキー フィールド情報漏洩を防ぎ、そのような機密情報が分析されるのを防ぐための暗号化処理、トロイの木馬のバックアップ ドメイン名、IP アドレス、およびポートはバックアップ メカニズムを使用し、各トロイの木馬には 2 つ以上のバックアップ オプションが統合されており、トロイの木馬の IP アドレスは、ドメイン名がブロックされている 場合によっては、代替ドメイン名の IP アドレスが使用されることがあります。
◆ 3.4.1 ネットワークまたはプラットフォームのプロバイダー
ターゲット ネットワーク プロバイダーのネットワークに侵入し、ターゲット ネットワーク IP 割り当てまたはプロバイダー内のサービスによって提供される情報を通じてターゲット ネットワーク アクセス ポイント (主にルーティング ゲートウェイ) を特定し、ルーティング ゲートウェイまたはルーティング ゲートウェイは、脆弱性の悪用やネットワーク データのハイジャックによって侵入し、ターゲット ネットワークの境界ゲートウェイやルーティング制御を取得し、さらにターゲット イントラネットに侵入して拡張します。一般的な例としては、APT 攻撃では、攻撃対象の国/地域の基幹通信事業者に対して直接攻撃制御が行われ、それを踏み台として被害対象のネットワークに侵入・拡大するケースが挙げられます。
ターゲットネットワークのクラウドホスティングプラットフォームとサーバーリソースプロバイダーネットワークに侵入し、ホスティングサービスに基づいてターゲットホスティング事業の所在地を特定し、ホスティング事業の管理権限を獲得するために侵入し、ホスティング事業に悪意のあるコードを埋め込んで水やりを実行します。ターゲット担当者に対するホール攻撃、またはホスティング サービスを介してホスティング サービスとターゲット ローカル ネットワーク間のインターフェイス (主にホスティング サービス管理インターフェイス) を見つけ、ループホール エクスプロイトまたは偽のアクセスを使用してローカル ネットワークにさらに侵入および拡張し、ターゲットローカルネットワークのアクセス制御の支点。現在の一般的な例は、ターゲットのクラウドホスティングプラットフォームプロバイダーに侵入し、ターゲット企業のホスティングアクセス認証情報を取得し、さらにその認証情報をアクセス制御に使用するというものです。
◆ 3.4.2 セキュリティサービスプロバイダー
攻撃者は、サードパーティのセキュリティ運用保守担当者を攻撃し、運用保守担当者の対象ネットワークを管理する権限を取得し、その管理権限を利用して対象ネットワークにアクセスする可能性があります。この種の攻撃は、ターゲットのネットワークがサードパーティの運用保守サービスを介したアクセス接続が運用保守担当者によるものか、攻撃者によるものかを正確に判断できないため、隠蔽性が非常に高くなります。
◆ 3.5 偽造 VPN アクセス
VPN 認証情報を取得するための一般的な攻撃方法としては、対象者をフィッシングする、対象のパソコンを乗っ取り、
隙を見て VPN アクセス情報を盗み出す、VPN ゲートウェイのアカウント情報を直接取得する、などがあります。脆弱性の悪用による VPN ゲートウェイ デバイス;外部ネットワークでの一般的な方法に加えて、内部ネットワークでも、パスワードの再利用や弱いパスワードを通じて VPN アカウントのパスワード情報を取得することがよくあります。
VPN ゲートウェイを制御する一般的な方法には、脆弱性を使用してリモート コード実行を実装する、管理者アカウントを追加する、ゲートウェイ デバイスを制御する、任意のファイル読み取りの脆弱性を介して認証なしでゲートウェイ デバイス管理資格情報を盗む、またはインジェクションの脆弱性を介してバックグラウンド管理データベースを取得するなどがあります。
◆ 3.6 コバートトンネル外部接続
攻撃の過程では、攻撃行為やトラフィックが検知され、対象となるイントラネットがネットワークから外に出られない場合が多く、そのためには、秘密裏に攻撃行為を実行し、攻撃データの秘密通信や突破 対象ネットワークの境界分離制限により、外部ネットワークから内部ネットワークへの越境ジャンプアクセス制御を実現します。
コバート トンネルの外部接続は、主に暗号化通信とポート フォワーディング技術の組み合わせによって実現されます: 暗号化通信とは、カプセル化して送信する前に通信データを暗号化することです ファイル形式フィルタリング、ポート フォワーディングは、1 つのネットワークからのネットワーク ポート トラフィックを転送することですノードから別のネットワーク ノードへの接続の主な目的は、ネットワーク ノード間のネットワーク通信の方向性ジャンプを実現し、いくつかの孤立したネットワーク ノードへの間接アクセスを実現することです。
攻撃プロセス中、主にサードパーティのイントラネット ツールを使用して、リモート コントロール クライアントと攻撃対象端末の間に安全な通信チャネルを確立し、外部ネットワークから内部ネットワークへの通信トラフィックの境界を越えたジャンプを実現します。これにより、内部ネットワークを分離するという目標が達成されます。アクセス制御により、外部から内部へのさらなる浸透と拡張が容易になります。これを実現するには、主に 2 つの方法があります: イントラネットと通信できるボーダー サーバーを使用して、イントラネット上のホストが積極的にネットワークから出て攻撃者の外部ネットワーク制御端末に接続することを実現するフォワード プロキシと、リバース プロキシ、ボーダー サーバーをプロキシとして使用します。サーバーは、外部から内部へのイントラネット ホストへのアクセスを実現します。サードパーティ製ツールには、暗号化通信のサポート、転送ポートの自由な設定、小型で実用的などの利点があり、そのほとんどは強力なポート転送機能を備えており、ローカル転送、リモート転送、動的転送などの複数の機能を実現できます。転送。一般的に使用されるサードパーティ ツールには、Windows に付属の Netsh コマンド ツール、Linux、Netcat、HTran、Lcx などに付属の ssh コマンド ツールなどのポート転送ツール、frp、ngrok などの SOCKS プロキシ ツールなどがあります。 、プロキシファイアなど
実際の攻撃および防御訓練では、ターゲット境界デバイスの一部のバックグラウンド機能モジュールを、隠蔽された外部接続侵入の目的を達成するために使用することもでき、PPTP、L2TP、または SSL VPN 機能モジュールを使用して、ターゲットへの VPN 秘密アクセスを実現します。イントラネット。一般に、ターゲット ネットワークが境界デバイスでそのような通信設定を有効にすることはほとんどなく、そのような設定にはほとんどの場合、安定して隠蔽された基盤となるネットワーク通信が含まれており、サードパーティ ツールが効果的でない場合にブルー チームの別の方法となることがよくあります。
◆ 3.8 近接攻撃
ターゲットの内部には、さまざまな無線通信ネットワーク、物理インターフェイス、スマート端末デバイスなど、さらに多くのセキュリティの死角が存在することが多く、攻撃者はこれらのセキュリティの死角を利用して、より秘密裏にターゲットのセキュリティ防御ラインを突破し、内部ネットワークに侵入することができます。最終的にターゲットネットワークの深さを認識します。
現在、Wi-Fi ネットワークはオフィスエリアで広く使用されており、ターゲットオフィスエリアの近くの Wi-Fi ネットワークを使用して、無線デバイスやツールを介して Wi-Fi 通信データパケットをキャプチャし、Wi-Fi セキュリティ認証のあるデータに焦点を当てることができます。 Wi-Fi ネットワーク アクセス権を取得するために、認証情報をデコードおよび分析し、クラッキングすることによって、またはホットスポット (類似した名前によって示唆されるなど) を偽造したり、より強い信号を持つ偽のホットスポットを使用したり、実際の Wi-Fi ルートを攻撃したりすることによって、これは内部関係者をだまして偽のホットスポットに接続させ、ターゲットの Wi-Fi 認証情報を盗みます。
マスカレード侵入とは、ターゲットのセキュリティ監視の抜け穴を利用し、ターゲットの社内担当者になりすましてターゲットのオフィスエリアに侵入し、露出した有線ネットワークポート、スマート端末デバイス、監視対象外のホスト、および内部ネットワーク接続状態にある可能性のあるその他のデバイスを探すことです。ポートまたはデバイスは、攻撃の侵入を実行するためにターゲットのイントラネットに接続されます。たとえば、公開されたネットワーク ポートはコンピュータに直接接続でき、ターゲット イントラネットにアクセスできる可能性が非常に高くなります。ほとんどのスマート ターミナル デバイスには USB ポートがあり、そのようなポートを利用して悪意のあるコードが埋め込まれる可能性があります。監視されていないホストは承認された検証をバイパスし、抜け穴を通じて制御し、イントラネットに直接侵入する可能性があります。
◆ 4.1 実戦能力と伝統的能力の違い
単純な脆弱性マイニング作業の場合、一般的には脆弱性の存在を証明し、脆弱性レポートを提出するだけで済みます。しかし、実際のビジネス環境では、脆弱性が存在しても効果的な攻撃が可能であるとは限りません。
◆ 4.2 実際の青チーム人材能力マップ
本書では、前述の格付けと分類の原則に基づいて、実戦青チームの人材能力を 3 つのレベル、14 のカテゴリー、および 85 の特定のスキルに分類しています。その内訳は、基礎能力の2カテゴリーで20項目、高度な能力の4カテゴリーで23項目、高度な能力の8カテゴリーで42項目となっています。
◆ 4.2.3 高度な能力
SafeSEH は Windows オペレーティング システムのセキュリティ メカニズムであり、例外処理機能の改ざんを防ぐために特別に使用されます。プログラムが例外処理関数を呼び出す前に、SafeSEH は呼び出される例外処理関数に対して一連の有効性チェックを実行します。例外処理関数の信頼性が低い、またはセキュリティ上のリスクがあることが判明した場合は、例外処理関数の呼び出しを直ちに終了する必要があります。SafeSEH メカニズムが適切に設計されていない場合、または欠陥がある場合、攻撃者によって悪用されたり、だまされたり、バイパスされたりする可能性があります。システムが攻撃されるとプログラムが異常動作し、例外処理関数が起動します。攻撃を継続できるようにするには、多くの場合、攻撃者はシステムの例外処理関数を偽造または改ざんして、システムが例外の発生を認識できないようにする必要があります。
DEP (データ実行保護) の機能は、データ ページ内のデータが実行可能コードとして実行され、セキュリティ リスクが引き起こされるのを防ぐことです。コンピューターのメモリの観点から見ると、データの処理とコードの処理には明確な区別はありませんが、システムのスケジューリングに基づいて、CPU は異なるメモリ領域の異なるデータに対して異なる計算を実行します。これにより、システムは、攻撃者が慎重に作成したデータを処理する際に、誤って「特別なデータ」を実行可能コードとして実行し、悪意のあるコマンドの実行を引き起こします。DEP メカニズムの設計の重要な目的は、この種の問題の発生を防ぐことです。DEP メカニズムの設計が不完全であったり、不備がある場合、攻撃者によって使用されたり、だまされたり、回避されたりする可能性があります。
PIE (Position-Independent Executable, Address Independent Executable) は、PIC (Position-Independent Code, Address Independent Code) と基本的に同じ意味で、Linux や Android システムにおけるダイナミック リンク ライブラリの実装技術です。
NX (No-eXecute、非実行可能) は DEP テクノロジーの一種で、オーバーフロー攻撃においてオーバーフロー データが実行可能コードとして実行されるのを防ぐために使用されます。NX の基本原理は、データが配置されているメモリ ページを実行不可能としてマークすることであり、オペレーティング システムがこのオーバーフロー データを読み取ると、悪意のある命令を実行する代わりに例外をスローします。NX メカニズムの設計が完璧でない場合、または欠陥がある場合、攻撃者によって悪用され、オーバーフロー攻撃が開始される可能性があります。
ASLR (Address Space Layout Randomization、アドレス空間ランダム化) は、バッファ オーバーフロー攻撃に対抗するためにオペレーティング システムによって使用されるメモリ保護メカニズムです。この技術により、システム上で実行されているプロセスのメモリ アドレスが予測不能になり、これらのプロセスに関連する脆弱性の悪用がさらに困難になります。
SEHOPとは、Structured Exception Handler Overwrite Protectionの略で、構造化例外ハンドラー上書き保護を意味します。このうち、構造化例外処理とは、ある制御構造や論理構造に従ってプログラムの例外処理を行う手法のことを指します。構造化例外処理リンク リスト上の 1 つ以上のノードが攻撃者によって慎重に構築されたデータでカバーされている場合、プログラムの実行フローが制御される可能性があります。これが SEH 攻撃です。SEHOP は、Windows オペレーティング システムにおけるこの種の攻撃に対するセキュリティ保護スキームです。
GS はバッファ セキュリティ チェックを意味します。これは、バッファ オーバーフロー攻撃を防ぐための Windows バッファのセキュリティ監視メカニズムです。バッファ オーバーフローとは、コンピュータがバッファにデータ ビットを埋めたときに、埋められたデータがバッファ自体の容量を超え、オーバーフローしたデータが正当なデータを上書きすることを意味します。理想的な状況は、プログラムがデータ長をチェックし、バッファーの長さを超える文字の入力を許可しないことです。しかし、多くのプログラムは、データ長が常に割り当てられた記憶領域と一致すると想定しているため、バッファ オーバーフローの隠れた危険、つまりバッファ オーバーフローの脆弱性が生じます。GS の役割は、バッファ データに対してさまざまなチェックを実行することでバッファ オーバーフロー攻撃を防ぐことです。
匿名ネットワークとは、一般に、情報受信者が情報送信者の身元を突き止めたり、物理的な位置を追跡したりできない、または追跡プロセスが非常に困難な通信ネットワークを指します。この種のネットワークは通常、既存のインターネット環境下で特定の通信ソフトウェアで構成される特別な仮想ネットワークを使用することで、発信者の身元を隠します。その中でも、Torネットワーク(オニオンネットワーク)に代表される各種ダークネットは、比較的よく利用されている匿名ネットワークである。
攻撃者は、他人の ID/アカウントを盗み、その ID/アカウントに関連するシステム権限を取得して不正な操作を実行するだけでなく、ID/アカウントの所有者になりすましてさまざまなネットワーク操作を実行し、身元を隠すという目的を達成する。
スプリングボードの使用とは、攻撃者がターゲットを直接攻撃するのではなく、中間ホストをスプリングボードとして使用し、事前に設定された一連のパスを通じてターゲットを攻撃することを意味します。スプリングボード マシンを使用する主な理由は 2 つあります。1 つはイントラネットのセキュリティ ルールによって制限されており、ターゲット マシンには直接アクセスできない可能性があり、スプリングボード マシンを介して間接的にのみアクセスできることです。もう 1 つはスプリングボード マシンを使用するためです。 、攻撃者はある程度身を隠すことができます。その結果、システムに残る操作記録のほとんどは踏み台マシンによって行われ、防御側のトレーサビリティ分析の難易度が高まります。
不正な ID 詐欺とは、技術的手段を使用して ID 認識システムまたはセキュリティ アナリストを欺き、他人の ID を不正に使用してログイン システムを完成させ、違法な操作を実行し、悪意のあるプログラムやその他の攻撃を開始することを指します。
プロキシ サーバーは、特に他のネットワーク デバイスにインターネット アクセス エージェントを提供するサーバー デバイスを指します。プロキシ サーバーを使用しない場合、ネットワーク接続されたデバイスはインターネットに直接接続され、オペレータからネットワーク全体で一意の IP アドレスが割り当てられますが、プロキシ サーバーを使用する場合、ネットワーク接続されたデバイスは最初にプロキシ サーバーにアクセスし、プロキシ サーバーがインターネットにアクセスします。
場合によっては、攻撃者はさらに詳細な ID 隠蔽のために複数のレベルのプロキシ サーバーをセットアップすることもあります。
青チームの CPU 命令セットの習熟度は、青チームがシステム レベルの脆弱性を掘って悪用する能力を直接決定します。現在、最も一般的な CPU 命令セットは、x86、MIPS、ARM、および PowerPC です。
1) 作戦最高司令官:通常、攻撃チームの中で最も総合的な能力が高く、強い組織意識、適応力、豊富な実戦経験が求められる人物。戦略策定、タスク配分、進捗管理などを担当。2) インテリジェンス収集者: インテリジェンス偵察と情報収集を担当し、収集される内容には、対象システムの組織構造、IT 資産、機密情報の漏洩、サプライヤー情報などが含まれますが、これらに限定されません。3) 兵器および機器メーカー: 脆弱性の悪用とツールの作成を担当し、攻撃チームの中核となる戦力であり、脆弱性を発見して悪用できるだけでなく、安定的かつ徹底的な悪用を実現するよう努めなければなりません。さまざまな環境での脆弱性。4) RBI 実装者: アクセス ポイントの取得、Web 侵入の実行などを担当します。脆弱なリンクを見つけた後、抜け穴やソーシャルワーカーを利用して外部ネットワークシステムの制御権限を獲得し、内部ネットワークに接続する経路を見つけて拠点(踏み台)を確立します。5) ソーシャル ワーカーのフィッシング担当者: ソーシャル ワーカーへの攻撃を担当します。セキュリティ意識の不足やセキュリティ能力の不足など人間の弱みにつけ込み、ソーシャルエンジニアリング攻撃が行われ、フィッシングメールやソーシャルプラットフォームを介して欺瞞が行われ、イントラネットに侵入されます。6) イントラネット浸透担当者:イントラネット参入後の水平展開を担当します。インテリジェンスコレクターの知性と他の弱点を組み合わせて利用し、水平方向に拡張し、戦闘の結果を拡大します。コアシステム権限の突破を試み、コアタスクを制御し、コアデータを取得し、最終的に目標の突破作業を完了します。
◆ 5.4 誤解: トラフィックを難読化し、検出を回避する
直接権限アクセスの脆弱性を持つ複数のシステムを発見し、トラフィック量の多い特定のシステムを正面から攻撃して火力を引き込み、側面からのトラフィックを最小限に抑えて直接権限を取得し、イントラネットを迅速に突破します。
チームリーダー以外のメンバーはマーケティングWebサイトに注力しており、IPネットワークセグメントに属する多くの踏み台を用意しており、発見されようがブロックされようが気にせず、脆弱性スキャナーも使用し、トラフィック脅威分析システムのオープン化に努めています。大規模な「分散型サービス妨害」により、レッド チームの防御側は分析と対応で多忙になりました。一方、チーム リーダーは、静かに異なる IP とブラウザのフィンガープリントを使用して Web アプリケーションに侵入し、使用するトラフィックを最小限に抑えようとしました。サーバーを攻撃し、マーケティング Web サイトの攻撃の洪水の中に脅威データを沈めさせます。
◆ 5.5 迂回: サプライチェーンを標的とした攻撃
まず、「朗報」「落札」「契約」「協力」「承諾」などのキーワードで検索し、自社のサプライヤーや取引先をネットワーク全体で絨毯調査します。
◆ 5.6 Li Daitao ゾンビ: 攻撃を回避し、ターゲットを取得します。
Web サイトのホームページをスクリーンショットに置き換えたり、すべてのデータ送信インターフェイスをシャットダウンして Excel テーブルの形式でデータをインポートしたり、イントラネット ターゲット システムの IP を制限して、特定の管理者 IP のみがアクセスできるようにしたりするものもあります。
親会社が攻撃できない場合は、二次子会社を攻撃します。
第 2 レベル子会社が攻撃できない場合は、第 2 レベル子会社の配下の第 3 レベル子会社を攻撃します。
◆ 5.9 白兵戦: 近接攻撃源の侵入、イントラネットへの直接アクセス
インターネット上で対象者と同じスタイルのバッジを購入し、偽の身元情報を作成して社内職員になりすまして、勤務時間内に対象のオフィスエリアに公然と立ち入ります。
◆ 6.1 戦争準備段階: 兵士と馬は動かず、食料と草が優先
グループを率いてください。攻撃訓練と防御訓練の組織と指導力を強化し、攻撃訓練と防御訓練の効果を確保するためには、攻撃訓練と防御訓練の指導と指揮を統一する訓練指導グループを設立する必要がある。リーダーシップチームの主な責任は次のとおりです。・演習ワーキンググループの責任を確認し、指揮グループに実行権限を与える。・戦時中は実戦段階の始動会議に参加し士気を高める。· 重大なセキュリティ インシデントに関する決定を下します。・危機広報を実施する。
演習コマンドグループ。訓練指揮グループは、攻撃および防御訓練タスクを組織および展開し、特に攻撃および防御訓練作業を管理および調整し、上位部隊および戦時司令部に報告するために、指導グループの下に設置されます。演習指揮グループの主な任務は以下のとおりである。· 守備戦略の焦点に関する意思決定。・各グループの作業メカニズム、プロセス、担当者配置の実施を促進します。・防衛日の定例ミーティングを開催し、その日の防衛結果を集計・分析し、先頭グループに日々の業務をアウトプットします。· 防衛作業におけるその他の問題を調整し、解決します。
監視チーム。ネットワーク、セキュリティ、システム、アプリケーションなどの複数の監視ポイントの担当者で構成され、不審な攻撃行為をリアルタイムで監視し、事前分析を行いますが、監視チーム担当者は初期侵入能力を備えている必要があります。
判断分析グループ。疑わしい侵入行為に関する調査と分析を実施します。
緊急対応チーム。攻撃をブロックしてタイムリーに処理し、攻撃された資産をログオフして強化します。
トレーサビリティ対策グループ。攻撃オブジェクトのソースを追跡し、攻撃者に対抗し、防御レポートの編集を支援します。
諜報集団。インテリジェンス調整部門およびサプライヤー (機器、アプリケーション、サービス) とともに攻撃の手がかりと脆弱性インテリジェンスを収集し、インテリジェンスの共有を実現するために適時に報告します。
セキュリティグループ。基本的な環境と施設の利用可能性に関する技術支援を提供し、戦闘現場で必要な生活物資の後方支援を提供します。
調整連絡グループ。下部ユニット、外部ユニット、兄弟ユニット、近隣ユニットの調整と連絡を担当します。
(1) 資産の分別 1) 機密情報の分別。機密情報漏洩インテリジェンス サービスを利用して、参加部隊によってインターネット上に公開された機密情報を分類し、クリーンアップまたは隠蔽することで、情報が攻撃チームによって使用されるリスクを軽減します。2) インターネット資産の発見。インターネット資産検出サービスを使用して、参加しているユニットによってインターネット上に公開されている資産を整理し、未知の資産とサービスを見つけて、インターネット システム資産リストを作成し、資産の属性と資産情報を明確にし、未所有、重要ではない、高品質の資産をクリーンアップします。リスク資産。3) イントラネット資産の分類。イントラネット資産、コンポーネントのバージョン、責任者、指紋認証などを整理することで、イントラネット資産の状況を明確にし、その後の是正・強化を容易にする資産リストを作成し、緊急時は責任者に通知することができます。脆弱性が特定され、タイムリーに修復されるほか、重要なシステム (集中型システムを含む) を特定することで、その後の重要なシステムの保護や業務フローの整理も容易になります。4) サードパーティのサプライヤーを整理します。機器メーカー(ネットワーク機器、セキュリティ機器など)、アプリケーション開発者、サービスプロバイダー(クラウドサービス、運用保守サービスなど)を含むすべてのサードパーティサプライヤーを整理し、適切な対応を求める。独自のセキュリティ管理、製品のセキュリティ強化、防御モニターのサポートを提供します。5) ビジネス接続単位の整理。すべてのビジネス接続ユニットと接続形態、システム、地域、IP 入口を整理し、保護と監視の状況を把握し、参加しているビジネス接続ユニットと協力して共同で予防と制御を行い、セキュリティ インシデント通知メカニズムを確立します。6) クラウド資産の分類。プライベートクラウドのクラウド管理基盤、クラウドソフトウェア、基盤OS、パブリッククラウド資産を整理することで、クラウド資産の状況を明確にし、その後の是正・強化を容易にするための資産リストを作成します。緊急対応に間に合うように通知され、関連コンポーネントの露出された脆弱性が適時に特定され、修復されました。
(2) ネットワークアーキテクチャの整理 1) ネットワークアクセスパスの整理。システム アクセス ソース (ユーザー、デバイス、システムなど) のタイプ、場所、ネットワーク ノードを明確にし、セキュリティ アーキテクチャを整理した後、その後の監視やソース トレースに便利なようにし、North-South 監視トラフィックの整合性を確保します。 。2) 運用保守のアクセスパスを整理する。潜在的な安全上の危険があるかどうかを特定し、その後の最適化、統一的な修正、強化を促進し、保護および監視機器が不足していないかどうかを確認します。3) セキュリティアーキテクチャを整理する。フレームワークのレビューを通じて、セキュリティドメインの分割が合理的かどうか、保護および監視機器の配備場所が適切かどうか、不備はないか、潜在的な安全上の危険はないかどうかを評価します。4) セキュリティデバイスの導入。安全保護作業の円滑な進行に影響を与えないよう、参加部隊は関連する安全装備をできるだけ早く補充することが推奨されます。近年の防衛プロジェクトの経験に基づいて、主要な箇所に顧客に不足している安全保護装備を評価します。
(3) 安全検査 1) 定期的な安全検査。定期的なセキュリティ検査、つまり従来のセキュリティ評価および検査作業には、主にネットワーク セキュリティ、ホスト セキュリティ、アプリケーション セキュリティ、端末セキュリティ、ログ監査、バックアップなどのセキュリティ評価が含まれます。安全点検作業では、参加ユニットの環境に存在するリスクを徹底的に調査し、点検結果に応じて「リスク是正報告書」を作成します。2) 特別検査。高リスクかつ低コストの問題を可能な限り回避するために、主にパスワードと不正な脆弱性、重要なシステム セキュリティ チェックなどが含まれる、攻撃チームが使用する主要な攻撃手法とターゲットの特別な一覧表を実行します。3) Web セキュリティの検出。Web セキュリティの検出では、潜在的なセキュリティ脆弱性を最大限に発見することに重点を置き、以前に発見された隠れたセキュリティ脆弱性が適切に修正されているかどうかを検証する必要があります。状況が許せば、ソースコードのセキュリティ検査、セキュリティの脆弱性スキャン、重要な情報システムの侵入テストなどのWebセキュリティ検査を実施します。脆弱なパスワード、任意のファイルのアップロード、ミドルウェアなど、Web侵入における脆弱なリンクの検出に重点を置く必要があります。リモートコマンド実行、SQLインジェクションなど (4) 攻防訓練 攻防訓練の目的は、実戦を模擬し、リスク自己点検及びセキュリティ強化段階の作業効果を検証すること、各ワーキンググループのこれまでの作業結果を検証すること、及び安全性を検証することである。ネットワーク攻撃を監視、発見、分析し、対処する部隊の能力、安全保護措置と監視技術的手段の有効性をテストする、各作業グループの調整と協力の暗黙の理解をテストする、および技術計画の合理性を十分に検証する; 攻防訓練の実際の状況に応じて、監視、早期警戒、分析、検証、廃棄およびその他のリンクの職務責任と作業内容の実施を要約し、技術計画をさらに改善し、戦時作業の強固な基盤を築きます。
◆ 6.2 戦闘段階:戦前の動員、士気の高揚
一般に、集中型システムは攻撃者の主な標的となります。集中システムを停止すると、その管轄内のすべてのホストを制御できるようになります。集中管理システムには、ドメインコントローラーサーバー(ドメインコントローラー)、DNSサーバー、バックアップサーバー、ITSM運用保守管理システム、Zabbix、Nagios、Bastionマシン等の統合監視保守システム、研究開発サーバー、SVN、Git、研究開発用個人端末、運用システム等が含まれます。個人端末やVPNログイン・シングルサインオン入口など
◆ 6.4 要約段階: 包括的なレビュー、経験の要約
攻撃チームがよく使用する従来のペネトレーション攻撃手法 (頻繁に使用される WebLoigc 逆シリアル化コマンド実行攻撃、JBoss リモート コード実行攻撃、Struts2 リモート コマンド実行攻撃、Redis 不正アクセス攻撃、Eternal Blue 脆弱性攻撃、Windows オペレーティング システム脆弱性攻撃、データベース脆弱性など)パスワードとオペレーティングシステムの脆弱なパスワード攻撃、FTP匿名ログイン攻撃、rsync不正アクセス攻撃、HTTP OPTIONSメソッド攻撃、SSL/TLS存在Bar Mitzvah攻撃脆弱性攻撃、X-Forwarded-For偽造攻撃など)
◆ 7.1 情報のクリーニング: インターネットの機密情報
機密情報を含むファイルを公共情報プラットフォームにアップロードすることは固く禁じられており、漏洩した機密情報を定期的に収集することにより、インターネット上に公開されたユニットの機密情報を適時に発見してクリーンアップし、リスクを軽減します。部隊の機密情報の漏洩が増えると同時に、攻撃チームが機密情報を収集するための時間コストが増加し、その後の攻撃の難易度が高まります。
◆ 7.4 核心を守る: 重要なポイントを見つける
「最小限の原則」に従ってアクセス権をオープンにし、最終的には、ターゲット システムを内部ネットワークに展開し、インターネットへの直接公開を可能な限り回避する必要があります。条件が許せば、対象システムホストにもセキュリティ保護ソフトウェアを導入し、対象システムホストのプロセスホワイトリスト制限を行うことができ、防御中は対象システムのセキュリティ状況をリアルタイムに監視できます。
◆ 7.6 積極的な防御: 包括的な監視
状況把握システムとセキュリティ機器間の連携ルールを導入することで、ネットワーク全体のセキュリティ機器の警報情報が収集され、状況把握システムがセキュリティ警報情報を受信した後、事前に設定された境界遮断戦略を自動的に発行します。ブロックとインターセプトにより、手動による参加が大幅に削減されます。
ネットワーク トラフィック全体を監視して攻撃動作を捕捉するのが、現在最も効果的なセキュリティ監視方法です。
◆ 8.1.1 文書情報漏洩の防止
攻撃者は通常、次の種類の Web サイトまたはツールを使用してターゲット ユニットの情報を検索します: CNKI、Google Scholar、Baidu Academic などの学術 Web サイト、Vdisk、Baidu Netdisk、360 クラウド ディスクなどのネットワーク ディスク、 · コードGitHub、Bitbucket、GitLab、Gitee などのホスティング プラットフォーム、入札 Web サイト、自社構築の入札 Web サイト、サードパーティの入札 Web サイトなど、Baidu Wenku、Douding.com、Daoke Baba などのライブラリ、 WeChat グループ、QQ グループ、フォーラム、ポストバーなどのソーシャル プラットフォーム
攻撃者にとって最も人気のある文書情報には、次のカテゴリが含まれます。ユーザー マニュアル: VPN システム、OA システム、メールボックス、およびその他のシステムのユーザー マニュアル。機密情報には、アプリケーション アクセス アドレス、デフォルトのアカウント情報などが含まれる場合があります。·インストールマニュアル: アプリケーションのデフォルトパスワード、ハードウェアデバイスの内部および外部ネットワークアドレスなどが含まれる場合があります。· 納品ドキュメント: アプリケーション構成情報、ネットワーク トポロジ、ネットワーク構成情報などが含まれる場合があります。
具体的な取り扱い方法は以下の通りです。1) 機密文書をネットワーク ディスクまたはライブラリにアップロードすることは許可されていないため、定期的に確認する必要があることはシステムから明らかです。2) ユニットに関連する機密文書は第三者の担当者にも必要であり、契約ユニットの許可がない限り、プロジェクトに関係のない担当者と共有したり、オンライン ディスクなどのパブリック プラットフォームにアップロードしたりしてはなりません。 、ライブラリ、QQ グループ共有。発見したら厳重に対処してください。3) 上記のさまざまな Web サイトやツールでユニットのキーワードを定期的に検索し、機密文書を見つけた場合は、アップロード者またはプラットフォームに削除するよう依頼してください。
◆ 8.1.2 コードホスティング漏洩対策
コード ホスティングの漏洩を防ぐための提案は次のとおりです: 1) コード ホスティング Web サイトにプロジェクトのソース コードを開示することは固く禁じられています; 2) 開発者が制御不能なコンピュータにソース コードをコピーすることは禁止されています。他の主要なコード ホスティング Web サイトを使用して自分のユニットのキーワードを検索します。そこで自分のユニットのソース コードを見つけた場合は、アップローダーまたはプラットフォームに削除するよう依頼してください。
◆ 8.1.3 過去の脆弱性の漏洩防止
ほとんどの攻撃者は、対象のユニット システムの脆弱性情報、または対象のユニット システムと同じフィンガープリントを持つシステムを脆弱性プラットフォーム上で検索し、その脆弱性情報に基づいて脆弱性が存在するかどうかをテストします。直接的に悪用されてしまいます。現在主流の脆弱性報告プラットフォームは以下の通りです。· Butian プラットフォーム: https://www.butian.net/。脆弱性ボックス: https://www.vulbox.com。· ダーククラウドミラー: http://www.anquan.us. ハッケローネ: https://www.hackerone.com。
廃棄案としては、1) 主要な脆弱性プラットフォーム上で本機の脆弱性情報を収集し、逐次修復状況を確認する、2) 本機が使用している同一の商用システムまたはオープンソースシステムの脆弱性情報を収集する、となります。 、ユニットのシステム内に脆弱なプラットフォームがあるかどうかを、公開された脆弱性を 1 つずつ確認します。
◆ 8.1.4 人事情報漏洩の防止
廃棄提案は以下のとおりです: 1) 従業員のセキュリティ意識を高め、不審なメールを安易に開かない、機密情報を未確認の担当者に開示しない、未確認の担当者をビジネスグループまたはその他の機密性の高い作業グループに追加することを禁止する; 管理者の個人情報などの機密情報を保管するその中にメールアドレスと電話番号が入っています。
◆ 8.1.5 その他の情報漏洩の防止
廃棄に関する提案は次のとおりです: 1) アクセス セキュリティを確保するために、下位ユニットのシステムにアクセスする前に、下位ユニットのシステムと相互接続し、セキュリティ保護および検出機器をネットワーク レベルで展開し、コード監査と侵入テストのレポートを発行します。条件が許せば、他のシステムユニットや個人の共有パスワードと通信しないようにするため、動的パスワードやキー認証を追加してハッカーによるデータベース攻撃を防ぐことができます; 3) パブリッククラウド上でホストされているシステムの場合、クラウドプロバイダーは個別に展開する必要があり、サイドチャネル攻撃を防ぐために、ネットワークセグメントを他のユニットシステム、サーバーやストレージなどのコンポーネントと共有しないでください。
◆ 8.5 強化された保護アーキテクチャ
VPN は誰にとっても利便性をもたらしますが、攻撃者にとって最も人気のある攻撃経路の 1 つでもあり、VPN が侵害されると、攻撃者はイントラネットに侵入した後は妨げられなくなります。同時に、VPN の暗号化特性により、攻撃者はすべてのセキュリティ保護デバイスをバイパスすることができ、発見されるのは容易ではありません。廃棄の推奨事項は次のとおりです。1) 複数の VPN セットの場合は、それらを結合してみます。2) プロバイダーの VPN リモート メンテナンス チャネルを予約している人は、使用したらチャネルを開き、使い果たしたら閉じるという戦略を採用します。3) VPN + アクセス認証の 2 層認証を採用します。つまり、VPN ダイヤルインの後にアクセス認証と 2 要素認証を追加します。VPN が侵害されると、アクセス認証が保護の 2 番目の障壁になります。4) VPN アカウントの分類: VPN アカウント、特に外部関係者のアカウントは、無効にできるものは無効にし、無効にできないものは使用期間に応じて制御できます。5) VPN アクセス許可のクリーンアップ: VPN にダイヤルインした後にアクセスできるリソースを明確に承認します。6) VPN アカウントのクリーンアップ: デフォルトの管理アカウントをクリーンアップします。割り当てられた VPN アカウントについて、一度も使用されていないアカウントをシャットダウンし、他のアカウントには強力なパスワード ポリシーを採用し、パスワードを定期的に変更します。
◆ 8.5.3 ホスト側の防御
現在、主流の Web ミドルウェアには、WebLogic、WebSphere、JBoss、Tomcat、Nginx などが含まれます。このような脆弱性を防ぐには、①セキュリティパッチを定期的に適用する、②ミドルウェアを安全なバージョンにアップグレードする、③セキュリティ上の問題がある未使用のコンポーネントを無効にする、④バックグラウンドの管理ポートや機密ディレクトリを外部に開かない、④セキュリティパッチを定期的に適用する、といったいくつかの方法があります。
ミドルウェアのバックグラウンド保護対策は、①デフォルトパスとデフォルトポートの使用を禁止する、②ミドルウェアのバックグラウンドがインターネットに公開されることを禁止する、③ミドルウェアのバックグラウンドがイントラネット上のアドレスへのアクセスを制限する、④ミドルウェアのバックグラウンドの使用を禁止する、というものです。ミドルウェアのデフォルトのユーザー名とパスワード; ⑤ 本番環境でのテストシステムの公開を禁止します。
Web ミドルウェアのセキュリティ強化の提案は次のとおりです: ① デフォルトのユーザー名とパスワードを変更する; ② Web サイトのディレクトリ機能を無効にする; ③ テスト ページを削除する; ④ 正式な環境でエラー ファイルがユーザーに直接返されることを禁止する; ⑤ 特別な要件がない場合、HTTP 送信方法は POST メソッドと GET メソッドのみを許可するように固定されています; ⑥ ログ機能を有効にします; ⑦ アップロードフォルダーの操作権限を閉じます; ⑧ ミドルウェア管理者のユーザー名に強力なパスワードを設定します; ⑥ ログ機能を有効にします。
◆ 9.1 国境防衛装備
ファイアウォールは最も基本的なセキュリティ保護装置であり、実戦演習においても主に以下のような保護方法により重要な役割を果たしています。1) ACL構成:ネットワーク内でネットワークエリアを分割することで、各エリアの機能を明確にし、各エリア間で明確な許可/拒否ACLを実現し、厳格なアクセス制御を実現します。数多くの攻撃的および防御的な戦闘により、地域間の孤立が攻撃者の水平方向の拡大範囲を大幅に制限する可能性があることが証明されています。2) ブラックリスト構成: ネットワークの外層に展開されたファイアウォールは、実際の戦闘において攻撃者/疑わしい攻撃者の IP アドレスをブラックリストに追加することで、ネットワーク層からの不審な攻撃トラフィックをブロックし、攻撃者が攻撃を継続することを防ぎます。これにより、攻撃者に攻撃 IP アドレスの変更を強制し、攻撃者の攻撃リズムを遅らせます。3) リアルタイム連携:実際の導入環境に応じて、トラフィック認識製品や脅威認識製品と連携し、分析された悪意のあるIPをブロックすることができます。4) 自動禁止: さらに、スキャンなどの攻撃に効率的に対処するために、プログラミングなどの方法で自動禁止措置を実装することができ、禁止の効率を向上させ、処理担当者の作業プレッシャーを軽減します。
◆ 9.1.2 侵入防止システム
IPS は、保護されたネットワークのトラフィック分析、異常または攻撃動作のアラームとブロック、レイヤー 2 ~ 7 のセキュリティ保護制御、およびユーザーの動作とネットワークの健全性ステータスの視覚的表示を実現するために、効率的な統合エンジンに依存しています。IPS は攻撃を発見するだけでなく、防御戦略を自動的かつリアルタイムで実装し、情報システムのセキュリティを効果的に確保します。
◆ 9.1.4 Webアプリケーションセキュリティクラウド保護システム
Webアプリケーションセキュリティクラウド保護システムは、クラウドWebサイトをセキュリティ保護するシステムで、Webサイトのセキュリティ保護サービスをSaaS型で提供する。企業 Web サイトの実際のセキュリティ ニーズと現状に応じて、インテリジェントな DNS 解決機能、DDoS 保護機能、Web アプリケーション攻撃保護機能、CDN アクセラレーション機能、セキュリティ運用機能、および統合構成管理機能を同じセキュリティ保護システムに統合します。この Web サイトは、クラウド WAF、クラウド アンチ D、クラウド アクセラレーション、CC 攻撃保護、アンチ クローラー、フルサイト ミラーリング (再保護された読み取り専用)、リアルタイムの監視と警報などの包括的なセキュリティ機能を提供します。そして視覚的なセキュリティ。これにより、Web サイトのデータ漏洩や Web ページの改ざんのリスクが軽減され、Web サイトのリンクの信頼性が向上し、上位当局やネットワーク セキュリティ法執行機関から通知や処罰を受ける可能性が低くなります。
◆ 9.1.5 電子メール脅威認識システム
電子メール脅威検出システムは、さまざまなウイルス検出エンジンを使用し、脅威インテリジェンスと URL レピュテーション データベースを組み合わせて電子メール内の URL と添付ファイルに対する悪意のある判断を行い、動的サンドボックス テクノロジー、電子メール動作検出モデル、および機械学習モデルを使用して高度な検出を行う必要があります。脅威とそれらをターゲットにした攻撃メール。膨大なデータモデリングと大量メールの多次元シーン相関分析により、未知の高度な脅威をタイムリーに検出
◆ 9.2 安全性試験装置
機器が持つべきコア機能 1) 資産とアプリケーションの検出: データマイニングと調査を通じて企業資産の範囲を決定し、Web スキャン技術、オペレーティング システム検出技術、ポート検出技術、サービス検出技術、および Web のさまざまな機能を使用します。クローラーテクノロジーなどの検出テクノロジーは、参加ユニットの情報システム内のホスト/サーバー、セキュリティデバイス、ネットワークデバイス、産業用制御デバイス、Webアプリケーション、ミドルウェア、データベース、メールシステム、DNSシステムをアクティブに検出し、資産およびアプリケーションリストを生成できます。このリストには、デバイス タイプ、ドメイン名、IP、ポートが含まれるだけでなく、資産上で実行されているミドルウェア、アプリケーション、技術アーキテクチャの詳細 (タイプ、バージョン、サービス名など) も詳細に特定できます。2) 情報セキュリティ資産ポートレート図:資産とアプリケーションの発見をベースに、各業務を整理・分析し、情報システムの実態、業務特性、資産の重要性などをベストプラクティスと組み合わせて情報をまとめます。情報セキュリティの分野で、最後に参加ユニットの独占的な資産ポートレートを形成し、参加ユニットの独占的な情報セキュリティ資産ポートレートを構築します。資産ポートレートが構築された後、ドメイン名、IP、ポート、ミドルウェア、アプリケーション、技術アーキテクチャ、変更ステータス、ビジネス タイプ (カスタム)、およびその他の条件に従って資産をクエリし、カウントすることができます。
◆ 9.2.2 自動侵入テストシステム
Web サイトの URL 検出方法は、ターゲットのフィンガープリントを実行し、ミドルウェア、一般的な Web サイトのフレームワーク、開発言語、オペレーティング システムなどのフィンガープリント情報を収集し、プラグイン ライブラリから関連する脆弱性プラグインを検索し、既存の脆弱性を検出します。
IPアドレス検出方法は、対象のポートをスキャンし、外部に公開されているサービスを発見し、対応するサービスの種類を特定し、関連する脆弱性プラグインを見つけて、脆弱性が存在するかどうかを判断します。
自動侵入テスト システムは、コマンドの実行、SQL の実行、ファイルのアップロード、シェルのバインド、Webshell のアップロード、ファイルのダウンロードなどを実行できる、ワンクリックのエクスプロイト機能を提供します。自動侵入テスト システムによって提供される Web フィンガープリント ライブラリは、600 を超える CMS (コンテンツ管理システム) を識別できます。
◆ 9.2.3 オープンソースコンポーネント検出システム
デバイスが持つべき中心機能はオープンソース検出です。アプリケーション システムに含まれるオープンソース コンポーネントを正確に特定し、企業がオープンソース コンポーネント資産台帳を確立できるように支援し、各ソフトウェア システムのオープンソース コンポーネント資産リストを出力し、対応するオープンソース コンポーネントの脆弱性情報、オープンソース契約情報、オープンソース コンポーネントの修正提案など。同時に、サービスチームは、脆弱性評価モデルに従って出力されたセキュリティ脆弱性を分析し、科学的かつ合理的な脆弱性修正の優先順位と修正提案を提供し、修復が困難なオープンソースコンポーネントに対して軽減策と強化の提案を提供します。修復できない緊急の脆弱性を提供し、検証を提供します。
◆ 9.2.4 運用保守セキュリティ管理・監査体制(要塞ホスト)
運用保守セキュリティ管理・監査システム(フォートレスマシン)は、認証・認可・アクセス・監査という管理プロセス設計概念に基づき、一元的な運用保守管理・監査を行います。バイパス展開モードを採用して、端末のネットワークおよびサーバーリソースへの直接アクセスを遮断し、プロトコルプロキシ方式を使用して、運用保守の集中管理と制御、プロセスのリアルタイム監視、アクセスコンプライアンス制御、プロセスのグラフィカルな監査と、企業向けの事前予防、イベント中の監視、イベント後の監査の一連の安全管理システムを構築します。
◆ 9.3 流量監視装置
ネットワーク トラフィックと端末 EDR ログに基づいて、トラフィック脅威認識システムは、脅威インテリジェンス、ルール エンジン、ファイル仮想実行、機械学習などのテクノロジーを使用して、ネットワーク内のホストとサーバーに対する既知の高度なネットワーク攻撃と未知の新しいネットワーク攻撃を正確に検出します。 、ローカルビッグデータプラットフォームを使用して、トラフィックログとターミナルログを保存およびクエリし、脅威インテリジェンスと攻撃チェーン分析に基づいてイベントを分析、判断、追跡すると同時に、境界NDR、ターミナルEDR、および自動オーケストレーションと組み合わせて、廃棄しても、脅威は時間内にブロックできます。
◆ 9.3.2 状況認識およびセキュリティ運用プラットフォーム
状況認識およびセキュリティ運用プラットフォームはビッグデータ プラットフォームに基づいており、複数かつ異種の大量のログを収集することで、相関分析、機械学習、脅威インテリジェンスなどのテクノロジーを使用して、企業がネットワーク セキュリティの状況を継続的に監視し、ネットワーク セキュリティの状況を継続的に監視し、ネットワーク セキュリティからの変革を実現します。これは、セキュリティ管理者にリスク評価と緊急対応のための意思決定のサポートを提供し、セキュリティ運用担当者に脅威の発見、調査と分析、対応と廃棄のためのセキュリティ運用ツールを提供します。
◆ 9.3.3 ハニーポットシステム
ハニーポット技術は本質的に攻撃者を欺くための技術です。防御側は、ホストやネットワークサービス、情報を餌として攻撃者を誘い出して攻撃させることで、攻撃の挙動を捕捉・分析し、攻撃者が使用するツールや手法を理解し、攻撃の意図や動機を推測することができます。技術的および管理的手段を通じて実際のシステムのセキュリティ保護機能を強化するために、直面しているセキュリティの脅威に対処します。
1) アクティブなベイティング: リアルタイムのトラフィック プルを通じて、ベイトを指すトラフィックが集中ベイト リソースにプルされます。2) マルチデバイス エミュレーション: クラウド ビッグ データから収集された数百のプロトコルのデバイス フィンガープリント (バナー) ライブラリと組み合わせることで、数千のネットワーク デバイスまたはサービスをシミュレートできます。攻撃者向けの一部の自動ツール検出 (Nmap のポート スキャンなど) は、より優れた欺瞞を実行できます。3) 資産の模倣性の高さ: 第一に、実際の資産にできる限り近づけるためにさまざまな手段を使用し、第二に、交通データと資産データに基づいて、シミュレーション資産を現実の資産にできる限り近づけます。4) 追跡可能性と証拠の収集: 攻撃の特性に基づいて、トラフィックは対応するハニーポットに分散され、アクティブな追跡メカニズムを使用して攻撃チェーンのソースを追跡します。インテリジェンス追跡と攻撃者情報の集約および追跡メカニズムを通じて、完全な攻撃プロファイル マップが形成されます。5) 積極的な対策:騙し・罠プラットフォームに踏み込む攻撃者に対しては、JSONPによる対策、ファイルダウンロード詐欺対策、MySQL対策、RDP対策など、一定の対策を講じます。攻撃対策によって取得される情報には、攻撃者のブラウザのプライバシー データ、ホスト アカウント、ホスト IP とポートのオープン状態、個人のアプリケーション アカウントと ID ID などが含まれますが、これらに限定されません。
◆ 9.4 端末保護装置
Endpoint Detection and Response (EDR) は、高度な脅威の検出と対応という点で従来の端末セキュリティ製品を拡張および補足するもので、企業ネットワーク内の未知のリスクをさまざまな次元で評価し、脅威インテリジェンスを使用するためのコアとして動作エンジンを使用します。脅威の発見から対処までの時間を短縮し、ビジネス損失を効果的に削減し、可視性を高め、全体的なセキュリティ機能を向上させます。
◆ 9.4.2 サーバーセキュリティ管理体制
サーバー セキュリティ管理システムは、複数の仮想化アーキテクチャおよびオペレーティング システムと互換性があるため、企業がハイブリッド データセンター アーキテクチャの下でサーバー セキュリティを効率的に実装できるようにするサーバー セキュリティ製品です。このシステムは、サーバー側の軽量エージェント、セキュリティ強化サーバー システムおよびアプリケーション WAF プローブ、RASP プローブ、およびカーネル強化プローブ、管理、マイクロ分離、攻撃トレーサビリティ、運用保守の自動化、ベースライン検査などの機能により、サーバの効率的かつ安全な運用保守を実現します。
◆ 9.4.3 仮想化セキュリティ管理体制
仮想化セキュリティ管理システムは、クラウドコンピューティングや仮想化環境のセキュリティをワンストップで提供する製品です。本製品は、vSphere、XEN、KVM、Hyper-Vなどの仮想化環境やOpenStackなどのクラウドコンピューティングプラットフォームに対応し、ハイパーバイザー保護、クラウドホストシステム強化、マルウェア保護、アプリケーション制御などの機能を提供し、一元管理をサポートします。異種仮想化プラットフォーム。参加ユニットのクラウド データ センターを護衛します。
◆ 9.4.4 端末セキュリティアクセスシステム
端末セキュリティ アクセス システム (ネットワーク アクセス コントロール、NAC) は、主にデバイス アクセスのセキュリティ保護、ネットワーク アクセス セキュリティのコンプライアンス検査、ユーザーとデバイスの実名認証、コア ビジネスとネットワーク境界のアクセス セキュリティ、アクセスの解決に使用されます。ネットワーク リソースへの端末の不正なアクセスによって引き起こされるセキュリティ上の脅威を回避するための、トレーサビリティや監査などの管理上の問題。
◆ 9.4.5 端末セキュリティ管理体制
端末セキュリティ管理システムは、ウイルス対策、端末セキュリティ制御、端末アクセス、端末監査、周辺機器制御、EDR などの機能を統合した統合端末セキュリティ ソリューションであり、さまざまなオペレーティング システムやコンピューティング プラットフォームと互換性があり、企業の次の実現を支援します。プラットフォーム統合 最新化、機能統合、データ統合による三次元の端末セキュリティ保護。
◆ 9.5 脅威インテリジェンスシステム
脅威の可視化と、脅威インテリジェンスの分析から得られるネットワーク リスクと脅威の包括的な理解に基づいて、攻撃インシデントを迅速に検出し、脅威に対抗するために迅速かつ断固たる措置を講じることができます。脅威インテリジェンスの収集と分析は、ネットワーク セキュリティにとって不可欠な部分となっています。
◆ 10.1.4 粘り強く戦い、共同防御、共同制御
組織図
◆ 10.3.2 3 段階の戦闘、訓練の防御ジレンマを解決
第 1 段階の前半では比較的多くのセキュリティ インシデントが発生しますが、その中でスキャンとツール テストのアラームが占める割合が高く、現在、攻撃チームは攻撃経路を常に探索しています。
第 1 段階の後半では、スキャン インシデントは減少しましたが、脆弱性とアップロード インシデントが増加していることがわかります。現時点で、攻撃チームはいくつかの考えられる攻撃経路を発見し、暫定的な攻撃を開始し続けています。
2 番目のステージは、青のチームが国境を突破してイントラネットに侵入することを表します。第 2 段階の最初の部分では、ホスト スキャン イベントが増加します。青チームが経路を見つけて攻撃を試みた後、ターゲットホストに激しい攻撃を開始します。このとき、攻撃されたホストは大量のアラームを生成します。
第 2 フェーズの後半では、ホスト スキャン イベントは減少しますが、オペレーティング システムと脆弱性のセキュリティ イベントは増加します。防御チームは、各アラームへの対処の適時性と有効性を確保する必要があります。
第 3 段階の前半では、スキャン、脆弱性、アップロード イベントが同時に増加します。攻防が激しくなり、終盤にはより多くの攻撃リソースが集中する
◆ 11.1 実際の攻撃および防御訓練の組織的要素
攻撃チームは複数のセキュリティベンダーが独立して編成するのが一般的で、各攻撃チームは3~5人規模で構成されるのが一般的です。許可を前提とした侵入攻撃は、主に資産探索、ツールスキャン、手動侵入によって実行され、演習対象システムの権限とデータを取得します。防衛チームは参加部隊の要員やセキュリティベンダー等で構成され、主に防衛チームの所管資産の保護を担当します。
◆ 11.2 実際の攻防訓練の組織形態
実際のニーズから出発して、実戦での攻撃訓練と防御訓練には 2 つの主な組織形態があります。1) 州、業界当局、規制当局が主催する訓練。このような訓練は通常、あらゆるレベルの公安機関、あらゆるレベルのサイバーセキュリティおよび情報化部門、政府、金融、運輸、保健、教育、電力、通信事業者、その他の国家、業界当局または規制機関によって組織されます。業界の主要な情報インフラや重要なシステムに対して、攻撃チームや業界のさまざまな企業・機関を組織し、実際のネットワーク攻撃・防御訓練を実施する。2) 大企業や団体が主催する訓練。金融会社、事業者、行政機関、公的機関などの政府・企業部門は、ビジネスセキュリティ防御システム構築の有効性検証要求に応じて、攻撃チームや企業・機関を組織し、実戦攻撃・防御訓練を実施しています。
◆ 11.4 実際の攻撃・防御訓練におけるリスク回避策
1) 防衛チームを買収することによる攻撃の禁止 2) 物理的侵入、外部の光ファイバーの切断および監視による攻撃の禁止 3) 電波妨害器および直接影響を与えるその他の攻撃方法の使用の禁止ターゲットシステムの動作。(5) 攻撃側が使用するトロイの木馬は、トロイの木馬制御端末に演習本部が提供するソフトウェアを使用する必要があり、対象となるシステムファイルの自動削除、ブートセクタの損傷、積極的な拡散、感染を行わないものであること。ファイルを破壊したり、サーバーのダウンタイムを引き起こしたり、その他の破壊的な機能を引き起こしたりすることがあります。この訓練では、破壊的で感染力のあるウイルスやワームの使用が禁止されています。(6) 違法な攻撃の阻止と通知 各攻撃チームの攻撃の監視を強化するため、訓練の全プロセスが攻撃的および防御的な訓練プラットフォームを通じて監視、記録、監査および表示され、訓練を回避します。ビジネスの通常の運営に影響を与える。訓練本部は技術支援部隊を編成し、攻撃の全フローを記録・分析し、違反攻撃が見つかった場合は違法攻撃を阻止し、手動対応に移行し、攻撃チームに報告する必要がある。
◆ 12.1 組織と計画段階
禁止される攻撃手法 DDoS攻撃、ARPスプーフィング攻撃、DHCPスプーフィング、ドメインネームシステム(DNS)ハイジャック攻撃、感染・自動複製ウイルス、マルチデーモン型トロイの木馬等の攻撃手法(例:外部光ファイバー切断・監視による攻撃) ; 防衛チームを買収して攻撃する; 合意された時間範囲外で攻撃する; 合意された IP 範囲外で攻撃する。
慎重に使用される攻撃手法 物理的攻撃(スマート アクセス コントロール、スマート メーターなど)、イントラネット ポートを介した大規模スキャン、権限取得後の侵害操作、ビジネス データの改ざん、メモリ オーバーフロー、バッチ クエリ。
◆ 12.5 演習の概要ステージ
1)報告書の収集:攻撃チームと守備チームから提出された概要報告書を収集し、情報をまとめます。2) バックドアをクリアする: 攻撃チームによって報告および監視されている攻撃トラフィックに従って、攻撃者によってアップロードされたバックドアをクリアします。3) アカウントと権限を取り戻す: 攻撃チームがレポートを提出すると、ターゲット システム上で新しく作成された攻撃チームのアカウントを含む、攻撃チームのすべてのアカウントと権限が取り戻されます。4) 回復装置: 攻撃チームのコンピュータ (または仮想端末) をフォーマットし、プロセス データをクリアします。5) ネットワーク アクセスを取り戻す: 攻撃チームのネットワーク アクセスを取り戻します。6) 運動データのクリーンアップ: 主催者が運動データのエクスポートを完了した後、プラットフォーム側で運動データをクリーンアップします。