防护手段是落地防护策略的基础,但“不知攻,焉知防”,近年 随着网络攻击的手段、方法的层出不穷,攻击技术的不断发展,红队 的网络防御难度也越来越大,需要不断更新才能更好地保障网络安 全。结合近几年实战攻防演练中蓝队常用的信息收集、钓鱼邮件、供 应链攻击等常用攻击手段和重点,本章将通过五种防护手段来确保防 御策略中信息清理、收缩战线、纵深防护的有效执行。
防信息泄露
信息搜集是攻防活动中攻击者进行的第一步操作,也是非常重要 的一步。为了防止攻击被发现,攻击队一般会采取外围信息收集的策 略,并根据搜集到的数据的质量确定后续的攻击方法或思路。外围信 息收集的主要来源是信息泄露。信息泄露及其处置方式主要分为以下 几类。
防文档信息泄露
许多开发人员、运维人员安全意识不足,例如,为了方便或赚积 分把一些未脱敏文件上传到网盘、文库、运维群等公共平台上,造成 关键文档信息泄露。如果密码、接口信息、网络架构等文档信息泄 露,攻击者会根据泄露信息绕过安全防护,使安全防护形同虚设。
攻击者一般会通过如下几类网站或工具搜索目标单位信息: - 学术网站类,如知网CNKI、Google学术、百度学术; - 网盘类,如微盘Vdisk、百度网盘、360云盘等; - 代码托管平台类,如GitHub、Bitbucket、GitLab、Gitee等; - 招投标网站类,自建招投标网站、第三方招投标网站等; - 文库类,如百度文库、豆丁网、道客巴巴等; - 社交平台类,如微信群、QQ群、论坛、贴吧等。 最受攻击者欢迎的文档信息包括以下几类。
使用手册:VPN系统、OA系统、邮箱等系统的使用手册,其中 的敏感信息可能包含应用访问地址、默认账号信息等。
安装手册:可能包含应用默认口令、硬件设备的内外网地址 等。
交付文档:可能包含应用配置信息、网络拓扑、网络的配置信 息等。
具体处置建议如下。
1)从制度上明确要求敏感文档一律不准上传到网盘或文库,并定
期审查。
2)对第三方人员同样要求涉及本单位的敏感文档,未经合同单位 允许不得共享给项目无关人员,不得上传到网盘、文库、QQ群共享等 公共平台。一经发现,严肃处理。
3)定期去上面提到的各类网站或工具中搜索自己单位的关键字, 如发现敏感文档要求上传者或平台删除。
防代码托管泄露
开发者利用社交编程及代码托管网站,使用户可以轻易地管理、 存储和搜索程序源代码,这些代码托管网站受到了广大程序员们的热 爱。然而,缺乏安全意识的程序员可能会将组织或客户公司的源代码 全部或部分上传到代码托管网站。攻击者找到目标单位源代码后会直 接对源代码进行安全审计,通过白盒测试挖掘系统漏洞,使得部分防 御措施失效或精准绕过防护规则;或者源代码中包含的敏感信息可能 会涉及应用连接的账号和密码、配置信息等重要信息,泄露后会被直 接利用。针对防代码托管泄露的建议如下:
1)在制度上严禁项目源代码公开到代码托管网站; 2)禁止开发人员私自将源代码复制到不可控的电脑上;
3)定期在GitHub、Bitbucket、GitLab、Gitee等各大代码托管网 站上搜索自己单位的关键字,如发现上面有自己单位的源代码,要求 上传者或平台删除。
防历史漏洞泄露
大多数攻击者会在漏洞平台上搜索目标单位系统或与目标单位系 统指纹相同系统的漏洞信息,并根据漏洞信息测试漏洞是否存在,如 果漏洞未修复,则会直接利用。目前主流的漏洞上报平台如下。
况;
2)收集和本单位使用相同商业系统或开源系统的漏洞信息,逐一 验证本单位系统是否存在漏洞平台披露的漏洞。
防人员信息泄露
目标单位人员的邮箱、电话、通讯录等信息泄露也会带来一定程 度的安全隐患,攻击者可以用这些信息来对这些人员采取定向钓鱼、 社工等手段,控制他们的电子设备,从而进行进一步的信息收集和入 侵。
处置建议如下:
1)增强人员安全意识,不要轻易打开可疑邮件,不得向未经确认 人员泄露敏感信息,禁止将未经确认人员添加到业务群或其他敏感工 作群;
2)禁止在程序源代码里放管理员邮箱、电话等敏感信息。
防其他信息泄露
除上述可能造成的信息泄露外,攻击者也会收集目标单位的供应 商信息、单位组织结构或下属单位信息,并通过攻击这些目标迂回攻 击目标单位信息系统。这也是攻击者较常使用的攻击手段。
处置建议如下:
1)与下属单位的系统互联,上网络层面部署安全防护和检测设 备,接入前下属单位系统要出具代码审计和渗透测试报告,保障接入 安全;
2)不要和其他系统单位或个人共用密码,如有条件可增加动态密 码或者密钥认证,防止黑客撞库攻击;
3)对于托管在公有云上的系统,要求云提供商单独部署,不得与 其他单位系统共用网段、服务器以及存储等组件,防止旁路攻击。
社会工程学是一种通过人际交流的方式获得信息的非技术渗透手 段。不幸的是,这种手段非常有效,而且应用效率极高。事实上,社 会工程学已是企业安全最大的威胁之一。目前社工手段主要有以下几 种。
(1)邮件钓鱼
攻击者通过目标单位泄露的邮件地址,利用发送时事热点、冒充 领导、冒充维护人员、邮箱升级等钓鱼手段,在邮件的链接和附件中 隐藏恶意链接或样本,诱骗安全意识差的内部人员点击、下载或运 行,达到控制其IT设备的目的。
建议的防御措施如下: 1)提高人员(特别是管理员)的安全意识; 2)收到邮件后仔细鉴别邮件的标题、发件人、信件内容等; 3)谨慎打开邮件附件及附件中的链接等; 4)不要轻易打开陌生邮件里的链接。
(2)网络钓鱼
攻击者利用热点网络文章(带链接和工具附件)、社交软件、微 信公众号等,诱导用户点击恶意链接进行钓鱼攻击。
建议的防御措施如下: 1)提高人员(特别是管理员)的安全意识; 2)对网络上分享的内容进行鉴别,谨慎使用分享工具等; 3)谨慎点击收到的通知或信息中的链接,谨慎下载链接中的附件等。
(3)人员冒充
攻击者冒充上级单位、监管机构、供应商通过电话、短信等方式 套取重要信息。近年来已有多个参演单位发现冒充上级单位、监管机 构以检查的名义索要资产信息和联系人的钓鱼事件,以及冒充供应商 等以维护、检查等名义索要资产信息的钓鱼事件。
建议的防御措施如下:
1)建立上级单位、监管机构、供应商的沟通机制和联络人名单, 通过正常沟通流程进行沟通;
2)对接收到的问询等进行人员身份确认,若无法确认,则不提供 任何信息。
(4)反向社工
攻击者紧跟时事热点,发布并扩散故障公告和钓鱼联系方式,等 待用户主动联系时进行钓鱼,如冒充某些设备或安全厂商发布漏洞公 告和联系方式的钓鱼事件。
建议的防御措施如下: 1)通过正规方式联系消息发布人; 2)如对方询问敏感信息,不要泄露;
3)如对方要求现场维护,须让对方出具证明,待身份确认后方可 允许对方进入,内部人员须全程陪同。