攻擊者視角下的網(wǎng)絡(luò)安全攻防演習(xí)
什么是網(wǎng)絡(luò)安全攻防演習(xí)?
自2006年美國組織“網(wǎng)絡(luò)風(fēng)暴”系列演習(xí)開始,網(wǎng)絡(luò)安全攻防演習(xí)在全球范圍內(nèi)蓬勃興起。2016年,公安部組織開展了“護網(wǎng)”網(wǎng)絡(luò)安全攻防演習(xí)活動,同年《網(wǎng)絡(luò)安全法》正式公布,我國進入網(wǎng)絡(luò)安全攻防演習(xí)元年。近幾年,各行業(yè)、各地區(qū)組織的網(wǎng)絡(luò)安全攻防演習(xí)越來越多,規(guī)模和強度也越來越大,攻防演習(xí)已成為檢驗各單位網(wǎng)絡(luò)安全綜合防護水平的“試金石”和提升網(wǎng)絡(luò)安全應(yīng)急處置能力的“磨刀石”。2020年以來,教育部科技司會同教育部教育管理信息中心連續(xù)組織教育系統(tǒng)網(wǎng)絡(luò)安全攻防演習(xí),每年都取得良好效果。
習(xí)近平總書記指出,“網(wǎng)絡(luò)安全的本質(zhì)在對抗,對抗的本質(zhì)在攻防兩端能力較量”。網(wǎng)絡(luò)安全攻防演習(xí)是在真實網(wǎng)絡(luò)環(huán)境中,通過組織攻擊方以盡可能接近實戰(zhàn)的方式,對防守方目標(biāo)系統(tǒng)進行模擬攻擊,防守方可采用各類防御方法,感知安全態(tài)勢,及時發(fā)現(xiàn)攻擊行為并應(yīng)急處置,保護本方數(shù)據(jù)、系統(tǒng)和網(wǎng)絡(luò)。攻擊方以獲取權(quán)限和數(shù)據(jù)為目標(biāo),在不影響業(yè)務(wù)系統(tǒng)正常運行的前提下,不限制攻擊手段和路徑,最終戰(zhàn)績是檢驗演習(xí)成敗的重要標(biāo)準(zhǔn)。
網(wǎng)絡(luò)安全攻防演習(xí)高度模擬真實對抗場景,具有獨特的實戰(zhàn)價值,“仗怎么打,兵就怎么練”。演習(xí)能有效發(fā)現(xiàn)各類網(wǎng)絡(luò)安全漏洞和隱蔽風(fēng)險,找到網(wǎng)絡(luò)安全防護短板,檢驗和提高網(wǎng)絡(luò)安全應(yīng)急處置能力,同時有利于培養(yǎng)和提升網(wǎng)絡(luò)安全人員的實戰(zhàn)能力,強化全民網(wǎng)絡(luò)安全風(fēng)險意識,為加強安全體系下一步建設(shè)提供方向,是常態(tài)化網(wǎng)絡(luò)安全管理工作中的重要內(nèi)容。
典型攻擊技戰(zhàn)法
在攻防雙方的激烈較量中,攻擊方的能力越強,投入時間越多,能夠獲得的戰(zhàn)果就越大,攻擊方的精心組織對攻防演習(xí)的效果有重大影響。如果防守方能夠在早期發(fā)現(xiàn)攻擊方的蛛絲馬跡,并成功阻斷攻擊鏈,就往往可以避免重大的連片式安全失陷。
“工欲善其事,必先利其器?!惫舴匠思夹g(shù)和工具的準(zhǔn)備,在演習(xí)預(yù)備階段也會盡可能儲備公開漏洞、提前挖掘0day漏洞,對不同類型的業(yè)務(wù)系統(tǒng)、中間件和開發(fā)框架等,建立漏洞利用武器庫,在演習(xí)中快速根據(jù)應(yīng)用指紋特征識別目標(biāo),進行精準(zhǔn)打擊。攻擊隊成員一般各有所長,有的擅長社會工程學(xué)獲取賬戶密碼,有的擅長快速漏洞挖掘并組合利用,有的擅長繞過防火墻內(nèi)網(wǎng)滲透。加強團隊分工合作,流水線作業(yè)會起到事半功倍的效果。
常規(guī)攻擊路徑
第一階段是信息收集。主要收集目標(biāo)單位的信息資產(chǎn)(如域名、IP地址段、App/小程序/公眾號等移動應(yīng)用、信息系統(tǒng)等)、人員信息(如師生學(xué)/工號、手機號、郵箱信息、身份證號等)、賬戶密碼(如統(tǒng)一身份認(rèn)證賬戶密碼、各系統(tǒng)初始密碼、社工庫密碼等)、網(wǎng)絡(luò)架構(gòu)、系統(tǒng)開發(fā)商、系統(tǒng)運維方等,這一階段的目標(biāo)是尋找外圍和內(nèi)部所有可能的薄弱點,為后續(xù)突破提供入口。
第二階段是邊界突破。根據(jù)收集的信息,攻擊者直接挖掘遠(yuǎn)程命令/代碼執(zhí)行漏洞、SQL注入、越權(quán)訪問等Web漏洞實現(xiàn)突破,也可利用統(tǒng)一身份認(rèn)證的VPN撥入等方式進入目標(biāo)單位網(wǎng)絡(luò)。針對收集到的人員郵箱、手機號、邊緣薄弱站點等,攻擊者也會嘗試開展釣魚、口令猜解等社會工程學(xué)攻擊,控制目標(biāo)單位人員郵箱或者電腦;通過聯(lián)網(wǎng)的硬件設(shè)備,如安防系統(tǒng)、網(wǎng)絡(luò)設(shè)備,甚至安全設(shè)備等,也可利用其漏洞作為跳板進入內(nèi)網(wǎng),實現(xiàn)對目標(biāo)系統(tǒng)的迂回突破。
第三階段是內(nèi)網(wǎng)滲透。主要進行內(nèi)網(wǎng)信息收集,包括網(wǎng)絡(luò)拓?fù)?、單位人員通信錄、密碼本、數(shù)據(jù)庫賬號密碼、遠(yuǎn)程運維信息等敏感內(nèi)容,通過MS17-010等漏洞利用和使用泄露賬號遠(yuǎn)程登錄,在同子網(wǎng)內(nèi)進行橫向滲透,跨網(wǎng)段和安全域進行縱向滲透,控制域控服務(wù)器、虛擬化管理服務(wù)器、運維人員主機、堡壘機、數(shù)據(jù)庫服務(wù)器等關(guān)鍵設(shè)備,從而進一步突破區(qū)域隔離,接近并控制目標(biāo)系統(tǒng)。隨著攻防博弈的升級,為了防止被發(fā)現(xiàn)阻斷,攻擊者會使用加密通信回聯(lián)C2、混淆免殺維權(quán)等手段保護自身,并可能主動修復(fù)前期利用漏洞來避免被防守方發(fā)現(xiàn)。
靈活攻擊思路
為了拿下目標(biāo)系統(tǒng),攻擊者往往不走尋常路,繞過防守方的馬奇諾防線,無所不用其極。以近年來教育系統(tǒng)網(wǎng)絡(luò)安全攻防演習(xí)為例,攻擊者首先會嘗試正面強攻,直接打擊主要目標(biāo)資產(chǎn),一旦有所突破就長驅(qū)直入,迅速獲得目標(biāo)系統(tǒng)權(quán)限。但是主要目標(biāo)往往會受到重點保護,系統(tǒng)本身的漏洞相對較少,圍繞可能攻擊路徑的安全防護設(shè)備與監(jiān)測預(yù)警體系相對更為嚴(yán)密,攻擊易被察覺和阻斷,成功難度較大。
因此,靈活多變、出其不意的攻擊思路往往效果更佳。一是嘗試攻擊目標(biāo)單位邊緣脆弱資產(chǎn)或系統(tǒng),如一些缺乏維護的老舊系統(tǒng)、測試環(huán)境和測試系統(tǒng)等,成功后利用其進一步接近目標(biāo)系統(tǒng)。二是在存在上下級信息系統(tǒng)的情況下,上級的系統(tǒng)一般資產(chǎn)暴露少,防護更加嚴(yán)密,攻擊者可以考慮優(yōu)先攻擊防護較為薄弱的下級單位分系統(tǒng)。拿到分系統(tǒng)的控制權(quán)限后,獲取系統(tǒng)源代碼或部署信息,挖掘出漏洞利用點,再利用其接近上級目標(biāo)系統(tǒng)。三是注意網(wǎng)絡(luò)設(shè)備、安全設(shè)備也可能不安全,如低版本的VPN、堡壘機等可能被遠(yuǎn)程利用。曾有攻擊方發(fā)現(xiàn)某些高校使用的WebVPN應(yīng)用URL編碼存在規(guī)律,訪問部分系統(tǒng)二級路徑和API不需要鑒權(quán),利用該漏洞成功突破了網(wǎng)絡(luò)邊界進入高校內(nèi)網(wǎng)。
供應(yīng)鏈攻擊
供應(yīng)鏈攻擊不直接面向目標(biāo)單位,而轉(zhuǎn)向目標(biāo)系統(tǒng)的開發(fā)運維方環(huán)境尋找弱點,更加隱蔽但往往有效。學(xué)工、財務(wù)、網(wǎng)站群、教務(wù)、科研、一卡通、OA等教育系統(tǒng)都有通用的軟件供應(yīng)商,其產(chǎn)品覆蓋成百上千所學(xué)校。供應(yīng)鏈攻擊一旦成功,同樣的方法可以直接應(yīng)用到大量單位,造成連片式、大面積影響。近年的演習(xí)中,供應(yīng)鏈攻擊效果顯著,很多無法正面突破的目標(biāo)系統(tǒng),往往從供應(yīng)鏈側(cè)找到了利用入口。
供應(yīng)鏈攻擊的第一步是確定目標(biāo)系統(tǒng)供應(yīng)商??赏ㄟ^目標(biāo)系統(tǒng)頁面版權(quán)信息、目標(biāo)單位招標(biāo)采購信息和其他應(yīng)用指紋信息等來確認(rèn)系統(tǒng)供應(yīng)商。對于經(jīng)驗豐富的攻擊者,通過網(wǎng)站的前端代碼和后臺接口信息往往可以確定開發(fā)廠商。
供應(yīng)鏈攻擊是一個迂回策略,要專注目標(biāo)系統(tǒng)的信息獲取,不能擴大化。一是嘗試獲取目標(biāo)系統(tǒng)的運維信息,如項目管理系統(tǒng)或工單系統(tǒng)漏洞可獲取目標(biāo)單位遠(yuǎn)程運維信息;二是通過Gitlab等代碼管理平臺漏洞獲取到目標(biāo)系統(tǒng)的源碼,同時也可嘗試在Github等互聯(lián)網(wǎng)代碼托管平臺中搜索獲取源碼和部署信息,對源碼進行安全審計挖掘出0day漏洞,進而拿下目標(biāo)系統(tǒng)。
社會工程學(xué)攻擊
網(wǎng)絡(luò)安全本質(zhì)是人跟人的對抗,即使軟硬件安全防護做得再好,終究需要人來運營和使用。近幾年的攻防演習(xí)中,利用釣魚郵件等方式的社會工程學(xué)攻擊頻頻得手,成為突破各單位安全防護的重要手段。
社會工程學(xué)攻擊的方式主要通過郵件釣魚或即時聊天來開展。攻擊者發(fā)送精心設(shè)計的釣魚郵件或者發(fā)起聊天咨詢,誘導(dǎo)目標(biāo)單位的運維管理人員、系統(tǒng)開發(fā)人員運行木馬程序,進而控制其電腦,以獲得密碼本等信息來接近目標(biāo)系統(tǒng)。曾有攻擊者在第一封郵件釣魚失敗的情況下,以“警惕釣魚郵件”為主題向目標(biāo)單位開展第二輪郵件釣魚,成功拿下一名系統(tǒng)管理人員的主機權(quán)限。此外,有些攻擊者混入學(xué)校的QQ群或論壇社區(qū),誘導(dǎo)學(xué)生提供統(tǒng)一身份認(rèn)證賬號密碼等敏感信息,利用VPN進入高校內(nèi)網(wǎng)。
攻擊者視角下的防守策略
互聯(lián)網(wǎng)技術(shù)日新月異,網(wǎng)絡(luò)攻擊手段層出不窮,一條完整的攻擊鏈?zhǔn)且惶住敖M合拳”,防守方要了解攻擊者的“三板斧”,知己知彼,才能更好地完善網(wǎng)絡(luò)安全防護體系。
一是建立縱深的安全防御體系。高校的網(wǎng)絡(luò)環(huán)境比較復(fù)雜,要在資產(chǎn)梳理、網(wǎng)絡(luò)區(qū)域合理劃分的基礎(chǔ)上,進一步縮小暴露面,明確防護重點。攻擊是一個過程,一定會留下蛛絲馬跡,要實時感知內(nèi)部安全態(tài)勢,加強監(jiān)測預(yù)警和安全日志分析,及時發(fā)現(xiàn)攻擊痕跡,迅速應(yīng)急處置,在極早期和早期阻斷攻擊行為。
二是供應(yīng)鏈安全問題日益突出。各單位對供應(yīng)商在招標(biāo)、開發(fā)、部署、測試、驗收、運維等各個階段都應(yīng)加強安全管理要求。教育軟件供應(yīng)商應(yīng)自我覺醒,意識到安全是企業(yè)的生命線,規(guī)范軟件安全開發(fā)活動,加強安全漏洞管理和公告。教育行政管理部門和網(wǎng)信、公安部門也要加強對教育軟件供應(yīng)商的安全監(jiān)管。
三是人員安全意識問題永不過時。在一輪輪攻防演習(xí)的磨煉下,各單位的網(wǎng)絡(luò)攻擊面逐漸縮小,老舊漏洞、易挖掘漏洞越來越少,針對人的攻擊嘗試會越來越多。這對人員的安全意識提出了更高的要求,需要定期組織內(nèi)部釣魚郵件演練,持續(xù)開展師生網(wǎng)絡(luò)安全宣傳教育。