六年紅隊實踐經(jīng)驗分享
責編:gltian |2019-03-14 14:01:59CIO和CISO越來越多地轉(zhuǎn)向運用紅隊測試來評估公司網(wǎng)絡(luò)彈性。紅隊演練是復(fù)刻真實黑客所用戰(zhàn)術(shù)、技術(shù)和流程(TTP)的針對性模擬網(wǎng)絡(luò)攻擊。這種演練往往從“一無所知”的角度切入,且不提供即時滿足:通常持續(xù)4至6個星期,能收獲對安全風(fēng)險和可采取措施的更好理解。
紅隊演練的發(fā)現(xiàn)與來自滲透測試的發(fā)現(xiàn)大為不同。其中關(guān)鍵就是紅隊演練的涵蓋面更廣,不僅僅揭示技術(shù)層面的漏洞,還有人員和過程的。
獲得模擬攻擊者在安全運營中心(SOC)無法跟蹤的情況下會做些什么的真實數(shù)據(jù),對提升SOC技術(shù)和磨礪安全團隊成熟度極有價值。
從最近6年對歐洲、美國和亞太地區(qū)橫跨金融、零售、監(jiān)管、醫(yī)療、政府和媒體行業(yè)的紅隊演練的調(diào)查結(jié)果來看,模擬攻擊者與目標的互動存在幾個關(guān)鍵 “軸點”,這些軸點就是將攻擊從煩人的入侵轉(zhuǎn)向客戶潛在災(zāi)難的推動點。
一、糟糕的憑證管理
整理6年紅隊演練統(tǒng)計數(shù)據(jù)時最令人意外的發(fā)現(xiàn)就是:糟糕的憑證管理竟然位列脆弱點榜首。
雖然一些測試中需要獲取域管理員憑證,但大家都沒想到竟然85%的紅隊測試以此為關(guān)鍵突破點,比上面列第二位的網(wǎng)絡(luò)分隔高出20%。
進一步分析該結(jié)果又揭示出了紅隊獲取憑證的幾條路徑,分為增大風(fēng)險類和造成即時故障類。
最常見的單點故障點是域管理員級別的高權(quán)限賬戶口令,那些要么被加到登錄腳本里,要么存到共享文件中“以防有人忘記”的。
共享文件夾中的內(nèi)容通常網(wǎng)絡(luò)中的任何人都可以讀取,這就導(dǎo)致了憑證泄露風(fēng)險。無論是在用戶間還是在賬戶間共享,管理員憑證共享操作都會極大方便紅隊或攻擊者獲取這些憑證。其他問題也都是每個系統(tǒng)管理員都知道自己不應(yīng)該犯的常見問題。
至于增加風(fēng)險但不會造成單點故障的問題,紅隊大多指向賬戶配置選項問題。
一個很常見的現(xiàn)象是:高權(quán)限賬戶的口令長期不改(甚至沿用5年以上),或者本地管理員給部門轄下每臺PC都設(shè)置相同的口令。
但更突出的問題是重要賬戶的口令太過好猜或太好破解——因為不夠復(fù)雜。
二、網(wǎng)絡(luò)分隔
紅隊測試多半(2/3的概率)能夠從初始入侵點浸染至整個網(wǎng)絡(luò),直到找出目標“寶藏”。
十年前就在談?wù)摰拇嗳蹙W(wǎng)絡(luò)邊界和柔軟內(nèi)部網(wǎng)絡(luò)如今依然成立。證據(jù)表明,任意聯(lián)網(wǎng)設(shè)備都能接入任意系統(tǒng)的環(huán)境下,攻擊者最終切入目標系統(tǒng)是注定的。
不過,隨著虛擬桌面基礎(chǔ)設(shè)施(VDI)、新軟件工具和先進托管防火墻的興起,公司企業(yè)和組織機構(gòu)無需重構(gòu)便可解決該問題了。
三、缺乏修復(fù)和遺留未受支持的軟件
修復(fù)操作排名第三毫不令人意外,但仍是系統(tǒng)管理員的眼中釘,也是攻擊者的巨大機會。即便是做了基礎(chǔ)修復(fù)操作(比如設(shè)置了Windows更新周期)的企業(yè),也總會有其他脆弱軟件遺留,可供攻擊者利用來提升權(quán)限和攻擊其他用戶或系統(tǒng)。最容易被攻擊者用于深入挖掘企業(yè)網(wǎng)絡(luò)的幾個領(lǐng)域是:
1. 第三方軟件
系統(tǒng)中安裝的所有軟件都需要維護,要應(yīng)用最新版本及補丁。無論是開源FTP軟件FileZilla、公司管理工具,還是Chrome瀏覽器,所有軟件都需納入修復(fù)過程。
2. 業(yè)務(wù)應(yīng)用
業(yè)務(wù)應(yīng)用往往也置于網(wǎng)上,卻未受到良好的維護和修復(fù)。或者根本沒有修復(fù)補丁,業(yè)務(wù)應(yīng)用依賴過時軟件且公司未采取任何風(fēng)險緩解操作。
3. 操作系統(tǒng)更新
盡管比第三方和托管應(yīng)用補丁修復(fù)情況稍好,操作系統(tǒng)補丁依然缺乏普遍且一致的應(yīng)用。
4. 過時操作系統(tǒng)
公司企業(yè)中仍能找到 Windows 2003 和XP的身影。都知道這些系統(tǒng)漏洞滿布,但公司企業(yè)和組織機構(gòu)卻仍未成功根除他們的存在。這些系統(tǒng)不僅過時且脆弱,還會阻礙與之聯(lián)網(wǎng)的現(xiàn)代系統(tǒng)采用一些最新安全設(shè)置。
5. 不再受支持的硬件
與軟件一樣,硬件也會失去支持,變得脆弱,需要修復(fù)。不再受支持卻仍未被替換的硬件也能成為攻擊者的寶庫,用以獲取對網(wǎng)絡(luò)的更多訪問權(quán)。
6. 瀏覽器插件
如果采用現(xiàn)代瀏覽器,這個問題就不是問題。但紅隊仍找到了大量的Flash、過時版本的Java和Adobe產(chǎn)品——可供攻擊者在需要的時候很方便地侵入員工桌面電腦。
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準,覆蓋6大類別37種方法
- 引領(lǐng)智能運維!全新FortiAIOps 3.0重新定義IT運營
- MirageFlow:一種針對Tor的新型帶寬膨脹攻擊
- 英偉達約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報告(2024年)》
- 火狐中國終止運營:辦公地無人,用戶賬號數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評估標準化應(yīng)用實踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時代!