因為所在單位的公司屬性,有幸作為防守方趕上了2019年的攻防演練。整個過程歷時幾個月時間,有思考、有規劃、有實施,但是因實際情況所限,總有一些想法沒有嘗試,總有一些規劃沒有「落地」,也有一些經歷過之後的恍然大悟,稍作記錄以便未來實踐並與即將參加2020年攻防演練的小夥伴們簡要分享。
攻防演練對各家公司里安全技術人員來說,真的喜憂參半,難以言表。借用我微信好友的一句話(出處不詳):「它讓公司CSO有種崇禎即位的複雜感覺。前者是興奮,受到高度重視,充滿雄心抱負收拾舊山河;後者是失落,內憂外患,雖有萬里長城但不知道敵人以什麼方式翻牆而入,長城成了一個奢級消費品;朝堂之爭如公司管理文化。山河好大總有文治武功第一king能收拾。」
本文主要闡述一下攻防演練各個階段的建議與小提示,如有雷同,純屬巧合。私信或評論提示後會及時修正。基本提綱如下:
1. 小道消息泛濫,制定內部計劃;
2. 擺正心態,虛心向乙方求教;
3. 高層匯報,尋求支持
4. 認真宣講,建立統一戰線;
5. 修正內部計劃,做好準備工作
6. 聯合乙方公司,開展預演練
7. 正式戰鬥;
8. 演練總結,高層匯報;
9. 對於2020年攻防演練的tips
一、小道消息泛濫,制定內部計劃
因為攻防演練的性質,決定了「參演名單」不到最後一刻,是不會正式通知的。所以對於【第一次、可能參演】的公司,早期的小道消息就極為重要。越是提早得知,越有充足的時間來做好準備工作,佛系對待攻防演練,甚至抱著可能不參加的僥倖心態,最後一般都死得很慘。消息來源可能是公安、總參(做「等保」總會認識一些)、網信辦(網安法主管部門)、乙方安全公司(利益往來)、同業公司(經驗共享)、安全應急響應中心(問題通報)等。考驗社交人際關係的時刻到了!
如果確定自身大機率會參加,那麼就可以著手準備了。不應擔心最後不在名單中而做了許多無用功,在名單里,該幹嘛幹嘛,不在名單里,按照在名單的情況模擬演練一遍,也是大有裨益的。當然這種情況要提前和管理層說明清楚,做好兩手準備的計劃、預算和商務事宜。畢竟攻防演練對安全人員來說算是一道東風,好好利用才是正道。
得到小道消息後,第一件事就是制定內部計劃:
(1)公司希望這次攻防演練達到什麼效果;
(2)公司希望得到什麼程度的排名;
(3) 公司準備投入多少人力、資金;
(4) 公司有哪些安全家底,設備、人方面還缺什麼;
(5) 公司近幾年的安全情況如何,短板在哪裡;
摸清公司的態度與家底,是制定第一版內部工作計劃的關鍵。
二、擺正心態,虛心向乙方求教
什麼是攻防演練,攻防演練怎麼玩,玩不好有什麼後果。如果公司不是很清楚,不妨和安全乙方公司好好交流一番。(說一句政治不正確的話:站在公司層面看,攻防演練是乙方的狂歡,甲方的噩夢)畢竟不是第一年開展這樣的演練,安全乙方公司實戰經驗更豐富,實戰方案也做的更完善,對攻防演練的理解也比多數甲方要深刻。該階段小tips:
(1)注意多和【不同屬性的安全乙方公司】做交流,這樣可以保障視野的全面性。所謂【不同屬性】指的是乙方公司的業務領域不同,導致看待攻防演練的視角不同,再加上要推銷自己的產品,拿出的攻防演練方案也不同。做網絡安全的公司、做終端安全的公司、做安全諮詢的公司、做數據安全的公司、做情報的公司、做滲透測試的公司,這些都是不同屬性的公司。利益驅動下的技術交流,導致乙方銷售往往不能跳出自身狹隘的安全觀,導致攻防演練方案雖好,但卻存在不易發現的短板問題。總之兼聽則明。
(2)和乙方交流後,公司基本上可以掌握一些攻防演練常識,甚至知道了應該買點什麼補充自己的不足。一般情況下,【買人頭、租設備】是比較可行的補充安全能力方式。商務結算也比較統一方便。而且越早買越便宜。這是一個【供求關係畸形】的特殊時期。
(3)一般情況下,企業可能需要如下設備:
1)必須品:防火牆、VPN、郵件反垃圾、防病毒;
2)日用品:WAF、EDR(終端管控)、反惡意郵件;
3)奢侈品:SOC、流量分析設備、蜜罐蜜網、沙箱、威脅情報、安全專家。
三、高層匯報,尋求支持
永遠不要忘記安全工作是「自上而下」開展的。需求高層支持或承諾至關重要。否則攻防演練就變成了安全人員或部門的自嗨行為,業務、IT完全充當旁觀者,甚至覺得安全人員很無聊,怎麼最近天天搞事情。該階段小tips:
(1)先給老闆扣一個政治正確的帽子,什麼「習大大419講話」,什麼「網絡安全法處罰條目」、「什麼同業排名」,里子面子都要照顧到,考驗安全從業者語言藝術的時刻到了。
(2)把和安全乙方公司交流過程中,聽到的攻防演練案例,翻譯成高層能聽懂的語言,再講一遍;18,19年的攻防演練,哪些公司被按在地上摩擦,是怎麼被摩擦的,我們要如何避免被摩擦,所以我們買哪些安全設備或人員,有理有據才能說的動老闆。
四、認真宣講,建立統一戰線
讓業務部門、IT部門理解攻防演練是什麼、攻防演練要注意什麼是非常重要的一個環節。讓業務、IT轉變心態,有一些緊張感與憂患意識。否則必然出現豬隊友問題。該階段小tips:
(1)講故事是最有效、最實際的方案;比如社會工程案例(雖然攻防演練中可能不允許社會工程行為)。可以參考《社會工程-安全體系中的人性漏洞》編寫一些案例來提高員工的安全意識。我司在攻防演練期間,結合公司實際情況給員工編寫了12個參考案例,這裡羅列幾個比較通用的。
案例參考書目:
1)《CISSP指南all in one》(最厚的那本);
2)《社會工程1-安全體系中的人性漏洞》;
3)《社會工程3-防範釣魚欺詐》。
案例猜想一:帳號騙取(例如星巴克註冊打折)
案例描述:某公司樓下出現一個星巴克廣告牌,寫著回饋周邊企業用戶,註冊享6折,並提供了註冊二維碼連結,某員工掃描二維碼後,註冊頁面要求,該活動只面向周邊企業客戶,必須用企業的郵箱帳號和密碼來註冊,員工未加思索,提供了企業郵箱帳號及密碼;
案例分析:(1)提供企業郵箱帳號後,發了一份激活郵件是正常註冊方式;(2)要求提供密碼是不正常的要求,應警惕帳號騙取風險;
案例啟示:禁止或儘可能避免使用企業郵箱及密碼在攻防演練期間進行註冊行為;
案例猜想二:辦公網非「常規PC終端」被病毒感染(前台終端)
案例描述:某公司前台小姐姐使用的PC終端在網絡劃分上歸屬於員工辦公網,攻擊人員通過各類手段,將病毒U盤插入前台PC終端,導致辦公網被攻破;例如長得很帥的攻擊人員可以假冒面試學生,請求前台協助列印一份個人面試簡歷,並將U盤交給前台小姐姐;
案例分析:(1)前台類終端在網絡劃分上應物理獨立,儘可能避免歸屬員工辦公網;(2)前台終端應禁止使用XP等沒有官方維護的作業系統,避免一些先進的「非接觸式」攻擊,比如通過藍牙頻段的信號攻擊;(3)加強外來人員管理,禁止外來人員「物理接觸」或「電子設備接觸」前台終端設備;
案例猜想三:辦公網非「常規PC終端」被病毒感染(wifi管理終端)
案例描述:某公司出於某種目的,搭建了wifi熱點供大家使用。但由於wifi熱點物理覆蓋面不可控,且wifi管理員帳號存在弱密碼問題,且為了維護方便,wifi熱點管理台IP網段屬於辦公網段地址,造成攻擊人員通過wifi攻擊進入辦公網,引起後續不良後果。
案例分析:(1)Wi-Fi熱點管理員帳號應避免弱密碼問題;(2)Wi-Fi熱點分配的管理IP應與辦公網IP段應隔離;(3)Wi-Fi熱點應關閉SSID廣播;
案例猜想四:情景式釣魚、惡意郵件攻擊(病毒投遞)
案例描述:某公司附近有一家快餐(或其他商店),攻擊方踩點後,投遞疑似該快餐店的優惠季郵件,帶有釣魚、惡意連結或附件,公司員工誤認為曾經在該餐廳以郵箱帳號註冊過信息,沒有對發件人信息等進行核對,點擊釣魚、惡意連結或下載附件,導致辦公終端中毒或中木馬,引起後續不良後果。
案例分析:(1)攻防演練期間,對於非公司員工發件人郵件,應謹慎對待;(2)不點擊來歷不明的連結;(3)不下載來歷不明的附件;
案例猜想五:情景式釣魚、惡意郵件攻擊(數據騙取)
案例描述:某公司收到「非常規發件人」的紅頭文件郵件,例如假冒公安部、網信辦,要求提供XXX數據信息,公司郵件接收人員未對相關發件人進行電話核實或向安全部門、法務部門進行諮詢,直接回復並發送XXX數據信息,導致數據被騙取;
案例分析:(1)攻防演練期間,對於非公司員工發件人郵件,應謹慎對待;(2)紅頭文件郵件應電話諮詢核實;(3)外發重要數據信息,應與安全部門、法務部門進行協商核對;
(2)為業務部門、IT部門建立諮詢機制,在攻防演練期間如果發現了一些異常,業務、IT人員應該怎麼做呢?可以向哪些安全從業人員需求諮詢呢?
這需要明確當遇到哪種問題時,應該去諮詢哪些人?異常情況類型與安全人員的映射清單應該給到業務與IT人員。安全縱然應該是人人有責,但也不意味著人人都要大量時間學安全,遇到安全問題知道聯繫哪位安全人員需求幫助,也算是一種進步。常見的問題包括「收到不明郵件」、「業務交易數據異常」、「保安遇到不明來源的人員」、「系統打緊急補丁」、「PC機異常」等。
五、修正內部計劃,做好準備工作
搞定高層的支持、兄弟部門的配合與理解,才是一個好的開始。否則後續工作都是一團亂麻,寸步難行。此時,需要對「小道消息泛濫、制定內部計劃」中的內部計劃進行修訂,並制定可落地的實施方案。關於攻防演練準備工作介紹的文章很多,幾句話帶過。如,應用系統納入VPN、IPS/IDS策略更新、防病毒庫更新、反垃圾更新、系統資產梳理、網際網路地址排查、Github代碼排查、雲盤數據排查、漏洞掃描/滲透測試、補丁更新情況審計、歷史漏洞回顧、特權帳號回收、變更管控等。總之「平時不抓緊,攻防演練準備007」。該階段小tips:
(1)補充防禦或監控設備的問題:幫乙方公司打一波廣告:(切記,量力而行,按需採購,雨露均沾。)
1)某來、某信的流量分析;
2)某雲的EDR;
3)某線的威脅情報;
4)某亭的WAF;
5)某安的蜜罐;
6)某信、某盟、某辰、某恆的套餐;
(2)封堵IP問題:在【以不出局為目標】的立場下,考驗的不是公司安全做得多麼精妙,而是【考驗封堵IP的快准狠】;封堵IP是攻防演練中的第二要義(第一要義是保障業務系統不要漏洞百出2333)。封堵IP是一個技巧活。大概要注意這麼幾個方面:
1)要讓安全人員有操作介面去封堵IP,不能靠工單流程,指望網絡人員去操作,時間上來不及;
2)要評估封堵一個c段、或者上萬IP對防火牆性能的影響,因為組織方的IP池可能很大,更有租用阿里雲的那種變態,搞分布式掃描,IP持續變化。如果封堵大量IP(量變引起質變)導致防火牆掛了或者CPU跳了幾十個百分比,就準備切腹謝罪吧。
3)封堵IP,自然要考慮怎麼解封IP,否則可能會被業務部門打死;
(3)海外分部問題:組織方可從來沒說過,為了避免意外不准打海外分部機構,尤其是那種剛剛建設好的海外分部,都是最好的攻擊跳板。往期也有很多先打分部再順著網絡專線打總部的例子。
(4)網絡專線問題:如果防守方和其他公司有網絡專線,那麼按照常理來說,貴司都參加攻防演練了,專線對面的公司大機率也要參加。專線不設防時常態,攻防演練期間是一個重大問題。
(5)各類行動小組問題:防守方為應對攻防演練,肯定是成立了大量的行動小組,什麼指揮組、監控組、分析組、處置組、專家組、協調組、情報收集組、監管匯報組、廠商協調組、待命組等等。很多文章都有講解,這裡為大家再補充幾個小組:
1)補丁修複評估組:攻防演練期間,一定能趕上微軟之類的大廠發版本補丁。另外還有各種針對0day快速交付的補丁。這些補丁在安全人員眼裡是要命的存在,但是對業務系統也可能是要命的,時間緊,任務重,打還是不打,需要專業的評估和意見。建議將主要業務部門、IT元老聯合起來,成立一個補丁修複評估組,在最短的時間內給出最合理的意見,把風險控制在最低。一般來說,攻防演練期間打5-10次補丁應該是要的。
2)安全問題受理組:前線瘋狂封IP,安全設備開啟強攔截策略,這種寧可錯殺1000,絕不放過一個的態度,固然很好,但必然導致業務受影響。專門建立一個問題受理組,可以有效平息業務部門、IT部門的怒火,當然,這個組會很忙。因為從控制變量的角度看,攻防演練期間發生的任何業務故障,都是你們安全人員的問題,我們業務系統平時運行的可好了,請你們優先排查。
3)權限供給組:安全做的越好的公司,往往權限管控也越嚴,申請特權帳號或權限的流程也越複雜,但是攻防演練期間,安全人員往往需要幾分鐘內就拿到某個系統的root帳號做緊急操作,怎麼辦?當然是需要一個權限供給組,否則響應效率必然大打折扣。
4)漏洞修復組件開發與支持組:要想在小時級內修復新發現的漏洞,必然要提前準備好標準的安全組件代碼,這才能保障時效。代碼可以從乙方公司購買也可以組織自己的IT人員開發,寫好代碼組件之後,還要教會開發人員怎麼配置和使用代碼,這樣想一想,確實需要一個漏洞修復組件開發與支持組。
(6)系統下線問題:老舊資產在攻防演練開始前要儘快回收。這個不必多說。另外一個問題就是被攻防演練組織方明確禁止的攻防演練期間系統下線問題。公司可以借鑑一下12306的日常操作,比如21點到第二天7點暫停提供服務,但是系統不下線,也是一個不錯的做法。當然需要做一些代碼配置的改動。應該算是合理的利用規則。
六、聯合乙方公司,開展預演練
如果資金預算充足的話,建議在攻防演練開始前開展預演練,或者自己組織紅藍隊進行演練。預演練主要有幾個目的:
(1)檢驗準備工作是否到位,讓攻擊方協助發現一些未處理的問題和隱患;
(2)檢驗防守端的人員能力和準備工作情況,各類預案是否真實可執行;
(3)評估防守能力大概在什麼段位?(大致分了6個level:裸奔level、工具一鍵打穿level、手動測試level、攻防演練不出局level、非0day不死level、神級level)
一次預演練下來,心裡也就有些數了,以免妄自菲薄或者過於自信。該階段小tips:
(1)如果紅隊(攻擊隊)是採購的,可以按照攻擊效果付費。無成果不付費;
(2)攻擊方要通過指定的VPN通道來攻擊;非VPN通道的攻擊可以用來演練IP封堵流程;
(3)每日要進行攻防對抗復盤,可按照如下流程執行:「問題及整改項回顧——今日漏洞或問題分析——防守方監控情況總結——整改任務下發。」伴隨預演練,及時進行告警規則調整、告警級別調整、告警處置策略調整、分析報告整理、防守方人員分配調整、處置流程優化、應急預案優化、取證分析能力評估等。
七、正式戰鬥
做了準備和預演練,正式攻防演練期間相對就沒那麼緊張了。一般來說,防守方第一周就能看出來誰是軟柿子誰是鋼板。以2019年3周攻防演練為例,第一周攻擊隊基本上是無差別洪水式攻擊,防守方封堵IP封得飛起,周五大概就有一批公司出局了。第二周會出現2級分化,有的防守方沒事幹,有的防守方被按在地上摩擦。大批量公司出局。第三周就是最後的衝刺階段了,由於防守方出局,攻擊隊空閒導致會重新再分配,有些堅持得不錯的防守方沒能看到黎明的曙光,被大神帶隊的攻擊隊壓倒性摩擦,功虧一簣,死的比較冤。總體來說,一刻也不能鬆懈,尤其是在第三周。該階段小tips:
(1)時刻警惕在野0day和官方補丁問題,一般只有一個晚上的修復時間,第二天大機率會有exp出現;
(2)警惕高頻掃描攻擊下,手動滲透測試攻擊行為。機器人掃描容易讓監控人員麻木,而忽視了暗度陳倉的攻擊流量;
(3)對於內網出現的異常流量,不要自己嚇自己,不慌張才能排查清楚原因。我司就出現過symantec進程重啟導致的網絡異常掃描行為,當場僵住。
(4)及時提交攻防演練報告的問題,組織方的聯絡員是大爺,千萬要客客氣氣的照顧好,多從他那裡打聽消息;
(5)每天多和同業、乙方公司銷售交流,掌握第一時間的攻防演練動態,恐慌往往源自知道的太少;
(6)每天例行開工作總結會,最好讓一把手參加,能當場決策的當場決策;
(7)5X8小時之外是不允許攻擊的,但是沒說不能做攻擊腳本的驗證工作,尤其是使用肉雞來做,神不知鬼不覺,第二天早上9點準時就送貴司出局;
(8)攻防演練第一周你就能感受到公司流程的敏捷性、資產信息的清晰性、網絡配置的詭異性,不用懷疑,這些都是歷史遺留問題,不是你的錯。
(9)養蠱問題:到底要不要為了加分而養一些IP位址呢?當你這麼想的時候,請立即停止你的愚蠢行為。養蠱只能有2種,堅決不養和堅決養。兩種都是對公司的安全工作絕對自信和絕對不自信。搖擺不定的想法,說明貴司的安全可能不是很可靠,這個時候貿然養蠱,隨時有出局的風險。真正有能力養蠱的公司,比如銀行、能源,早已有明確的養蠱策略,觸發哪些告警必須封堵,觸發哪些告警可以觀察一下,水坑、蜜罐、反制工具樣樣齊全,而且高度逼真。比如2019年出現的Coremail漏洞問題,能力強的防守方連夜就能發布一個有Coremail漏洞的郵箱系統蜜罐,就等著攻擊隊去掃描了。只要防守方捨得花錢,反衝鋒摩擦攻擊隊也不是不可能,成本和人力問題。
(10)提交組織方需要的溯源報告問題:數據怎麼從公司內網拿出來,而且是合規的拿出來,需要提前準備一下。
(11)有一些工具是攻防演練指揮現場需要提前準備好的:集中的場地、電腦、合適的網絡配置、固定電話、投影儀、會議室、U盤、印表機等。
(12)警惕防守監控人員里的間諜問題;
(13)監控告警的時候少吃零食,會變胖的。囧。
八、演練總結,高層匯報
攻防演練結束無論出沒出局,都需要做演練總結,哪裡做的好,哪裡做的不好,後續的完善計劃等等。並根據這些總結,制定未來的工作計劃,也就是我們俗稱的攻防演練常態化工作事項,是的,你沒聽錯,常態化事項。只要中美對抗的趨勢不變,未來的攻防演練還有很多,要做好心理準備。攻防演練會和等保測評一樣頻繁。除了內部總結內部匯報,還可以邀請乙方公司來講一講攻防演練期間的故事和案例,了解攻擊隊的日常工作和心態,了解同業的情況,了解組織方的情況等。都能提高公司對攻防演練整體情況的認識。
九、對於2020年攻防演練的tips
(1)不允許對系統做DDoS,但是可以對監控人員做告警DDoS。分布式非時序掃描探測,不同攻擊IP、不同攻擊類型、不同的被攻擊系統,讓監控告警的安全人員被無規則可循的告警淹沒,攻擊隊就可以暗度陳倉的;
(2)更頻繁的使用0day漏洞,fastjson、strusts、weblogic等一定會再次大放異彩的;只要換來的榮譽價值比漏洞價值高,攻擊方肯定會用的,這要看組織方給太多的誘惑;
(3)某服VPN在2019年被打後,應該今年會再次被打,畢竟占有率這麼高;
(4)攻擊隊分組問題,可能是大亂斗,隨便打,做好心理準備;
(5)警惕組織方從運營商那裡查防守方的專線情況,然後借用專線測試防守方;
(6)警惕IDC機房的攻擊IP;
(7)警惕境外IP渾水摸魚;
(8)攻防演練時間從3周變得更長時間的問題;
轉自FreeBuf