一年一度、如火如荼的網(wǎng)絡(luò)安全攻防演習(xí)即將拉開大幕。在攻防領(lǐng)域流傳著很多金句，如“未知攻、焉知防”、“說一百遍不如打一遍”、“以攻促防”、“網(wǎng)絡(luò)安全的本質(zhì)在對(duì)抗”等等。它們雖表述不同，其核心思想是一致的：即防守隊(duì)非常需要攻擊隊(duì)視角，從攻擊者角度去站位思考，分析總結(jié)攻方會(huì)采取的手段和步驟，來(lái)反思自身的安全體系、防護(hù)弱點(diǎn)，達(dá)到“知己知彼、百戰(zhàn)不殆”。

 

為此，我們推出了實(shí)戰(zhàn)攻防演習(xí)“以攻促防”連載系列，立足歷年數(shù)百場(chǎng)攻防演習(xí)中，攻擊隊(duì)最慣常使用的手段方法，來(lái)進(jìn)行精準(zhǔn)、針對(duì)性的堵截防御，實(shí)現(xiàn)“無(wú)懈可擊”。本篇從偵察角度，看攻防雙方如何進(jìn)行偵察與反偵察的較量。

偵察 攻擊前的第一步 

有部很知名的老電影叫《渡江偵察記》，講述渡江戰(zhàn)役前夕，解放軍派偵察班先遣小隊(duì)，渡江去偵察敵情，并獲得一份江防工事圖，探明敵人江防部署。總攻開始后，解放軍萬(wàn)帆齊發(fā)、大炮雷鳴，把敵人沿江工事精準(zhǔn)摧毀，保障百萬(wàn)雄師順利渡江，取得全面勝利。這部電影將偵察的重要性體現(xiàn)的淋漓盡致。

 

同樣，2007年有部叫做《斯巴達(dá)300勇士》的電影，從守方角度體現(xiàn)了對(duì)忽視偵察導(dǎo)致的后果。斯巴達(dá)王列奧尼達(dá)率領(lǐng)300勇士，將波斯數(shù)十萬(wàn)大軍堵在了溫泉關(guān)，讓對(duì)方寸步難行、傷亡慘重。然而，列奧尼達(dá)沒有防范身后的一條小路，最終被一個(gè)叛徒引導(dǎo)波斯軍抄小路，繞道進(jìn)攻后方薄弱環(huán)節(jié)，導(dǎo)致300勇士腹背受敵、全軍覆沒。

在實(shí)戰(zhàn)攻防演習(xí)中，作為攻擊活動(dòng)的初始環(huán)節(jié)，攻擊者會(huì)通過各種手段，搜集目標(biāo)信息，并選擇薄弱點(diǎn)，如竊取登錄憑證、掃描高危端口等，將其作為主攻方向。具體包括，通過外圍信息收集和多種掃描技術(shù)，獲得目標(biāo)的IP地址、端口、操作系統(tǒng)版本、每個(gè)端口運(yùn)行的服務(wù)、存在的漏洞等攻擊必需信息等等。

從攻擊者的視角，偵察獲得的信息越全面，找到薄弱點(diǎn)、突破口的概率就越高。因此，作為防守隊(duì)，第一步需要做的事情，不是急迫布防，安裝威脅檢測(cè)、邊界安全等產(chǎn)品，而是不要讓敵人偵察到攻擊的突破口，讓他們無(wú)隙可乘。

防守隊(duì)痛點(diǎn)：未知資產(chǎn)暴露在外 弱口令無(wú)處不在 

對(duì)于防守隊(duì)而言，第一個(gè)痛點(diǎn)是資產(chǎn)繁多、難以管理，尤其是很多暴露在外的未知資產(chǎn)，一旦被攻方偵察到，失陷基本只是時(shí)間問題。

參加實(shí)戰(zhàn)攻防演習(xí)的政企機(jī)構(gòu)，絕大多數(shù)信息化、數(shù)字化程度都很高，對(duì)外開放的業(yè)務(wù)應(yīng)用非常廣泛，導(dǎo)致暴露在整個(gè)互聯(lián)網(wǎng)上的服務(wù)器、設(shè)備的端口、協(xié)議、應(yīng)用等非常龐雜和繁多。尤其是因內(nèi)部管理流程不完善等原因，導(dǎo)致很多未知資產(chǎn)暴露在外。這些未知資產(chǎn)，對(duì)于經(jīng)驗(yàn)豐富的攻擊隊(duì)而言，可以用常規(guī)掃描工具輕松偵察到。攻方演習(xí)一旦開始，這些未納入統(tǒng)一管理的未知資產(chǎn)，很容易成為率先被攻破的目標(biāo)。

第二個(gè)痛點(diǎn)，屢禁不止的弱口令，防守虛弱的特權(quán)賬號(hào)等，讓攻擊者屢試不爽。

弱口令是指賬號(hào)口令復(fù)雜度策略配置較低，或容易被攻擊者獲取的口令，通常有簡(jiǎn)單口令、默認(rèn)口令、空口令、規(guī)律性口令、社會(huì)工程學(xué)弱口令等。由于其口令強(qiáng)度過弱，容易被攻破，堪稱每年實(shí)戰(zhàn)攻防演習(xí)的十大安全漏洞之首。而實(shí)戰(zhàn)中通過弱口令獲得權(quán)限的情況占比更是高達(dá)70%以上。

同時(shí)，因涉及到攻擊者的最終利益，特權(quán)賬號(hào)往往是攻擊者瞄準(zhǔn)的重點(diǎn)攻擊目標(biāo)。特權(quán)賬號(hào)由于其分布廣、數(shù)量多的特點(diǎn)造成特權(quán)賬號(hào)梳理難，組織管理員無(wú)法全面的掌握特權(quán)賬號(hào)動(dòng)態(tài)情況。加上僵尸賬號(hào)、幽靈賬號(hào)、后門賬號(hào)、弱口令賬號(hào)、長(zhǎng)期未改密賬號(hào)等風(fēng)險(xiǎn)賬號(hào)等廣泛存在，且比較隱蔽，給系統(tǒng)資產(chǎn)帶來(lái)很大的安全隱患。

防守方破解之道：做好資產(chǎn)測(cè)繪 嚴(yán)控賬號(hào)風(fēng)險(xiǎn)

讓眾多未知資產(chǎn)暴露在互聯(lián)網(wǎng)等公開區(qū)域，無(wú)異于給攻擊隊(duì)若干不設(shè)防的攻擊目標(biāo)，演習(xí)中會(huì)被處處打穿。為此，奇安信實(shí)戰(zhàn)攻防專家建議，防守隊(duì)首先要做的第一件事情，就是收縮暴露面，通過技術(shù)手段實(shí)現(xiàn)對(duì)旗下各類資產(chǎn)的統(tǒng)一管理，才能有針對(duì)性的防護(hù)。

目前，奇安信推出的全球鷹網(wǎng)絡(luò)空間測(cè)繪——鷹圖平臺(tái)，作為實(shí)戰(zhàn)攻防前的互聯(lián)網(wǎng)空間“偵察機(jī)”，將虛擬的網(wǎng)絡(luò)空間、地理空間、社會(huì)空間相結(jié)合，可以探測(cè)到域名、服務(wù)器、網(wǎng)站、數(shù)據(jù)庫(kù)、應(yīng)用軟件、網(wǎng)站服務(wù)組件、網(wǎng)站框架等各類互聯(lián)網(wǎng)資產(chǎn)。鷹圖平臺(tái)作為偵查工具，輔助服務(wù)人員幫客戶發(fā)現(xiàn)未知資產(chǎn)和風(fēng)險(xiǎn)資產(chǎn)，從而形成互聯(lián)網(wǎng)資產(chǎn)探測(cè)和風(fēng)險(xiǎn)預(yù)警服務(wù)，為后續(xù)的安全加固、防護(hù)增強(qiáng)提供支撐，防止在攻防中被攻擊者劫持利用，減少防守丟分。

 圖：全球鷹網(wǎng)絡(luò)空間測(cè)繪——鷹圖平臺(tái)

鷹圖平臺(tái)的第一個(gè)優(yōu)勢(shì)在于域名海量資產(chǎn)。截止5月底，鷹圖平臺(tái)的資產(chǎn)總數(shù)103億+，獨(dú)立IP數(shù)5.6億+，域名資產(chǎn)數(shù)38億+，ICP備案資產(chǎn)數(shù)600萬(wàn)+。每日資產(chǎn)更新量與IP總數(shù)更新量均在千萬(wàn)級(jí)別，已遠(yuǎn)超同行。

第二個(gè)優(yōu)勢(shì)是查看便捷，可幫助客戶快速掌握資產(chǎn)暴露面全貌。鷹圖平臺(tái)從攻擊者視角出發(fā)，清晰便捷全面查看企業(yè)暴露在互聯(lián)網(wǎng)上的資產(chǎn)概況、資產(chǎn)分類、問題資產(chǎn)等資產(chǎn)全貌，還可以查看暴露IP詳情、證書詳情等。

第三個(gè)優(yōu)勢(shì)是速度更快，資產(chǎn)更新追求與業(yè)務(wù)同步。鷹圖平臺(tái)基于“零拷貝”發(fā)包技術(shù)和“無(wú)狀態(tài)掃描”技術(shù)，可幫助客戶快速掃描到網(wǎng)絡(luò)存活資產(chǎn)，縮短資產(chǎn)更新與業(yè)務(wù)同步的時(shí)間差。目前國(guó)內(nèi)高頻端口最快4天更新，海外高頻端口最快10天更新，避免業(yè)務(wù)上線很久、資產(chǎn)還沒梳理出來(lái)的“空窗期”。 

防守隊(duì)做的第二件事情，是定期修改弱口令，關(guān)閉高危端口，銷毀閑置的虛擬機(jī)等。

隨著資產(chǎn)日益增加，應(yīng)用系統(tǒng)瘋狂增長(zhǎng)，應(yīng)用系統(tǒng)類型日益復(fù)雜，對(duì)特權(quán)賬號(hào)管理要求越來(lái)越高，特權(quán)賬號(hào)口令的管理成為新的挑戰(zhàn)。對(duì)此，奇安信推出了特權(quán)賬號(hào)管理系統(tǒng)（特權(quán)衛(wèi)士、即PAM），它以保障特權(quán)賬號(hào)安全為核心，能夠主動(dòng)發(fā)現(xiàn)各類基礎(chǔ)設(shè)施資源的賬號(hào)分布、識(shí)別賬號(hào)風(fēng)險(xiǎn)(包括弱口令、僵尸賬號(hào)、幽靈賬號(hào)、長(zhǎng)期未改密賬號(hào)，賬號(hào)違規(guī)提權(quán)等)、管理賬號(hào)使用，實(shí)現(xiàn)對(duì)各類基礎(chǔ)設(shè)施資源賬號(hào)的全生命周期管理，幫助客戶提升賬號(hào)安全的主動(dòng)防御能力，降低因賬號(hào)口令泄漏或被非法利用而造成的防守目標(biāo)失陷問題。

圍繞攻防演習(xí)前，奇安信為客戶提供了部署和使用特權(quán)衛(wèi)士的三步流程：

客戶提前部署特權(quán)衛(wèi)士，第一步為錄入特權(quán)賬號(hào)，實(shí)施賬號(hào)掃描，通過收集客戶資產(chǎn)信息，每臺(tái)資產(chǎn)錄入最關(guān)鍵的特權(quán)賬號(hào)（Root\Admin等類型）存儲(chǔ)在PAM密碼保險(xiǎn)箱之中；實(shí)施賬號(hào)掃描，發(fā)現(xiàn)幽靈賬號(hào)，杜絕從外部竊取賬號(hào)口令。

第二步是風(fēng)險(xiǎn)臺(tái)賬梳理，專項(xiàng)整治弱口令。具體通過賬號(hào)發(fā)現(xiàn)數(shù)據(jù)，梳理風(fēng)險(xiǎn)賬號(hào)臺(tái)賬；錄入企業(yè)內(nèi)部專屬的弱密碼集合，實(shí)施系統(tǒng)弱密碼掃描專項(xiàng)，并且一鍵改密，防止攻擊方利用竊取到的口令實(shí)施內(nèi)網(wǎng)橫向移動(dòng)。

 圖：風(fēng)險(xiǎn)賬號(hào)臺(tái)賬與弱密碼檢測(cè)專項(xiàng)

第三步為標(biāo)準(zhǔn)管理策略，動(dòng)態(tài)分配權(quán)限。通過賬號(hào)改密和統(tǒng)一策略管理，回收賬號(hào)權(quán)限，解決權(quán)限的濫用；無(wú)縫聯(lián)動(dòng)奇安信堡壘機(jī)，閉環(huán)賬號(hào)全生命周期管理，杜絕利用賬號(hào)的違規(guī)操作。  

備戰(zhàn)實(shí)戰(zhàn)攻防 奇安信在行動(dòng)

目前，奇安信安服團(tuán)隊(duì)已經(jīng)為2022年實(shí)戰(zhàn)攻防演習(xí)啟動(dòng)相關(guān)工作，在收斂暴露面方面，主要通過全球鷹網(wǎng)絡(luò)空間測(cè)繪平臺(tái)，對(duì)客戶側(cè)產(chǎn)品對(duì)外暴露控制臺(tái)等情況進(jìn)行排查并通知進(jìn)行收斂。而在保護(hù)特權(quán)賬號(hào)、控制弱口令風(fēng)險(xiǎn)方面，奇安信安服聯(lián)合數(shù)據(jù)安全團(tuán)隊(duì)，啟動(dòng)了賬號(hào)口令專項(xiàng)檢測(cè)行動(dòng)，在實(shí)戰(zhàn)攻防演習(xí)之前，依托特權(quán)衛(wèi)士等守護(hù)好客戶數(shù)據(jù)資產(chǎn)的賬號(hào)大門。

雷峰網(wǎng)(公眾號(hào)：雷峰網(wǎng))

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。