2024HW紅藍(lán)攻防構(gòu)建實(shí)戰(zhàn)化網(wǎng)絡(luò)安全防御體系

SQLVPN第4 藍(lán)隊(duì)攻擊的必備能第5 藍(lán)隊(duì)經(jīng)典攻擊實(shí) 第6 紅隊(duì)防守的實(shí)施階 WebApp第9 紅隊(duì)常用的關(guān)鍵安全設(shè)WebWeb運(yùn)維安全管理與審計(jì)系統(tǒng)（堡壘機(jī)第10 紅隊(duì)經(jīng)典防守實(shí) 第11 如何組織一場(chǎng)實(shí)戰(zhàn)攻防演 第13 組織沙盤(pán)推演的4個(gè)階第1章認(rèn)識(shí)紅藍(lán)紫信息安全漏洞共享平臺(tái)（CNVD）統(tǒng)計(jì)，通用軟硬件漏洞為19964個(gè)，2021年5月7日，美國(guó)燃油管道公司ColonialPipeline管網(wǎng)遭受攻際性實(shí)戰(zhàn)網(wǎng)絡(luò)防御演練——鎖盾（LockedShields）。鎖盾演練的主Storm2020）演練落幕，在美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）2021年11月15日至20日，美國(guó)網(wǎng)絡(luò)司令部舉行了“網(wǎng)絡(luò)旗幟VPN（VitualPrivateNetwork，虛擬私人網(wǎng)絡(luò)）設(shè)備，可以利用VPN和豐富的實(shí)戰(zhàn)經(jīng)驗(yàn)。而2··重的一年。根據(jù)Canalys的報(bào)告，2020年泄露的記錄比過(guò)去15解決可用性問(wèn)題，采取了“anytoany”的策略。防守單位很難在短力將安全工作前移，確保安全與信息化“三同步”（第2章藍(lán)隊(duì)攻擊的4圖2- 藍(lán)隊(duì)攻擊的4個(gè)階圖2- 藍(lán)隊(duì)準(zhǔn)備工Whois（音同“Whois”，非縮寫(xiě)）是用來(lái)查詢(xún)域名的IP及所有者庫(kù)。通過(guò)Whois可實(shí)現(xiàn)對(duì)域名信息的查詢(xún)。早期的Whois查詢(xún)多以命令列接口存在，現(xiàn)在出現(xiàn)了一些基于網(wǎng)頁(yè)接口的簡(jiǎn)化線上查詢(xún)工具，可以一次向不同的數(shù)據(jù)庫(kù)查詢(xún)。APNIC（Asia-PacificNetworkInformationCenter，亞太互聯(lián)網(wǎng)絡(luò)信息中心），是全球五大區(qū)域性因特網(wǎng)注冊(cè)管理機(jī)構(gòu)之一，負(fù)責(zé)亞太地區(qū)IP地址、ASN（自治域系統(tǒng)號(hào)）的分配并管理一部分根域名服務(wù)器鏡像。CNNIC（ChinaInternetNetworkInformationCenter，中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心）是我國(guó)的域名體系注冊(cè)管理機(jī)構(gòu)。APNIC和CNNIC均提供所轄范圍內(nèi)域名信息查詢(xún)的Whois服務(wù)。nslookupnslookup是Windows接DNS服務(wù)器、查詢(xún)域名信息。它可以指定查詢(xún)的類(lèi)型，可以查到DNS記錄的生存時(shí)間，還可以指定使用哪個(gè)DNSTCP/IP協(xié)議的電腦上均可以使用這個(gè)命令工具探測(cè)域名系統(tǒng)（DNS）礎(chǔ)結(jié)構(gòu)的信息。DIGDIG（DomainInformationGroper，域名信息搜索器）是Linux和查、DNS數(shù)據(jù)集、DNS查詢(xún)與搜索引擎6調(diào)用，對(duì)搜集的子域結(jié)果自動(dòng)去重，有較高的掃描效率，并且支持將搜集結(jié)果以多種格式導(dǎo)出利用。藍(lán)隊(duì)主要利用掃描探測(cè)工具對(duì)目標(biāo)Web主機(jī)或服務(wù)器進(jìn)行漏洞和薄弱點(diǎn)發(fā)現(xiàn)，為進(jìn)一步利用掃描探測(cè)到的漏洞實(shí)施滲透攻擊做準(zhǔn)備。網(wǎng)上公開(kāi)、免費(fèi)的掃描探測(cè)工具非常多，有的藍(lán)隊(duì)還會(huì)自主開(kāi)發(fā)掃描探測(cè)工具。比較有名的開(kāi)源掃描探測(cè)工具有以下幾個(gè)。Nmap（NetworkMapper）核工具，具備對(duì)Windows、Linux、macOS等多個(gè)操作系統(tǒng)的良好兼容性，功能包括在線主機(jī)探測(cè)（檢測(cè)存活在網(wǎng)絡(luò)上的主機(jī)）圖2- Nmap掃描示Nessus稱(chēng)是“全球使用人數(shù)最多的系統(tǒng)漏洞掃描與分析軟件，全世界超過(guò)AWVS（AcunetixWebVulnerabilityScanner）是一款知名的Web的SQL注入和跨站腳本測(cè)試，集成了HTTPEditor和HTTPFuzzer等高級(jí)滲透測(cè)試工具，允許對(duì)AJAX和Web2.0應(yīng)用程序進(jìn)行安全性測(cè)試，支持圖2- AWVS掃描任務(wù)界Dirsearch是一款用Python文件在內(nèi)的網(wǎng)站W(wǎng)eb多項(xiàng)安全測(cè)試，掃描指定主機(jī)的Web類(lèi)型、主機(jī)名、目錄、特定CGI漏洞。Nikto使用RainForestPuppy的LibWhisker實(shí)現(xiàn)HTTP功能，并且可以檢查HTTP和HTTPS，否運(yùn)行在其他開(kāi)放端口上。MySQL、SQLServer、Oracle、FTP、MongoDB、Memcached、圖2- 超級(jí)弱口令檢查工Medusa是KaliLinux系統(tǒng)下對(duì)登錄服務(wù)進(jìn)行暴力破解的工具，基登錄的服務(wù)，包括FTP、HTTP、SSHv2、SQLServer、MySQL、SMB、圖2- Medusa可爆破種類(lèi)列KaliLinux系統(tǒng)中。Hydra可對(duì)多種協(xié)議執(zhí)行字典攻擊，包括RDPSSH（v1和v2）、Telnet、FTP、HTTP、HTTPS、SMB、POP3、LDAP、Server、MySQL、PostgreSQL、SNMP、SOCKS5、CiscoAAA、Ciscoauth、VNC等。它適用于多種平臺(tái)，包括Linux、Windows、Cygwin、Solaris、FreeBSD、OpenBSD、macOS和QNX/BlackBerry等。Hydra參數(shù)見(jiàn)圖2-7。圖2- Hydra命令示意Hashcat是一款免費(fèi)的密碼破解工具，號(hào)稱(chēng)是基于CPU碼破解工具，適用于Linux、Windows和macOS平臺(tái)。Hashcat散列算法，包括LMHashes、MD4、MD5、SHA系列、UNIXCrypt格式、MySQL、CiscoPIX。它支持各種攻擊形式，包括暴力破解、組合攻圖2- Hashcat破譯示意種，多通過(guò)單個(gè)Poc&Exp實(shí)現(xiàn)漏洞利用。藍(lán)隊(duì)會(huì)根據(jù)新漏洞的不斷出WebLogicWebLogic是基于JavaEE和管理大型分布式Web應(yīng)用、網(wǎng)絡(luò)應(yīng)用和數(shù)據(jù)庫(kù)應(yīng)用的Java應(yīng)用服務(wù)器。該漏洞利用工具集成WebLogic組件各版本多個(gè)漏洞自動(dòng)化檢測(cè)和利用功能，可對(duì)各版本W(wǎng)ebLogic漏洞進(jìn)行自動(dòng)化檢測(cè)和利用，根據(jù)檢圖2- WebLogic漏洞工Struts2是一個(gè)相當(dāng)強(qiáng)大的JavaWeb開(kāi)源框架，在MVC設(shè)計(jì)模式中，Struts2作為控制器來(lái)建立模型與視圖的數(shù)據(jù)交互。Struts2圖2- Struts2漏洞利用工sqlmap的數(shù)據(jù)庫(kù)有MySQL、Oracle、PostgreSQL、SQLServer、Access、IBMDB2、SQLite、Firebird、Sybase和SAPMaxDB（見(jiàn)圖2-11）。圖2- sqlmap模擬執(zhí)vSphereClientRCE漏洞（CVE-2021-21972）利用工具Server等一系列的軟件，其中vCenterServer為ESXivSphereClient（HTML5）在vCenterServer插件中存在一個(gè)遠(yuǎn)程執(zhí)行代碼漏洞。藍(lán)隊(duì)可以通過(guò)開(kāi)放443端口的服務(wù)器向vCenterServer發(fā)送圖2- vCenterServer管理界WindowsPrintSpooler權(quán)限提升漏洞（CVE-2021-1675）WindowsPrintSpooler是Windows系統(tǒng)中用于管理打印相關(guān)事務(wù)ExchangeServer漏洞組合利用（CVE-2021-26855&CVE-ExchangeServer是微軟公司的一套電子郵件服務(wù)組件，是個(gè)消息洞，藍(lán)隊(duì)可以利用該漏洞繞過(guò)身份驗(yàn)證發(fā)送任意HTTP請(qǐng)求。CVE-27065認(rèn)證。此漏洞還伴生著一個(gè)目錄跨越漏洞，藍(lán)隊(duì)可以利用該漏洞將文件寫(xiě)入服務(wù)器的任何路徑。兩個(gè)漏洞相結(jié)合可以達(dá)到繞過(guò)權(quán)限直接獲取反彈執(zhí)行命令權(quán)限。Windows平臺(tái)的TELNET協(xié)議。Xshell可以用來(lái)在Windows端不同系統(tǒng)下的服務(wù)器，從而比較好地達(dá)到遠(yuǎn)程控制終端的目的（圖2-13）。圖2- Xshell遠(yuǎn)程連接界Linux服務(wù)器主機(jī)。SecureCRT支持SSH，同時(shí)支持Telnet和rlogin議，是一款用于連接運(yùn)行Windows、Unix和VMS（見(jiàn)圖2-14）對(duì)Windows平臺(tái)、各類(lèi)Unix平臺(tái)SSH、Telnet、Serial（見(jiàn)圖2-15）圖2- SecureCRT初始連接界圖2- PuTTY連接配置截Oracle、PostgreSQL、SQLite、SQLServer、MariaDB和MongoDB等不同類(lèi)型的數(shù)據(jù)庫(kù)，并與AmazonRDS、AmazonAurora、OracleCloud、MicrosoftAzure、阿里云、騰訊云和華為云等云數(shù)據(jù)庫(kù)管理兼容，支圖2- Navicat管理維護(hù)數(shù)據(jù)Webshell助Webshell圖2- 冰蝎界圖2- 利用中國(guó)蟻劍連接初始哥斯拉（Godzilla）是一款相對(duì)較新的Webshell管理工具，它基于Java開(kāi)發(fā)，具有較強(qiáng)的各類(lèi)shell靜態(tài)查殺規(guī)避和流量加密WAF繞過(guò)優(yōu)勢(shì)，且自帶眾多拓展插件，支持對(duì)載荷進(jìn)行AESHTTP頭、內(nèi)存shell以及豐富的Webshell功能（見(jiàn)圖2-19）。圖2- 哥斯拉遠(yuǎn)程管FRP是一個(gè)可用于內(nèi)網(wǎng)穿透的高性能反向代理工具，支持TCPUDP、HTTP、HTTPS等協(xié)議類(lèi)型，主要利用處于內(nèi)網(wǎng)或防火墻后的機(jī)器，對(duì)外網(wǎng)環(huán)境提供HTTP或HTTPS（見(jiàn)圖2-20）器（如Web服務(wù)器）之間建立一個(gè)安全通道，客戶端可通過(guò)反向代理服務(wù)器間接訪問(wèn)后端不同服務(wù)器上的資源（見(jiàn)圖2-21）。圖2- FRP服務(wù)端和客戶端配置文圖2- ngrok用法示SecureShell（SSH）是專(zhuān)為遠(yuǎn)程登錄會(huì)話和其他網(wǎng)絡(luò)服務(wù)提供安圖2- reGeorg模擬掃Netsh（NetworkShell）是Windows本工具，可用來(lái)通過(guò)修改本地或遠(yuǎn)程網(wǎng)絡(luò)配置實(shí)現(xiàn)端口轉(zhuǎn)發(fā)功能，支持配置從IPv4或IPv6端口轉(zhuǎn)發(fā)代理，或者IPv4與IPv6的雙向端口轉(zhuǎn)發(fā)代理。包、顯示封包資料、檢測(cè)網(wǎng)絡(luò)通信數(shù)據(jù)、查看網(wǎng)絡(luò)通信數(shù)據(jù)包中的詳細(xì)內(nèi)容等非常實(shí)用的功能，更強(qiáng)大的功能有包含強(qiáng)顯示過(guò)濾器語(yǔ)言和查看TCP信數(shù)據(jù)，檢測(cè)其抓取的通信數(shù)據(jù)快照文件等（見(jiàn)圖2-23）。圖2- Wireshark數(shù)據(jù)抓包示Fiddler是一個(gè)非常好用的HTTP記錄所有客戶端與服務(wù)器的HTTP和HTTPS圖2- Fiddler網(wǎng)絡(luò)數(shù)據(jù)調(diào)tcpdump是Linux靈活的截取策略，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的篩選和分組輸出（見(jiàn)圖2-25）圖2- tcpdump抓包示件，集成了包括Metasploit在內(nèi)的超過(guò)300Windows集成環(huán)境（CommandoCommandoVM是基于Windows的高度可定制的滲透測(cè)試虛擬機(jī)環(huán)境，集成了超過(guò)140個(gè)開(kāi)源Windows如Python和Go編程語(yǔ)言，Nmap和Wireshark網(wǎng)絡(luò)掃描器，BurpSuite類(lèi)的網(wǎng)絡(luò)安全測(cè)試框架，以及Sysinternals、Mimikatz等Windows工具。CobaltCobaltStrike是一款由美國(guó)RedTeam業(yè)界人士稱(chēng)為CS。CS采用Metasploit為基礎(chǔ)的滲透測(cè)試GUI多種協(xié)議上線方式，集成了Socket代理、端口轉(zhuǎn)發(fā)、Office攻擊、文件捆綁、釣魚(yú)、提權(quán)、憑證導(dǎo)出、服務(wù)掃描、自動(dòng)化溢出、多模式端口監(jiān)聽(tīng)、exe和PowerShell木馬生成等功能。BurpBurpSuite是用于攻擊Web集成了Web訪問(wèn)代理、Web數(shù)據(jù)攔截與修改、網(wǎng)絡(luò)爬蟲(chóng)、枚舉探測(cè)、數(shù)據(jù)編解碼等一系列功能。BurpSuite為這些工具設(shè)計(jì)了許多接口，可以加快攻擊應(yīng)用程序的部署與調(diào)用。圖2- 綜合團(tuán)隊(duì)是藍(lán)隊(duì)高效運(yùn)轉(zhuǎn)的基圖2- 網(wǎng)情搜集工紋，主要對(duì)NMAP互聯(lián)網(wǎng)操作的分派和注冊(cè)服務(wù)。通過(guò)其官網(wǎng)可對(duì)公共APNICWhois數(shù)據(jù)在外網(wǎng)縱向突破階段，藍(lán)隊(duì)的主要工作就是圍繞目標(biāo)網(wǎng)絡(luò)突破口開(kāi)展?jié)B透測(cè)試，通過(guò)獲取必要的安全認(rèn)證信息或漏洞利用獲取控制權(quán)限。因?yàn)橐话憔W(wǎng)絡(luò)對(duì)外開(kāi)放的接口非常有限，能從外部接觸到的只有Web向突破工作的重點(diǎn)也在這些接口上（見(jiàn)圖2-28）。圖2- 外網(wǎng)主要突破Web圖2- 內(nèi)網(wǎng)橫向拓展主要流·內(nèi)網(wǎng)存活的IP以及存活I(lǐng)PWebServer應(yīng)用提權(quán)。主要是通過(guò)獲取的Web應(yīng)用管理權(quán)限，圖2- SMB漏洞是內(nèi)網(wǎng)重要拓展手圖2- IE瀏覽器緩存認(rèn)證獲取示第3章藍(lán)隊(duì)常用的攻擊手段圖3- 某次實(shí)戰(zhàn)攻防演練中各種手段的運(yùn)SQL··圖3- SQL注入檢測(cè)萬(wàn)能語(yǔ)SQL注入漏洞多存在于用戶目標(biāo)官網(wǎng)、Web辦公平臺(tái)及網(wǎng)絡(luò)應(yīng)用等之中。比如：ApacheSkyWalking[1]SQL注入漏洞（CVE-2020-9483）就是藍(lán)隊(duì)攻擊中用到的一個(gè)典型的SQL認(rèn)未授權(quán)的GraphQL用于進(jìn)一步滲透。另一個(gè)典型的SQL注入漏洞——Django[2]SQL注入漏洞（CVE-2021-35042）存在于CMS（內(nèi)容管理系統(tǒng)）對(duì)某函數(shù)中用戶所提供的數(shù)據(jù)過(guò)濾不足導(dǎo)致的。攻擊者可利用該漏洞ApacheSkyWalking是一款開(kāi)源的應(yīng)用性能監(jiān)控系統(tǒng)，主要針對(duì)微服Django是一個(gè)Web（見(jiàn)圖3-3）·圖3- 兩種典型的跨站攻擊方于/uploads/dede/search_keywords_main.php文件下，是系統(tǒng)對(duì)GetKeywordList函數(shù)過(guò)濾不全導(dǎo)致的。攻擊者可利用該漏洞將惡意請(qǐng)求發(fā)送至Web管理器，從而導(dǎo)致遠(yuǎn)程代碼執(zhí)行。ApacheTomcat[2]跨站腳本漏洞（CVE-2019-0221）是由于ApacheTomcat的某些Web中JSP文件對(duì)用戶轉(zhuǎn)義處理不完全導(dǎo)致的，遠(yuǎn)程攻擊者可以通過(guò)包含“;”字符的特制URI請(qǐng)求執(zhí)行跨站腳本攻擊，向用戶瀏覽器會(huì)話注入并執(zhí)行任意Web腳本或HTML代碼。DedeCMS是一套基于PHP+MySQL的開(kāi)源內(nèi)容管理系統(tǒng)（CMS）ApacheTomcat是一個(gè)流行的開(kāi)放源碼的JSP·圖3- 常見(jiàn)文件上傳漏洞攻擊實(shí)[1]KindEditor是一個(gè)開(kāi)源的HTML可視化編輯器，兼容IE、Firefox、··圖3- 影響非常廣泛的GitLab遠(yuǎn)程命令執(zhí)行漏洞（CVE-2021-命令執(zhí)行漏洞多存在于各種Web組件、網(wǎng)絡(luò)應(yīng)用之中，如Web令執(zhí)行漏洞（CVE-2021-21972）是vSphereClient（HTML5）在vCenterServer插件中存在的一個(gè)遠(yuǎn)程執(zhí)行代碼漏洞，未經(jīng)授權(quán)的攻擊者可以通過(guò)開(kāi)放443端口的服務(wù)器向vCenterServer發(fā)送精心構(gòu)造的敏感信息泄露漏洞多存在于各類(lèi)Web務(wù)應(yīng)用。比如：VMware敏感信息泄露漏洞（CVE-2020-3952）目錄服務(wù)相關(guān)的信息泄露漏洞，產(chǎn)生原因是VMwareDirectoryService（vmdir）組件在LDAP處理時(shí)檢查失效和存在安全設(shè)計(jì)缺陷。攻擊者可以利用該漏洞提取到目標(biāo)系統(tǒng)的高度敏感信息，用于破壞vCenterServer或其他依賴(lài)vmdir對(duì)整個(gè)vSphere部署的遠(yuǎn)程接管（見(jiàn)圖3-6）。又如：Jetty[1]WEB-INF敏感信息泄露漏洞（CVE-2021-28164）置不當(dāng)造成在Servlet實(shí)現(xiàn)中可以通過(guò)%2e繞過(guò)安全限制導(dǎo)致的漏洞。攻擊者可以利用該漏洞下載WEB-INF的安全配置信息。圖3- VMware官方公布的CVE-2020-3952漏洞信[1]Jetty是一個(gè)基于Java的Web容器，為JSP和Servlet·圖3- Jenkins未授權(quán)訪問(wèn)漏洞信業(yè)務(wù)應(yīng)用之中。比如：ApacheShiro[1]權(quán)限繞過(guò)漏洞（CVE-2020-ApacheShiro是一個(gè)強(qiáng)大且易用的Java安全框架，執(zhí)行身份驗(yàn)證、授洞，造成本地權(quán)限提升（見(jiàn)圖3-8）。又如：Linuxsudo圖3- Windows本地權(quán)限提升漏洞（CVE-2021-1732）PoC應(yīng)用示圖3- 實(shí)戰(zhàn)攻防演練中典型的弱口令示表3- 內(nèi)外網(wǎng)釣魚(yú)的主要區(qū)圖3- 實(shí)戰(zhàn)攻防演練中的釣魚(yú)案·····圖3- 實(shí)戰(zhàn)攻防演練中的內(nèi)網(wǎng)釣魚(yú)案另外，所有人員比較關(guān)心的薪資、福利問(wèn)題也是內(nèi)網(wǎng)不錯(cuò)的釣魚(yú)素材。如果要通過(guò)文件共享、軟件更新或內(nèi)網(wǎng)Web擇定期業(yè)務(wù)報(bào)告、應(yīng)用軟件升級(jí)包或業(yè)務(wù)動(dòng)態(tài)等與業(yè)務(wù)密切相關(guān)而容易讓人感興趣的內(nèi)容作為釣魚(yú)素材。實(shí)施釣魚(yú)時(shí)，內(nèi)網(wǎng)釣魚(yú)不必像外網(wǎng)釣魚(yú)那樣，需要準(zhǔn)確把握被攻擊目標(biāo)的心理和合理時(shí)機(jī)拋出誘餌，而可以用開(kāi)門(mén)見(jiàn)山的方式直接拋出話題誘餌。因?yàn)閮?nèi)網(wǎng)釣魚(yú)利用的就是信任關(guān)系，實(shí)施釣魚(yú)時(shí)過(guò)多的鋪墊反而容易引起對(duì)方懷疑，直接拋出誘餌成功率會(huì)更高。實(shí)施內(nèi)網(wǎng)業(yè)務(wù)文件共享、內(nèi)網(wǎng)辦公軟件更新或內(nèi)網(wǎng)Web通過(guò)目標(biāo)信息搜集所掌握的情況，充分把握目標(biāo)內(nèi)網(wǎng)人員的辦公習(xí)慣直接進(jìn)行文件替換或木馬植入。圖3- 供應(yīng)鏈攻擊的三種途VPN（VirtualPrivateNetwork，虛擬專(zhuān)用網(wǎng)絡(luò)）網(wǎng)關(guān)、網(wǎng)絡(luò)運(yùn)維入通過(guò)產(chǎn)品或應(yīng)用提供商開(kāi)展供應(yīng)鏈攻擊主要是圍繞第三方系統(tǒng)、應(yīng)用或設(shè)備開(kāi)展工作，利用各種手段獲取第三方提供商的原廠設(shè)備或應(yīng)用源碼，并對(duì)設(shè)備進(jìn)行解剖分析或?qū)υ创a進(jìn)行代碼審計(jì)以尋找其可能存在的安全漏洞，進(jìn)而利用發(fā)現(xiàn)的漏洞實(shí)現(xiàn)對(duì)目標(biāo)網(wǎng)絡(luò)的突破。實(shí)戰(zhàn)攻防演練中常用的第三方應(yīng)用源碼獲取方式主要有兩種：一種是通過(guò)公開(kāi)手段，在公網(wǎng)GitHub、Gitee集相關(guān)的應(yīng)用源碼，這類(lèi)源碼主要是由開(kāi)發(fā)人員無(wú)意中泄露或公開(kāi)發(fā)布的；另一種手段是通過(guò)滲透控制第三方提供商，控制第三方開(kāi)發(fā)資源庫(kù)獲取相關(guān)設(shè)備或應(yīng)用源碼，或者直接通過(guò)第三方提供商內(nèi)部獲取設(shè)備或應(yīng)用的安全缺陷或后門(mén)。對(duì)第三方資源的利用則包括自主挖掘漏洞或原有后門(mén)利用、更新包捆綁惡意代碼并推送、對(duì)應(yīng)用開(kāi)發(fā)依賴(lài)文件包進(jìn)行惡意代碼植入等，借助第三方設(shè)備或應(yīng)用打開(kāi)目標(biāo)網(wǎng)絡(luò)的突破口，如SolarWinds供應(yīng)鏈攻擊（見(jiàn)圖3-13）。圖3- 著名的SolarWinds供應(yīng)鏈攻擊示意下面來(lái)看一個(gè)實(shí)戰(zhàn)攻防演練中通過(guò)應(yīng)用提供商開(kāi)展供應(yīng)鏈攻擊的典型例子。圍繞目標(biāo)展開(kāi)的前期偵察發(fā)現(xiàn)，某網(wǎng)絡(luò)科技公司是該目標(biāo)的無(wú)紙化系統(tǒng)提供商，遂針對(duì)該公司開(kāi)展工作。利用該公司BBSdz漏洞控制該BBS論壇的后臺(tái)服務(wù)器，進(jìn)一步拓展該公司的SVN服務(wù)行代碼審計(jì)，挖掘出0day漏洞；利用挖掘出的0dayVPNVPN是利用Internet等公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施，通過(guò)隧道加密通信技術(shù)，為用戶提供安全的數(shù)據(jù)通信的專(zhuān)用網(wǎng)絡(luò)，可以實(shí)現(xiàn)不同網(wǎng)絡(luò)之間以及用戶與網(wǎng)絡(luò)之間的相互連接。通過(guò)VPN實(shí)現(xiàn)像本地訪問(wèn)一樣的安全通信交互，遠(yuǎn)程用戶或商業(yè)合作伙伴也可以安全穿透企業(yè)網(wǎng)絡(luò)的邊界，訪問(wèn)企業(yè)內(nèi)部資源。隨著VPN構(gòu)、企業(yè)的網(wǎng)絡(luò)部署中越來(lái)越普遍，VPN公中占據(jù)越來(lái)越重要的地位。在VPN戶和外地出差人員可以隨時(shí)隨地通過(guò)VPN接入訪問(wèn)內(nèi)部資料、辦公OA內(nèi)網(wǎng)郵件系統(tǒng)、ERP系統(tǒng)、CRM系統(tǒng)、項(xiàng)目管理系統(tǒng)等，因此VPN入成為藍(lán)隊(duì)利用的攻擊手段之一。只要獲取了目標(biāo)VPN網(wǎng)絡(luò)的接入權(quán)限，攻擊者就能仿冒合法認(rèn)證接入目標(biāo)內(nèi)網(wǎng)，并可以進(jìn)一步隱蔽滲透（見(jiàn)圖3-14）圖3- VPN仿冒接入攻獲取VPN直接針對(duì)具有VPN接入權(quán)限的VPN網(wǎng)絡(luò)管理員、內(nèi)部個(gè)人用戶、分支機(jī)構(gòu)、合作伙伴或客戶開(kāi)展網(wǎng)絡(luò)攻擊，通過(guò)滲透竊取他們的VPN賬戶口令或接入憑據(jù)，再仿冒其身份接入目標(biāo)內(nèi)網(wǎng)進(jìn)行進(jìn)一步滲透拓展。藍(lán)隊(duì)攻擊獲取VPN認(rèn)證信息的常用方式有以下幾個(gè)：·通過(guò)漏洞利用直接從VPN網(wǎng)關(guān)設(shè)備上獲取VPN控制VPN主要針對(duì)暴露在互聯(lián)網(wǎng)側(cè)的VPN利用控制VPN勢(shì)滲透內(nèi)網(wǎng)。藍(lán)隊(duì)控制VPN代碼執(zhí)行，添加管理員賬戶，控制網(wǎng)關(guān)設(shè)備，通過(guò)任意文件讀取漏洞未經(jīng)身份驗(yàn)證地竊取網(wǎng)關(guān)設(shè)備管理憑據(jù)，或者通過(guò)注入漏洞獲取后臺(tái)管理數(shù)據(jù)庫(kù)中的賬戶口令信息。實(shí)戰(zhàn)攻防演練中有一個(gè)比較典型的例子是通過(guò)VPN破。在對(duì)某目標(biāo)的前期偵察和探測(cè)中，在總部網(wǎng)絡(luò)上未發(fā)現(xiàn)任何可利用的薄弱點(diǎn)；隨即根據(jù)目標(biāo)業(yè)務(wù)地域分散的特點(diǎn)，對(duì)其分支機(jī)構(gòu)開(kāi)展偵察，在某分支機(jī)構(gòu)的網(wǎng)絡(luò)邊界發(fā)現(xiàn)FortinetVPN歷史漏洞；通過(guò)漏圖3- 某任務(wù)中的隧道代理案具、Linux系統(tǒng)自帶的ssh命令工具、Netcat、HTran、Lcx等；SOCKS理類(lèi)工具，如frp、ngrok、Proxifier等。防火墻自帶的PPTP、L2TP或SSLVPN功能模塊實(shí)現(xiàn)VPN隱蔽接入目標(biāo)內(nèi)圖3- 社會(huì)工程學(xué)攻Wi-Fi第4章藍(lán)隊(duì)攻擊的必備能力針對(duì)業(yè)務(wù)系統(tǒng)，而非IT人才的稀缺程度也是能力定級(jí)的重要參考因素。例如，在藍(lán)隊(duì)一方，掌握系統(tǒng)層漏洞利用的人只有1成左右；在iOS系統(tǒng)中，會(huì)編寫(xiě)或EXP的人員也相對(duì)少見(jiàn)。因此，這些能力就被歸入了高階能力?！ぁ⑼诰?、利用、開(kāi)發(fā)、分析等能力作為不同的技能來(lái)分類(lèi)。比如，同樣是對(duì)于Web的能力分類(lèi)。以前述分級(jí)與分類(lèi)原則為基礎(chǔ)，本書(shū)將實(shí)戰(zhàn)化藍(lán)隊(duì)人才能力分為個(gè)級(jí)別、14類(lèi)、85項(xiàng)具體技能。其中，基礎(chǔ)能力2類(lèi)20項(xiàng)，進(jìn)階能力4類(lèi)23項(xiàng)，高階能力8類(lèi)42項(xiàng)，如圖4-1所示。圖4- 實(shí)戰(zhàn)化藍(lán)隊(duì)人才能力圖主要包括BurpSuite、sqlmap、AppScan、AWVS、Nmap、Wireshark、MSF、CobaltStrike等基礎(chǔ)安全工具的利用能力。熟練的Web編寫(xiě)PoC或EXPPoC是ProofofConcept的縮寫(xiě)，即概念驗(yàn)證，特指為了驗(yàn)證漏洞難度也不同。針對(duì)Web應(yīng)用和智能硬件/IoT設(shè)備等，編寫(xiě)PoC或EXPDEP。DEP（DataExecutionProtection，數(shù)據(jù)執(zhí)行保護(hù)）的發(fā)惡意命令的執(zhí)行。而DEPPIE。PIE（Position-IndependentExecutable，地址無(wú)關(guān)可執(zhí)行文件）與PIC（Position-IndependentCode，地址無(wú)關(guān)代碼）含ASLR。ASLR（AddressSpaceLayoutRandomization，地址空SEHOP。SEHOP是StructuredExceptionHandlerOverwrite免殺技術(shù)。免殺（AntiAnti-Virus）是高級(jí)的網(wǎng)絡(luò)安全對(duì)抗掌握CPUMIPS。MIPS（MicrocomputerwithoutInterlockedPipelineARM。ARM（AdvancedRISCMachines），即ARM處理器，是英國(guó)Acorn公司設(shè)計(jì)的第一款低功耗RISC（ReducedInstructionSetPowerPC。PowerPC（PerformanceOptimizationWithEnhancedRISC-PerformanceComputing）是一種精簡(jiǎn)指令集架構(gòu)的中的工具有IDA、Ghidra、Binwalk、OllyDbg、PeachFuzzer等。功能。GhidraP-Code是專(zhuān)為逆向工程設(shè)計(jì)的寄存器傳輸語(yǔ)言，能夠?qū)eachFuzzer。PeachFuzzer是一款智能模糊測(cè)試工具，廣泛用于發(fā)現(xiàn)軟件中的缺陷和漏洞。PeachFuzzer有兩種主要模式：基于編寫(xiě)PoC或EXP要用于iPhone、iPodtouch、iPad上。這里iOS平臺(tái)代碼能力代指在力代指在macOS操作系統(tǒng)上找到漏洞并利用漏洞編寫(xiě)PoC或EXP第5章藍(lán)隊(duì)經(jīng)典攻擊實(shí)例套使用遠(yuǎn)程桌面的情況：首先通過(guò)遠(yuǎn)程桌面登錄一臺(tái)主機(jī)A，附件：檢測(cè)程序圖5- 冒充客在有紅隊(duì)（防守方）參與的實(shí)戰(zhàn)攻防工作，尤其是有紅隊(duì)排名或通報(bào)機(jī)制的工作中，紅隊(duì)與藍(lán)隊(duì)通常會(huì)發(fā)生對(duì)抗。IP封堵與繞過(guò)、攔截與繞過(guò)、Webshell查殺與免殺，紅藍(lán)之間通常會(huì)展開(kāi)沒(méi)有硝煙的戰(zhàn)爭(zhēng)。藍(lán)隊(duì)通過(guò)信息搜集找到目標(biāo)企業(yè)的某個(gè)外網(wǎng)Web審計(jì)開(kāi)展漏洞挖掘工作，發(fā)現(xiàn)多個(gè)嚴(yán)重的漏洞；另外還找到該企業(yè)的一個(gè)營(yíng)銷(xiāo)網(wǎng)站，通過(guò)開(kāi)展黑盒測(cè)試，發(fā)現(xiàn)該網(wǎng)站存在文件上傳漏洞。大的“分布式拒絕服務(wù)”，讓紅隊(duì)的防守人員忙于分析和應(yīng)對(duì)；而隊(duì)長(zhǎng)則悄無(wú)聲息地用不同的IP和瀏覽器指紋特征對(duì)Web求用最少的流量拿下服務(wù)器，讓威脅數(shù)據(jù)淹沒(méi)在營(yíng)銷(xiāo)網(wǎng)站的攻擊洪水當(dāng)中（見(jiàn)圖5-2）。圖5- 流量數(shù)據(jù)混淆WAF穿透的主要手通過(guò)這樣的攻擊方案，藍(lán)隊(duì)同時(shí)拿下?tīng)I(yíng)銷(xiāo)網(wǎng)站和Web網(wǎng)站上的動(dòng)作更多，包括關(guān)閉殺軟、提權(quán)、安置后門(mén)程序、批量進(jìn)行內(nèi)網(wǎng)掃描等眾多敏感操作；同時(shí)在Web網(wǎng)信息，直接建立據(jù)點(diǎn)，開(kāi)展內(nèi)網(wǎng)滲透操作。和加固工作；而此時(shí)藍(lán)隊(duì)已經(jīng)在Web應(yīng)用上搭建了FRPSocks代理，通在攻擊過(guò)程中，藍(lán)隊(duì)碰到過(guò)很多怪異的事情，比如：有的紅隊(duì)將網(wǎng)站首頁(yè)替換成一張截圖；有的將數(shù)據(jù)傳輸接口全部關(guān)閉，采用表格的方式進(jìn)行數(shù)據(jù)導(dǎo)入；有的對(duì)內(nèi)網(wǎng)目標(biāo)系統(tǒng)的IP做了限定，僅允許某個(gè)管理員IP訪問(wèn)。圖5- 公司內(nèi)部的信任通聯(lián)常被攻擊者利藍(lán)隊(duì)決定利用三級(jí)子公司A的內(nèi)網(wǎng)對(duì)子公司B展開(kāi)攻擊。利用Tomcat弱口令+上傳漏洞進(jìn)入二級(jí)子公司B的內(nèi)網(wǎng)，利用該服務(wù)器導(dǎo)出的密碼在內(nèi)網(wǎng)中橫向滲透，繼而拿下二級(jí)子公司B在殺毒服務(wù)器中獲取到域管理員的賬號(hào)和密碼，最終獲取到二級(jí)子公司B的域控制器權(quán)限。在二級(jí)子公司B內(nèi)進(jìn)行信息搜集發(fā)現(xiàn)：目標(biāo)系統(tǒng)x托管在二級(jí)子公司C，由二級(jí)子公司C單獨(dú)負(fù)責(zé)運(yùn)營(yíng)和維護(hù)；二級(jí)子公司B內(nèi)有7名員工與目標(biāo)系統(tǒng)x存在業(yè)務(wù)往來(lái)；7名員工大部分時(shí)間在二級(jí)子公司C但其辦公電腦屬于二級(jí)子公司B的資產(chǎn)，被加入二級(jí)子公司B的域，且經(jīng)常被帶回二級(jí)子公司B。根據(jù)搜集到的情報(bào)信息，藍(lán)隊(duì)以二級(jí)子公司B內(nèi)的7名員工作為突破口，在其接入二級(jí)子公司B后門(mén)。待其接入二級(jí)子公司C內(nèi)網(wǎng)后，繼續(xù)通過(guò)員工電腦實(shí)施內(nèi)網(wǎng)滲透，并獲取二級(jí)子公司C統(tǒng)x的管理員電腦，繼而獲取目標(biāo)系統(tǒng)x的管理員登錄賬號(hào)，最終獲取目標(biāo)系統(tǒng)x的控制權(quán)限。圖5- 對(duì)外暴露的協(xié)同辦公等業(yè)務(wù)系統(tǒng)是主要的被攻擊對(duì)藍(lán)隊(duì)小心翼翼地對(duì)管理員身份及遠(yuǎn)程終端磁盤(pán)文件進(jìn)行確認(rèn)，并向該管理員的終端磁盤(pán)寫(xiě)入了自啟動(dòng)后門(mén)程序。經(jīng)過(guò)一天的等待，紅隊(duì)管理員果然重啟了終端主機(jī)，后門(mén)程序上線。在獲取到管理員的終端權(quán)限后，藍(lán)隊(duì)很快發(fā)現(xiàn)，該管理員為單位運(yùn)維人員，主要負(fù)責(zé)內(nèi)部網(wǎng)絡(luò)部署、服務(wù)器運(yùn)維管理等工作。該管理員使用MyBase工具對(duì)重要服務(wù)器信息進(jìn)行加密存儲(chǔ)。攻擊隊(duì)通過(guò)鍵盤(pán)記錄器，獲取了MyBase主密鑰，繼而對(duì)MyBase數(shù)據(jù)文件進(jìn)行了解密，最終獲取了包括VPN機(jī)、虛擬化管理平臺(tái)等關(guān)鍵系統(tǒng)的賬號(hào)及口令。的IP段內(nèi)找到一臺(tái)服務(wù)器并完成getshell，第6章紅隊(duì)防守的實(shí)施階段圖6- 備戰(zhàn)階段組織架構(gòu)領(lǐng)導(dǎo)擔(dān)任組長(zhǎng)（局長(zhǎng)、主任或集團(tuán)副總以上級(jí)別），由高層領(lǐng)導(dǎo)組成領(lǐng)導(dǎo)小組，統(tǒng)一領(lǐng)導(dǎo)、指揮和協(xié)調(diào)備戰(zhàn)階段的準(zhǔn)備工作，定期聽(tīng)取備戰(zhàn)指揮組的工作匯報(bào)。領(lǐng)導(dǎo)小組的主要職責(zé)如下?！ぁご_定戰(zhàn)時(shí)目標(biāo)（戰(zhàn)略目標(biāo)：零失分、保障排名等）·審核并確定防護(hù)范圍（是否包含下轄單位及子公司等）·····定期聽(tīng)取備戰(zhàn)指揮組的工作匯報(bào)并做出批示（紅線）領(lǐng)導(dǎo)組成備戰(zhàn)指揮組，具體組織安全自查與整改、防護(hù)與監(jiān)測(cè)設(shè)備部署、人員能力與意識(shí)提升、應(yīng)急預(yù)案制定以及外協(xié)單位聯(lián)絡(luò)等戰(zhàn)前準(zhǔn)備工作，與監(jiān)管單位建立長(zhǎng)效溝通機(jī)制，保持隨時(shí)聯(lián)絡(luò)。備戰(zhàn)指揮組的主要職責(zé)如下?！ぁぁぁぁぁぁぁぁ鼍W(wǎng)絡(luò)架構(gòu)、出口IP■集權(quán)系統(tǒng)（如網(wǎng)管系統(tǒng)）··■網(wǎng)絡(luò)設(shè)備特權(quán)賬號(hào)及基線檢查（弱口令）組的部分成員組成，負(fù)責(zé)安全設(shè)備風(fēng)險(xiǎn)整改、新增安全設(shè)備部署等安全防護(hù)相關(guān)工作?！ぁ黾瘷?quán)系統(tǒng)梳理（如堡壘機(jī)、安全監(jiān)控系統(tǒng)··■VPN用的基礎(chǔ)環(huán)境（操作系統(tǒng)、中間件、云、容器）的資產(chǎn)梳理、風(fēng)險(xiǎn)識(shí)別及整改等相關(guān)工作。·■集權(quán)系統(tǒng)（如域控、云管平臺(tái)、集群管理系統(tǒng)）··■集權(quán)系統(tǒng)（如SSO、認(rèn)證系統(tǒng)、4A系統(tǒng)）■重要系統(tǒng)（含靶標(biāo)系統(tǒng)）···圖6- 實(shí)戰(zhàn)階段組織架構(gòu)應(yīng)成立演練領(lǐng)導(dǎo)小組，統(tǒng)一領(lǐng)導(dǎo)和指揮攻防演練工作。領(lǐng)導(dǎo)小組的主要職責(zé)如下?！ぁぁぁさ墓ぷ魅蝿?wù)，具體管理和協(xié)調(diào)攻防演練工作，向上級(jí)單位、戰(zhàn)時(shí)指揮部匯報(bào)工作。演練指揮組的主要職責(zé)如下。···監(jiān)測(cè)組。由網(wǎng)絡(luò)、安全、系統(tǒng)、應(yīng)用等多個(gè)監(jiān)控點(diǎn)的人員組初步滲透的能力?！ぁぁぁぁぁぁ魝?cè)應(yīng)用系統(tǒng)相似的測(cè)試系統(tǒng)，禁止留存客戶側(cè)相關(guān)的敏感信息（包括但不限于賬號(hào)和密碼信息、配置信息、人員信息）。露在互聯(lián)網(wǎng)上的資產(chǎn)，查找未知資產(chǎn)及未知服務(wù)，形成互聯(lián)網(wǎng)系統(tǒng)資產(chǎn)清單；明確資產(chǎn)屬性和資產(chǎn)信息，對(duì)無(wú)主、不重要、高風(fēng)險(xiǎn)資產(chǎn)進(jìn)行清理。識(shí)別等內(nèi)容，明確內(nèi)網(wǎng)資產(chǎn)狀況，形成資產(chǎn)清單，便于后續(xù)的整改加固，在應(yīng)急處置時(shí)可及時(shí)通知責(zé)任人，還可對(duì)暴露的相關(guān)組件漏洞及時(shí)進(jìn)行定位修補(bǔ)；而對(duì)重要系統(tǒng)的識(shí)別（含集權(quán)系統(tǒng)）也便于后續(xù)對(duì)重要系統(tǒng)開(kāi)展防護(hù)及業(yè)務(wù)流梳理工作。統(tǒng)、區(qū)域、IP入口，了解防護(hù)監(jiān)控狀況，與參加業(yè)務(wù)連接單位聯(lián)防聯(lián)控，建立安全事件通報(bào)機(jī)制。系統(tǒng)以及公有云資產(chǎn)，明確云資產(chǎn)狀況，形成資產(chǎn)清單，便于后續(xù)的整改加固，在應(yīng)急處置時(shí)可及時(shí)通知責(zé)任人，還可對(duì)暴露的相關(guān)組件漏洞及時(shí)進(jìn)行定位修補(bǔ)。響安全防護(hù)工作的順利進(jìn)行。根據(jù)近幾年防守項(xiàng)目的經(jīng)驗(yàn)，評(píng)估客戶在關(guān)鍵地方缺失的安全防護(hù)設(shè)備。專(zhuān)項(xiàng)清查。對(duì)攻擊隊(duì)采用的重點(diǎn)攻擊手段及目標(biāo)進(jìn)行專(zhuān)項(xiàng)清避免存在高風(fēng)險(xiǎn)、低成本的問(wèn)題。Web安全檢測(cè)。Web漏洞隱患，驗(yàn)證之前發(fā)現(xiàn)的安全漏洞隱患是否已經(jīng)整改到位。在條件允許的情況下，針對(duì)重要信息系統(tǒng)進(jìn)行源代碼安全檢測(cè)、安全漏洞掃描與滲透測(cè)試等Web安全檢測(cè)，重點(diǎn)應(yīng)檢測(cè)Web入侵的薄弱環(huán)節(jié)，例如弱口令、任意文件上傳、中間件遠(yuǎn)程命令執(zhí)行、SQL注入等。應(yīng)根據(jù)實(shí)戰(zhàn)工作要求，結(jié)合自身實(shí)際情況編寫(xiě)《網(wǎng)絡(luò)安全應(yīng)急預(yù)案》。預(yù)案的主要內(nèi)容應(yīng)包括工作目標(biāo)、應(yīng)急組織架構(gòu)、工作內(nèi)容及流程（監(jiān)測(cè)與分析、響應(yīng)與處置）等，具體事件應(yīng)包括Web擊事件、弱口令爆破事件、任意文件上傳事件、跳板代理攻擊事件攻擊者除了使用Web等方式進(jìn)行攻擊，每一個(gè)系統(tǒng)接觸者都有可能成為攻擊目標(biāo)。攻擊者可能通過(guò)郵件甚至互聯(lián)網(wǎng)發(fā)布文章等方式，誘導(dǎo)工作人員下載惡意遠(yuǎn)控程序，成為非法入侵的突破口?！ぁづR戰(zhàn)階段的動(dòng)員工作建議從以下4的控制權(quán)。集權(quán)類(lèi)系統(tǒng)包括域控制器服務(wù)器（DomainController）、在實(shí)戰(zhàn)階段，從技術(shù)角度總結(jié)，應(yīng)重點(diǎn)做好以下4（0day或Nday）攻擊、HTTPOPTIONS方法攻擊、SSL/TLS存在BarMitzvahAttack漏洞····生成漏洞分析報(bào)告并提交給信息安全經(jīng)理和IT·的安全加固方案（包括回退方案），·第7章紅隊(duì)常用的防守策略自動(dòng)化的IP第8章紅隊(duì)常用的防護(hù)手段·學(xué)術(shù)網(wǎng)站類(lèi)，如知網(wǎng)CNKI、Google·網(wǎng)盤(pán)類(lèi)，如微盤(pán)Vdisk、百度網(wǎng)盤(pán)、360·代碼托管平臺(tái)類(lèi)，如GitHub、Bitbucket、GitLab、Gitee·招投標(biāo)網(wǎng)站類(lèi)，自建招投標(biāo)網(wǎng)站、??··社交平臺(tái)類(lèi)，如微信群、QQ2）管理好供應(yīng)商內(nèi)部SVN/GitWi-Fi關(guān)閉Wi-FiVPNVPN權(quán)限清理：對(duì)于撥入VPN開(kāi)放在互聯(lián)網(wǎng)上的API1）通常情況下，WebAPI是基于HTTP份認(rèn)證信息，通常使用的是APIkey。關(guān)閉不需要的API功能（如文件上傳功能）本單位根據(jù)IT關(guān)閉不安全的登錄或傳輸協(xié)議，如Telnet④不對(duì)外開(kāi)放后臺(tái)管理端口或敏感目錄；2）⑤禁止在生產(chǎn)環(huán)境發(fā)布測(cè)試系統(tǒng)。⑤如無(wú)特殊需求，HTTP傳輸方式固定為只允許POST和GETWebWeb除了常見(jiàn)的Web漏洞（OWASPTOP10）和常規(guī)滲透測(cè)試，還應(yīng)注意②遵從最小應(yīng)用原則，刪除不用的應(yīng)用組件。①禁止將CMS②盡量隱藏商業(yè)CMS③刪除不使用的功能模塊。②遵從最小應(yīng)用原則，刪除不用的功能組件。③及時(shí)更新商業(yè)廠商提供的漏洞補(bǔ)丁。Web接口，②編寫(xiě)Web③WebAPI請(qǐng)求與響應(yīng)在傳輸過(guò)程中的數(shù)據(jù)保密⑤關(guān)閉不需要的API功能（如文件上傳功能）API必須使用文件上傳功能，則需要對(duì)上傳文件擴(kuò)展名（或管理后臺(tái)（路徑）②限制訪問(wèn)后臺(tái)的IP⑤測(cè)試用戶名登錄和密碼參數(shù)是否存在SQLIP才可以訪問(wèn)管AppApp·App·App·App·App·App·AppApp·Activity·BroadcastReceiver·Service·ContentProviderSQL·WebViewApp·App通信安全檢測(cè)，如是否采用HTTPS·運(yùn)行環(huán)境安全檢測(cè)，如反越獄檢測(cè)、ROOT··第9入侵防御系統(tǒng)（IntrusionPreventionSystem，IPS）是一部能Web效緩解網(wǎng)站及Web應(yīng)用系統(tǒng)面臨的威脅（如OWASPTOP10中定義的常見(jiàn)驗(yàn)、Web特征庫(kù)（基于OWASPTOP10標(biāo)準(zhǔn)）、爬蟲(chóng)規(guī)則、防盜鏈規(guī)則、驗(yàn)證級(jí)別、攻擊源IP、攻擊域名、攻擊類(lèi)型、攻擊次數(shù)、CDNIP、XFFWeb云抗D：可以防御攻擊者對(duì)網(wǎng)站發(fā)起的SYNFlood攻擊、ACKURL的傳輸路徑的多維分析。通過(guò)關(guān)鍵信息進(jìn)行檢索，實(shí)現(xiàn)軟件的漏洞數(shù)量也在飛速增長(zhǎng)。WhiteSource2020年發(fā)布的報(bào)告顯運(yùn)維安全管理與審計(jì)系統(tǒng)（堡壘機(jī)流量威脅感知系統(tǒng)基于網(wǎng)絡(luò)流量和終端EDR規(guī)則引擎、文件虛擬執(zhí)行、機(jī)器學(xué)習(xí)等技術(shù)，精準(zhǔn)發(fā)現(xiàn)網(wǎng)絡(luò)中針對(duì)主機(jī)與服務(wù)器的已知高級(jí)網(wǎng)絡(luò)攻擊和未知新型網(wǎng)絡(luò)攻擊的入侵行為，利用本地大數(shù)據(jù)平臺(tái)對(duì)流量日志和終端日志進(jìn)行存儲(chǔ)與查詢(xún)，結(jié)合威脅情報(bào)與攻擊鏈分析對(duì)事件進(jìn)行分析、研判和回溯，同時(shí)，結(jié)合邊界NDR、終端EDR及自動(dòng)化編排處置可以及時(shí)阻斷威脅。高級(jí)威脅檢測(cè)：運(yùn)用威脅情報(bào)、文件虛擬執(zhí)行、智能規(guī)則引擎、機(jī)器學(xué)習(xí)等技術(shù)，可以檢測(cè)和發(fā)現(xiàn)高級(jí)網(wǎng)絡(luò)攻擊與新型網(wǎng)絡(luò)攻擊，涵蓋APT攻擊、勒索軟件、Web術(shù)清晰地展示網(wǎng)絡(luò)中的威脅。習(xí)技術(shù)建立網(wǎng)絡(luò)異常行為檢測(cè)模型，內(nèi)置非常規(guī)服務(wù)分析、登錄行為分析、郵件行為分析、數(shù)據(jù)行為分析等數(shù)種場(chǎng)景，實(shí)現(xiàn)對(duì)新型攻擊和內(nèi)部違規(guī)的檢測(cè)與發(fā)現(xiàn)。線分析能力（威脅狩獵），能夠呈現(xiàn)一次攻擊的完成過(guò)程，有助于對(duì)網(wǎng)絡(luò)攻擊進(jìn)行回溯和深度分析。流量是否全面，除了南北向的流量，也要搜集東西向的橫向流量，威脅感知的范圍要盡量覆蓋全網(wǎng)絡(luò)。規(guī)則等進(jìn)行優(yōu)化，將網(wǎng)絡(luò)掃描、業(yè)務(wù)正常訪問(wèn)等觸發(fā)的告警進(jìn)行調(diào)整和優(yōu)化，減少誤報(bào)的告警，專(zhuān)注于真實(shí)的告警。數(shù)據(jù)的安全，這給流量威脅感知系統(tǒng)帶來(lái)了不小的挑戰(zhàn)。建議在負(fù)載均衡等設(shè)備上對(duì)加密流量進(jìn)行解密，再將解密后的流量上傳到流量威脅感知系統(tǒng)的傳感器，以便于及時(shí)發(fā)現(xiàn)加密流量中的威脅。流量威脅感知系統(tǒng)采用旁路部署的模式，將設(shè)備部署于安全管理區(qū)，利用鏡像的方式將流量鏡像給探針（見(jiàn)圖9-1）區(qū)域的流量匯聚到探針，對(duì)用戶網(wǎng)絡(luò)中的流量進(jìn)行全量檢測(cè)和記錄。所有網(wǎng)絡(luò)行為都將以標(biāo)準(zhǔn)化的格式保存于系統(tǒng)中，結(jié)合云端威脅情報(bào)與本地分析平臺(tái)進(jìn)行對(duì)接，提供發(fā)現(xiàn)本地威脅的通道，并對(duì)已發(fā)現(xiàn)的問(wèn)題進(jìn)行攻擊回溯。圖9- 實(shí)戰(zhàn)中的部署方式或位圖9- 蜜罐系統(tǒng)在實(shí)戰(zhàn)中的部署位攻擊IP在掃描或滲透真實(shí)受害IP終端安全響應(yīng)系統(tǒng)（EndpointDetectionandResponse，EDR）應(yīng)用動(dòng)態(tài)防護(hù)（Runtimeapplicationself-protection，行安全加固，抵御來(lái)自外來(lái)Web終端安全準(zhǔn)入系統(tǒng)（NetworksAccessControl，NAC）主要用于終端安全管理系統(tǒng)應(yīng)與下一代防火墻（NGFW）IP信譽(yù)情報(bào)：如是否有歷史攻擊行為（第10章紅隊(duì)經(jīng)典防守實(shí)例及時(shí)更新進(jìn)度，做到事事有人管。工作計(jì)劃（部分）如表10-1表10- 工作計(jì)劃（部分（續(xù)表漏洞修復(fù)是開(kāi)展網(wǎng)絡(luò)安全防控工作的基礎(chǔ)。該金融單位開(kāi)展了開(kāi)源組件掃描、漏洞掃描和滲透測(cè)試，建立風(fēng)險(xiǎn)動(dòng)態(tài)管理臺(tái)賬，緊盯問(wèn)題一對(duì)一整改，問(wèn)題整改完成率高達(dá)90%服務(wù)情況，關(guān)閉無(wú)用端口，切斷不必要的訪問(wèn)渠道，梳理網(wǎng)上交易攻防演練是檢驗(yàn)網(wǎng)絡(luò)安全防護(hù)能力的重要手段。攻防演練前，該金融單位參考攻防演練規(guī)則，開(kāi)展了為期7檢驗(yàn)安全防護(hù)效果和應(yīng)急處置機(jī)制，對(duì)存在的不足與問(wèn)題提前發(fā)現(xiàn)、提前解決，進(jìn)一步完善了監(jiān)測(cè)、研判、處置等各環(huán)節(jié)的協(xié)同配合能圖10- 組織架構(gòu)時(shí)溝通，導(dǎo)致安全事件信息傳遞不及時(shí)、信息傳遞有損失的情況。該金融單位采用內(nèi)部即時(shí)通信工具，按照不同事件類(lèi)型進(jìn)行職責(zé)分工分組，達(dá)到安全事件信息高效傳遞、準(zhǔn)確研判，并通過(guò)威脅運(yùn)營(yíng)平臺(tái)進(jìn)行事件上報(bào)工作，安全監(jiān)測(cè)人員發(fā)現(xiàn)疑似攻擊成功事件時(shí)，可以直接反饋給研判專(zhuān)家，由研判專(zhuān)家進(jìn)行分析，確保每個(gè)事件有人跟進(jìn)，完成閉環(huán)。國(guó)家監(jiān)管機(jī)構(gòu)的威脅情報(bào)，對(duì)搜集的情報(bào)信息進(jìn)行甄別并評(píng)估加固工作，及時(shí)對(duì)子公司進(jìn)行通告預(yù)警，從而在很大程度上預(yù)防未知風(fēng)險(xiǎn)導(dǎo)致的入侵行為。圖10- 分級(jí)防護(hù)策略···所有Web頁(yè)面、VPN、API、App···圖10- 防護(hù)工作階段規(guī)通過(guò)互聯(lián)網(wǎng)暴露信息清查，集團(tuán)發(fā)現(xiàn)了原來(lái)未掌握的暴露在互聯(lián)網(wǎng)上的網(wǎng)站、郵