HW 护网行动实战指南与防御策略
前言
随着《网络安全法》和《等级保护制度条例 2.0》的颁布,国内企业的网络安全建设需与时俱进。企业应更加注重业务场景的安全性并合理部署网络安全硬件产品,严防死守'网络安全'底线。'HW 行动'是国家应对网络安全问题所做的重要布局之一。加强网络安全意识,是所有单位有序地完成'HW 行动'必不可少的基础工作。
目前灰产、黑产环境比较复杂,很多攻击手段已经向云和 SaaS 服务方面发展,暗网已经存在专业提供 RaaS(勒索即服务)的服务模式。另外很多勒索攻击软件已经开源,易用性得到了极大的提高,同时也大大降低了网络攻击的技术门槛。因此,构建全方位的立体防护体系显得尤为重要。
红队攻击的重点内网系统
在攻防演习中,攻击队通常会针对以下高价值目标进行渗透:
- OA 系统:泛微、致远、金蝶、蓝凌等。作为办公入口,常存在弱口令或逻辑漏洞。
- ERP 系统:SAP、Oracle JD Edwards、用友、金蝶等。涉及核心财务数据,权限控制至关重要。
- 重要信息节点:
- Email:Exchange, Office 365。
- DC:Windows Server 2012 R2, 2008 R2 等域控制器。
- Web 中间件:IIS, Apache, Tomcat, WebLogic, Nginx 等。常见版本漏洞较多。
- 编程语言环境:PHP, Java, ASP.NET, Python。
- 防火墙与网络设备:华为、H3C、深信服、Palo Alto 等。
- 数据库:MySQL, SQL Server, Oracle, Redis, MongoDB 等。
- 容器与运维工具:Docker, Harbor, K8S, Jenkins, GitLab 等。
- 其他关键组件:堡垒机、WAF、IPS、负载均衡器等。
通过以上信息的校对,很多时候我们可以发现,很多资产都会增加攻击面,能关停的还是要关闭掉。尤其是内网的系统根据经验,大都是千疮百孔的,密码基本不是弱口令就是高度复用。所以内网的合规性漏扫和手工渗透测试是必须要做好的。
网络安全攻防演习解决方案
方案整体思路
'护网行动'从 2016 年开始,随着我国对网络安全的重视,涉及单位不断扩大。各机构对待网络安全需求也从被动构建,升级为业务保障刚需。针对云安全、应用安全构建全方位的立体防护,尽快部署云安全高级防御平台是实现多租户管理和统一安全防护的有效手段。
关键能力与优势
- 全方位监控:结合主机探针与网络流量分析,实现端到端可见性。
- 快速响应:建立自动化告警与人工研判相结合的机制。
- 闭环管理:确保从发现到修复的每一个环节都有记录可追溯。
HW 护网行动总结
我们将整个 HW 行动包括前期准备分为三个部分:备战期、临战期、决战期。
1. 备战期
在备战期间,主要做了两件事情:减小攻击面和排查风险点。
减小攻击面
减小攻击面就是缩小暴露面。在这过程,客户进行多轮的暴露面排查。首先,通过收集到的客户资产进行爬取相关链接,确认是否无用页面、无用系统下挂关键系统域名下。接着对于一些已经业务需求不那么高的、无用的系统、闲置的服务器进行下电处理。最后对于有一定的业务需求但用户较少的系统直接迁入内网,通过 VPN 进行业务操作。通过一系列的缩小暴露面,最终客户对外仅开放几个端口,大大降低了攻击面。
排查风险点
在排查风险点这块,主要做了两件事:一是人工渗透测试,二是 webshell 排查。
- 人工渗透测试:重点检查功能模块的权限漏洞。例如在功能提出需求的时候没有考虑到安全问题,导致整个功能模块的权限均存在问题。
- Webshell 排查:对关键系统的服务器使用 webshell 排查工具进行后门排查。排查发现的木马文件发现非常多都是不可执行的图片马以及攻击者攻击的语句被应用日志记录的日志文件,暂无发现可执行的木马文件,应该都是早期黑客攻击留下的文件。
