六年紅隊(duì)實(shí)踐經(jīng)驗(yàn)分享
責(zé)編:gltian |2019-03-14 14:01:59CIO和CISO越來越多地轉(zhuǎn)向運(yùn)用紅隊(duì)測(cè)試來評(píng)估公司網(wǎng)絡(luò)彈性。紅隊(duì)演練是復(fù)刻真實(shí)黑客所用戰(zhàn)術(shù)、技術(shù)和流程(TTP)的針對(duì)性模擬網(wǎng)絡(luò)攻擊。這種演練往往從“一無(wú)所知”的角度切入,且不提供即時(shí)滿足:通常持續(xù)4至6個(gè)星期,能收獲對(duì)安全風(fēng)險(xiǎn)和可采取措施的更好理解。
紅隊(duì)演練的發(fā)現(xiàn)與來自滲透測(cè)試的發(fā)現(xiàn)大為不同。其中關(guān)鍵就是紅隊(duì)演練的涵蓋面更廣,不僅僅揭示技術(shù)層面的漏洞,還有人員和過程的。
獲得模擬攻擊者在安全運(yùn)營(yíng)中心(SOC)無(wú)法跟蹤的情況下會(huì)做些什么的真實(shí)數(shù)據(jù),對(duì)提升SOC技術(shù)和磨礪安全團(tuán)隊(duì)成熟度極有價(jià)值。
從最近6年對(duì)歐洲、美國(guó)和亞太地區(qū)橫跨金融、零售、監(jiān)管、醫(yī)療、政府和媒體行業(yè)的紅隊(duì)演練的調(diào)查結(jié)果來看,模擬攻擊者與目標(biāo)的互動(dòng)存在幾個(gè)關(guān)鍵 “軸點(diǎn)”,這些軸點(diǎn)就是將攻擊從煩人的入侵轉(zhuǎn)向客戶潛在災(zāi)難的推動(dòng)點(diǎn)。
一、糟糕的憑證管理
整理6年紅隊(duì)演練統(tǒng)計(jì)數(shù)據(jù)時(shí)最令人意外的發(fā)現(xiàn)就是:糟糕的憑證管理竟然位列脆弱點(diǎn)榜首。
雖然一些測(cè)試中需要獲取域管理員憑證,但大家都沒想到竟然85%的紅隊(duì)測(cè)試以此為關(guān)鍵突破點(diǎn),比上面列第二位的網(wǎng)絡(luò)分隔高出20%。
進(jìn)一步分析該結(jié)果又揭示出了紅隊(duì)獲取憑證的幾條路徑,分為增大風(fēng)險(xiǎn)類和造成即時(shí)故障類。
最常見的單點(diǎn)故障點(diǎn)是域管理員級(jí)別的高權(quán)限賬戶口令,那些要么被加到登錄腳本里,要么存到共享文件中“以防有人忘記”的。
共享文件夾中的內(nèi)容通常網(wǎng)絡(luò)中的任何人都可以讀取,這就導(dǎo)致了憑證泄露風(fēng)險(xiǎn)。無(wú)論是在用戶間還是在賬戶間共享,管理員憑證共享操作都會(huì)極大方便紅隊(duì)或攻擊者獲取這些憑證。其他問題也都是每個(gè)系統(tǒng)管理員都知道自己不應(yīng)該犯的常見問題。
至于增加風(fēng)險(xiǎn)但不會(huì)造成單點(diǎn)故障的問題,紅隊(duì)大多指向賬戶配置選項(xiàng)問題。
一個(gè)很常見的現(xiàn)象是:高權(quán)限賬戶的口令長(zhǎng)期不改(甚至沿用5年以上),或者本地管理員給部門轄下每臺(tái)PC都設(shè)置相同的口令。
但更突出的問題是重要賬戶的口令太過好猜或太好破解——因?yàn)椴粔驈?fù)雜。
二、網(wǎng)絡(luò)分隔
紅隊(duì)測(cè)試多半(2/3的概率)能夠從初始入侵點(diǎn)浸染至整個(gè)網(wǎng)絡(luò),直到找出目標(biāo)“寶藏”。
十年前就在談?wù)摰拇嗳蹙W(wǎng)絡(luò)邊界和柔軟內(nèi)部網(wǎng)絡(luò)如今依然成立。證據(jù)表明,任意聯(lián)網(wǎng)設(shè)備都能接入任意系統(tǒng)的環(huán)境下,攻擊者最終切入目標(biāo)系統(tǒng)是注定的。
不過,隨著虛擬桌面基礎(chǔ)設(shè)施(VDI)、新軟件工具和先進(jìn)托管防火墻的興起,公司企業(yè)和組織機(jī)構(gòu)無(wú)需重構(gòu)便可解決該問題了。
三、缺乏修復(fù)和遺留未受支持的軟件
修復(fù)操作排名第三毫不令人意外,但仍是系統(tǒng)管理員的眼中釘,也是攻擊者的巨大機(jī)會(huì)。即便是做了基礎(chǔ)修復(fù)操作(比如設(shè)置了Windows更新周期)的企業(yè),也總會(huì)有其他脆弱軟件遺留,可供攻擊者利用來提升權(quán)限和攻擊其他用戶或系統(tǒng)。最容易被攻擊者用于深入挖掘企業(yè)網(wǎng)絡(luò)的幾個(gè)領(lǐng)域是:
1. 第三方軟件
系統(tǒng)中安裝的所有軟件都需要維護(hù),要應(yīng)用最新版本及補(bǔ)丁。無(wú)論是開源FTP軟件FileZilla、公司管理工具,還是Chrome瀏覽器,所有軟件都需納入修復(fù)過程。
2. 業(yè)務(wù)應(yīng)用
業(yè)務(wù)應(yīng)用往往也置于網(wǎng)上,卻未受到良好的維護(hù)和修復(fù)。或者根本沒有修復(fù)補(bǔ)丁,業(yè)務(wù)應(yīng)用依賴過時(shí)軟件且公司未采取任何風(fēng)險(xiǎn)緩解操作。
3. 操作系統(tǒng)更新
盡管比第三方和托管應(yīng)用補(bǔ)丁修復(fù)情況稍好,操作系統(tǒng)補(bǔ)丁依然缺乏普遍且一致的應(yīng)用。
4. 過時(shí)操作系統(tǒng)
公司企業(yè)中仍能找到 Windows 2003 和XP的身影。都知道這些系統(tǒng)漏洞滿布,但公司企業(yè)和組織機(jī)構(gòu)卻仍未成功根除他們的存在。這些系統(tǒng)不僅過時(shí)且脆弱,還會(huì)阻礙與之聯(lián)網(wǎng)的現(xiàn)代系統(tǒng)采用一些最新安全設(shè)置。
5. 不再受支持的硬件
與軟件一樣,硬件也會(huì)失去支持,變得脆弱,需要修復(fù)。不再受支持卻仍未被替換的硬件也能成為攻擊者的寶庫(kù),用以獲取對(duì)網(wǎng)絡(luò)的更多訪問權(quán)。
6. 瀏覽器插件
如果采用現(xiàn)代瀏覽器,這個(gè)問題就不是問題。但紅隊(duì)仍找到了大量的Flash、過時(shí)版本的Java和Adobe產(chǎn)品——可供攻擊者在需要的時(shí)候很方便地侵入員工桌面電腦。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧