一年一度、如火如荼的網(wǎng)絡(luò)安全攻防演習(xí)即將拉開大幕。在攻防領(lǐng)域流傳著很多金句，如“未知攻、焉知防”、“說一百遍不如打一遍”、“以攻促防”、“網(wǎng)絡(luò)安全的本質(zhì)在對抗”等等。它們雖表述不同，其核心思想是一致的：即防守隊非常需要攻擊隊視角，從攻擊者角度去站位思考，分析總結(jié)攻方會采取的手段和步驟，來反思自身的安全體系、防護弱點，達到“知己知彼、百戰(zhàn)不殆”。

 

為此，我們推出了實戰(zhàn)攻防演習(xí)“以攻促防”連載系列，立足歷年數(shù)百場攻防演習(xí)中，攻擊隊最慣常使用的手段方法，來進行精準、針對性的堵截防御，實現(xiàn)“無懈可擊”。本篇從偵察角度，看攻防雙方如何進行偵察與反偵察的較量。

偵察 攻擊前的第一步 

有部很知名的老電影叫《渡江偵察記》，講述渡江戰(zhàn)役前夕，解放軍派偵察班先遣小隊，渡江去偵察敵情，并獲得一份江防工事圖，探明敵人江防部署?？偣ラ_始后，解放軍萬帆齊發(fā)、大炮雷鳴，把敵人沿江工事精準摧毀，保障百萬雄師順利渡江，取得全面勝利。這部電影將偵察的重要性體現(xiàn)的淋漓盡致。

 

同樣，2007年有部叫做《斯巴達300勇士》的電影，從守方角度體現(xiàn)了對忽視偵察導(dǎo)致的后果。斯巴達王列奧尼達率領(lǐng)300勇士，將波斯數(shù)十萬大軍堵在了溫泉關(guān)，讓對方寸步難行、傷亡慘重。然而，列奧尼達沒有防范身后的一條小路，最終被一個叛徒引導(dǎo)波斯軍抄小路，繞道進攻后方薄弱環(huán)節(jié)，導(dǎo)致300勇士腹背受敵、全軍覆沒。

在實戰(zhàn)攻防演習(xí)中，作為攻擊活動的初始環(huán)節(jié)，攻擊者會通過各種手段，搜集目標信息，并選擇薄弱點，如竊取登錄憑證、掃描高危端口等，將其作為主攻方向。具體包括，通過外圍信息收集和多種掃描技術(shù)，獲得目標的IP地址、端口、操作系統(tǒng)版本、每個端口運行的服務(wù)、存在的漏洞等攻擊必需信息等等。

從攻擊者的視角，偵察獲得的信息越全面，找到薄弱點、突破口的概率就越高。因此，作為防守隊，第一步需要做的事情，不是急迫布防，安裝威脅檢測、邊界安全等產(chǎn)品，而是不要讓敵人偵察到攻擊的突破口，讓他們無隙可乘。

防守隊痛點：未知資產(chǎn)暴露在外 弱口令無處不在 

對于防守隊而言，第一個痛點是資產(chǎn)繁多、難以管理，尤其是很多暴露在外的未知資產(chǎn)，一旦被攻方偵察到，失陷基本只是時間問題。

參加實戰(zhàn)攻防演習(xí)的政企機構(gòu)，絕大多數(shù)信息化、數(shù)字化程度都很高，對外開放的業(yè)務(wù)應(yīng)用非常廣泛，導(dǎo)致暴露在整個互聯(lián)網(wǎng)上的服務(wù)器、設(shè)備的端口、協(xié)議、應(yīng)用等非常龐雜和繁多。尤其是因內(nèi)部管理流程不完善等原因，導(dǎo)致很多未知資產(chǎn)暴露在外。這些未知資產(chǎn)，對于經(jīng)驗豐富的攻擊隊而言，可以用常規(guī)掃描工具輕松偵察到。攻方演習(xí)一旦開始，這些未納入統(tǒng)一管理的未知資產(chǎn)，很容易成為率先被攻破的目標。

第二個痛點，屢禁不止的弱口令，防守虛弱的特權(quán)賬號等，讓攻擊者屢試不爽。

弱口令是指賬號口令復(fù)雜度策略配置較低，或容易被攻擊者獲取的口令，通常有簡單口令、默認口令、空口令、規(guī)律性口令、社會工程學(xué)弱口令等。由于其口令強度過弱，容易被攻破，堪稱每年實戰(zhàn)攻防演習(xí)的十大安全漏洞之首。而實戰(zhàn)中通過弱口令獲得權(quán)限的情況占比更是高達70%以上。

同時，因涉及到攻擊者的最終利益，特權(quán)賬號往往是攻擊者瞄準的重點攻擊目標。特權(quán)賬號由于其分布廣、數(shù)量多的特點造成特權(quán)賬號梳理難，組織管理員無法全面的掌握特權(quán)賬號動態(tài)情況。加上僵尸賬號、幽靈賬號、后門賬號、弱口令賬號、長期未改密賬號等風(fēng)險賬號等廣泛存在，且比較隱蔽，給系統(tǒng)資產(chǎn)帶來很大的安全隱患。

防守方破解之道：做好資產(chǎn)測繪 嚴控賬號風(fēng)險

讓眾多未知資產(chǎn)暴露在互聯(lián)網(wǎng)等公開區(qū)域，無異于給攻擊隊若干不設(shè)防的攻擊目標，演習(xí)中會被處處打穿。為此，奇安信實戰(zhàn)攻防專家建議，防守隊首先要做的第一件事情，就是收縮暴露面，通過技術(shù)手段實現(xiàn)對旗下各類資產(chǎn)的統(tǒng)一管理，才能有針對性的防護。

目前，奇安信推出的全球鷹網(wǎng)絡(luò)空間測繪——鷹圖平臺，作為實戰(zhàn)攻防前的互聯(lián)網(wǎng)空間“偵察機”，將虛擬的網(wǎng)絡(luò)空間、地理空間、社會空間相結(jié)合，可以探測到域名、服務(wù)器、網(wǎng)站、數(shù)據(jù)庫、應(yīng)用軟件、網(wǎng)站服務(wù)組件、網(wǎng)站框架等各類互聯(lián)網(wǎng)資產(chǎn)。鷹圖平臺作為偵查工具，輔助服務(wù)人員幫客戶發(fā)現(xiàn)未知資產(chǎn)和風(fēng)險資產(chǎn)，從而形成互聯(lián)網(wǎng)資產(chǎn)探測和風(fēng)險預(yù)警服務(wù)，為后續(xù)的安全加固、防護增強提供支撐，防止在攻防中被攻擊者劫持利用，減少防守丟分。

 圖：全球鷹網(wǎng)絡(luò)空間測繪——鷹圖平臺

鷹圖平臺的第一個優(yōu)勢在于域名海量資產(chǎn)。截止5月底，鷹圖平臺的資產(chǎn)總數(shù)103億+，獨立IP數(shù)5.6億+，域名資產(chǎn)數(shù)38億+，ICP備案資產(chǎn)數(shù)600萬+。每日資產(chǎn)更新量與IP總數(shù)更新量均在千萬級別，已遠超同行。

第二個優(yōu)勢是查看便捷，可幫助客戶快速掌握資產(chǎn)暴露面全貌。鷹圖平臺從攻擊者視角出發(fā)，清晰便捷全面查看企業(yè)暴露在互聯(lián)網(wǎng)上的資產(chǎn)概況、資產(chǎn)分類、問題資產(chǎn)等資產(chǎn)全貌，還可以查看暴露IP詳情、證書詳情等。

第三個優(yōu)勢是速度更快，資產(chǎn)更新追求與業(yè)務(wù)同步。鷹圖平臺基于“零拷貝”發(fā)包技術(shù)和“無狀態(tài)掃描”技術(shù)，可幫助客戶快速掃描到網(wǎng)絡(luò)存活資產(chǎn)，縮短資產(chǎn)更新與業(yè)務(wù)同步的時間差。目前國內(nèi)高頻端口最快4天更新，海外高頻端口最快10天更新，避免業(yè)務(wù)上線很久、資產(chǎn)還沒梳理出來的“空窗期”。 

防守隊做的第二件事情，是定期修改弱口令，關(guān)閉高危端口，銷毀閑置的虛擬機等。

隨著資產(chǎn)日益增加，應(yīng)用系統(tǒng)瘋狂增長，應(yīng)用系統(tǒng)類型日益復(fù)雜，對特權(quán)賬號管理要求越來越高，特權(quán)賬號口令的管理成為新的挑戰(zhàn)。對此，奇安信推出了特權(quán)賬號管理系統(tǒng)（特權(quán)衛(wèi)士、即PAM），它以保障特權(quán)賬號安全為核心，能夠主動發(fā)現(xiàn)各類基礎(chǔ)設(shè)施資源的賬號分布、識別賬號風(fēng)險(包括弱口令、僵尸賬號、幽靈賬號、長期未改密賬號，賬號違規(guī)提權(quán)等)、管理賬號使用，實現(xiàn)對各類基礎(chǔ)設(shè)施資源賬號的全生命周期管理，幫助客戶提升賬號安全的主動防御能力，降低因賬號口令泄漏或被非法利用而造成的防守目標失陷問題。

圍繞攻防演習(xí)前，奇安信為客戶提供了部署和使用特權(quán)衛(wèi)士的三步流程：

客戶提前部署特權(quán)衛(wèi)士，第一步為錄入特權(quán)賬號，實施賬號掃描，通過收集客戶資產(chǎn)信息，每臺資產(chǎn)錄入最關(guān)鍵的特權(quán)賬號（Root\Admin等類型）存儲在PAM密碼保險箱之中；實施賬號掃描，發(fā)現(xiàn)幽靈賬號，杜絕從外部竊取賬號口令。

第二步是風(fēng)險臺賬梳理，專項整治弱口令。具體通過賬號發(fā)現(xiàn)數(shù)據(jù)，梳理風(fēng)險賬號臺賬；錄入企業(yè)內(nèi)部專屬的弱密碼集合，實施系統(tǒng)弱密碼掃描專項，并且一鍵改密，防止攻擊方利用竊取到的口令實施內(nèi)網(wǎng)橫向移動。

 圖：風(fēng)險賬號臺賬與弱密碼檢測專項

第三步為標準管理策略，動態(tài)分配權(quán)限。通過賬號改密和統(tǒng)一策略管理，回收賬號權(quán)限，解決權(quán)限的濫用；無縫聯(lián)動奇安信堡壘機，閉環(huán)賬號全生命周期管理，杜絕利用賬號的違規(guī)操作。  

備戰(zhàn)實戰(zhàn)攻防 奇安信在行動

目前，奇安信安服團隊已經(jīng)為2022年實戰(zhàn)攻防演習(xí)啟動相關(guān)工作，在收斂暴露面方面，主要通過全球鷹網(wǎng)絡(luò)空間測繪平臺，對客戶側(cè)產(chǎn)品對外暴露控制臺等情況進行排查并通知進行收斂。而在保護特權(quán)賬號、控制弱口令風(fēng)險方面，奇安信安服聯(lián)合數(shù)據(jù)安全團隊，啟動了賬號口令專項檢測行動，在實戰(zhàn)攻防演習(xí)之前，依托特權(quán)衛(wèi)士等守護好客戶數(shù)據(jù)資產(chǎn)的賬號大門。

雷峰網(wǎng)(公眾號：雷峰網(wǎng))

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。