资源描述
本 | 期 | 看 | 点 P04 等保 2.0 的变化在哪里? P14 红蓝对抗如何开展,绿盟科技来助力目录 P04 等保 2.0 的变化在哪里? 策解读 政 P14 红蓝对抗如何开展,绿盟科技来助力 P26 红蓝对抗演练落地指导方案 P34 红蓝对抗之 -IDS 护什么 P37 浅谈僵尸网络的威胁与防御 P43 黑客正在收集 4600 个网站上的支付细节及用户密码 P45 GitHub 源码被黑客洗劫和勒索事件 微软也未能幸免 P47 警惕挖矿木马病毒 D TLMiner 最新变种 业研究 行 P50 微软远程桌面服务(Remote Desk top Ser vic es)远 程 代 码 执 行 漏洞 (C VE-2019-0708) 威胁预警通告 P51 Cisc o Elas tic Ser vic es Contr oller RES T API 认证绕过漏洞 (C VE-2019-1867)威胁预警通告 P53 Cisc o Prime Infr as truc tur e and E v olv ed Pr ogr ammable Ne tw ork Manag er 远程代码执行漏洞安全威胁通告 洞聚焦 漏 P56 绿盟科技产品更新提示 P58 强强联合 | 绿盟科技云沙箱(POMA)成为 Virus T o t al 官方合 作产品 P59 喜报 | 绿盟威胁情报平台荣获 2019 数博会领先科技成果 品动态 产 绿盟科技金融事业部 安全月刊 2019年第6期 S C ONTENT S 绿盟科技官方微信 安全月刊在线阅读 策 解读 政 S S安全月刊 / 2019.6 4 政策解读 等保 2.0 的变化在哪里? 解决方案中心 孙昌卫 5月10日,网络安全等级保护制度2.0国家标准正式发布。网络安全等级保 护制度,作为国家网络安全的重要组成部分,对加强国家网络安全保障工作, 提升网络安全保护能力具有重要意义。 一、等级保护2.0时代的重要标志 1. 网络安全法全面施行,把网络安全等级保护制度提升到法律保障 层面。 2. 公安部发布网络安全等级保护条例(制定中),从法规层推进实施国 家网络安全等级保护制度。 3. 网信办发布关键信息基础设施安全保护条例(制定中),加强国家关 键信息基础设施防护。 4. 为了解决新技术、新应用的安全问题,等级保护系列标准进行了修订。 等级保护系列标准2019.6 / 安全月刊 5 政策解读 二、等级保护2.0的整体变化 1. 等级保护2.0法律地位明显提升,监管对象更加广泛。将重要网络基础 设施、重要信息系统、云计算平台、物联网、工控系统、大数据平台、公众 服务平台等全部纳入等级保护监管,并将互联网企业纳入等级保护管理。 2. 网络安全等级保护措施进一步完善。将风险评估、安全监测、预警通 报、应急演练、自主可控、供应链安全等重点措施纳入等级保护制度实施。 3. 等级保护2.0下,定级对象的安全等级确定更加科学。根据网络安 全等级保护条例(征求意见稿)第十七条规定,对拟定为第二级以上的网 络,其运营者应当组织专家评审;有行业主管部门的,应当在评审后报请主 管部门核准。跨省或者全国统一联网运行的网络由行业主管部门统一拟定安 全保护等级,统一组织定级评审。 定级流程 4.定级矩阵发生了变化(黑色加粗字体是较1.0变化的部分, 1.0是第 二级)。 定级要素与等级的关系(定级指南-报批稿)安全月刊 / 2019.6 6 政策解读 5.备案机关进行了调整。根据网络安全等级保护条例(征求意见稿)第 十八条规定,第二级以上网络运营者应当在网络的安全保护等级确定后 10 个工 作日内,到县级(之前是市级)以上公安机关备案。 6.等保2.0下的等级测评发生了变化,根据网络安全等级保护条例(征求意 见稿)第二十三条规定,第三级以上网络的运营者应当每年开展一次网络安全 等级测评(修改了43号文对第四级信息系统应当每半年至少进行一次等级测评的 要求)。 7.等级保护2.0时代,以保护国家关键信息基础设施为重点。关键信息基础设 施在等级保护第三级(包括第三级)以上的保护对象中确定。 关键信息基础设施和等级保护的关系 8.等级保护2.0下的安全建设,需要考虑建立可信验证机制,可参考安全等级 实施可信验证。 不同安全等级的可信保障2019.6 / 安全月刊 7 政策解读 三、等级保护基本要求的变化 1.标准名称的改变 基本要求名称由原来信息系统安全等级保护基本要求最终改为网络安 全等级保护基本要求,与网络安全法保持一致。 2.基本要求结构发生了变化,突出了“一个中心,三重防护”。 原基本要求中各级技术要求的物理安全、网络安全、主机安全、应用安全、 数据安全及备份恢复,修订为安全物理环境、安全通信网络、安全区域边界、安 全计算环境和安全管理中心;原各级管理要求的安全管理制度、安全管理机构、 人员安全管理、系统建设管理、系统运维管理,修订为安全管理制度、安全管理 机构、安全管理人员、安全建设管理、安全运维管理。 技术要求的变化 管理要求的变化安全月刊 / 2019.6 8 政策解读 3.等级保护安全要求发生了变化 新基本要求分为安全通用要求和安全扩展要求。安全通用要求是不管等级保 护对象形态如何必须满足的要求,针对云计算、移动互联、物联网和工业控制系 统提出了特殊要求,称为为安全扩展要求。 基本要求结构 4. 修订后的基本要求,安全通用部分整体要求项减少,标准更加利于实施。 5. 安全通用要求分析解读(黑色加粗字体是第三级增强的要求)2019.6 / 安全月刊 9 政策解读 6. 安全通信网络是针对通信网络提出的安全控制要求。主要对象为广域网、 城域网和局域网等。 7. 安全计算环境是针对边界内部提出的安全控制要求,主要对象为边界内部 的所有对象,包括网络设备、安全设备、服务器设备、终端设备、应用系统、数 据对象和其他设备等。安全月刊 / 2019.6 10 政策解读 8. 安全管理中心是针对整个系统提出的安全管理方面的技术控制要求,通过 技术手段实现集中管理。 9. 恶意代码防范措施随着安全保护等级增强。第三级的恶意代码防范有两 种选择,在不具备可信验证的情况下,可以选择其他技术措施(例如:主机防病 毒、EDR等)进行恶意代码防范。 10. 第三级的可信验证要求是在应用程序的关键执行环节进行动态可信验 证,在可信验证遭受破坏后进行报警,并将审计记录上传到安全管理中心。 绿盟科技已发布等级保护2.0系列解决方案,相关咨询请联系绿盟科技各分 公司、办事处的相关人员或拨打咨询热线:400-818-6868。 业 研究 行 S S安全月刊 / 2019.6 12 行业研究 行业方案2019.6 / 安全月刊 13 行业研究 行业方案安全月刊 / 2019.6 14 行业研究 行业方案 红蓝对抗如何开展,绿盟科技来助力 一、概述 1.1 基本概念 为发现并整改企业内外网资产及业务数据深层次安全隐患,在确保业 务平稳运行的前提下,整合企业安全威胁监测能力、应急处置能力和防护能 力,以企业真实网络环境开展实兵红蓝对抗演练,提高并完善企业安全防护 技术与管理体系。 蓝队(攻击方)模拟黑客的动机与行为,探测企业网络存在的薄弱点, 加以利用并深入扩展,在授权范围内获得业务数据、服务器控制权限、业务 控制权限;红队(防守方)通过设备监测和日志及流量分析等手段,监测攻 击行为并对成功的入侵行为响应和处置。演练结束后,红蓝双方共同复盘, 沟通攻防过程中的优点与不足,结合安全防护体系现状探讨安全建议。 绿盟科技根据多年安全服务经验及完善的安全系列产品,以红队或蓝队2019.6 / 安全月刊 15 行业研究 行业方案 决方案。 威胁可视化 红蓝对抗中发现企业资产的攻击面,以结果为导向深入扩展,展示出真 实入侵的后果和影响面。 解决木桶效应 企业传统安全防护与安全运营易堆积未修复漏洞,对抗中攻击方通过尝 试任何可利用的风险点,提出修复建议,解决木桶效应。 提升团队能力 通过红蓝对抗,以实际网络和业务环境为战场,真实模拟黑客攻击行 为,防守方通过企业中多部门协同作战,实践大规模攻击情况下的防护流程 及运营状态,提升应急处置效率和实战能力。 引导防御姿态转变 传统的安全防护以监控设备告警攻击为主,对抗的经验帮助团队逐渐转 变为通过服务器的异常挖掘攻击行为甚至复现攻击者的入侵过程。 二、实施标准和原则 2.1 参考依据 为了保证此次红蓝对抗服务的先进性、完备性、规范性,绿盟科技红蓝 对抗服务将参考下列国内、国际与信息安全攻防技术有关的标准展开工作。 网络安全法 刑法 信息安全职业道德规范 GB/T 18336(ISO/IEC 15408)信息技术安全评估准则 GB/T 22080(ISO/IEC 27001)信息安全管理体系要求 GB/T 28517-2012网络安全事件描述和交换格式 GB/T 20985.1-2017(ISO/IEC JTC1 SC27)信息安全事件管理 第1部 分:事件管理原理 ISO/IEC 27035-2信息安全事件管理 第2部分 事件响应规划和准备指南 2.2 服务原则 绿盟科技在提供红蓝服务中,将遵循下列原则。 角色全程参与到客户的红蓝对抗过程 中,为客户提供专业的建议和指导, 配合红蓝对抗宣贯、现场指导和复盘 达到传递技能、提升专业水平和防护 能力的效果。 1.2 服务的必要性 随着网络的发展,新的漏洞利 用方法及攻击手段也不断的被曝光, 防守方由于对最新的攻击技术及方法 理解落后于攻击人员,日常资产管理 及安全制度中存在遗留缺陷,企业人 员安全意识层次不齐,导致在攻防博 弈中处于劣势地位;通过攻防对抗模 式及时暴露防守方在该方面的问题, 演练集中攻击时的防守人员工作流 程,以提高安全能力。 网络攻击的门槛越来越低,黑 灰产业也越来越成熟和组织化,如 wannacry恶意蠕虫,批量挖矿僵尸 主机等大规模攻击也越来越多,APT 攻击也越来越容易;企业员工的安全 意识可能导致严重灾难,企业发展导 致的攻击面增加都使得企业面临被攻 击的风险大幅提升,为了能在遭受攻 击前发现企业安全问题,提升企业的 防护能力及快速处置能力,开展红蓝 对抗演练是最能达到效果的方法。 1.3 对抗收益 企业高层视角评估安全体系 根据对抗结果,以CSO,CIO, CEO视角提出企业安全评估观点及解安全月刊 / 2019.6 16 行业研究 行业方案 可控性原则 绿盟科技提供红蓝对抗服务,将通过人员和实施规则保证整个对抗过程可 控,详见3.4 风险控制小节。 标准性原则 绿盟科技渗透测试服务将在国家法律、法规允许的范围内进行,特别是遵 照并履行网络安全法、中华人民共和国人民警察法第六条第十二款、 全国人大常委会关于维护互联网安全的决定、刑法第二百八十五条、第 二百八十六条。 在道德方面,严格遵守业界普遍认同的计算机道德10个戒律、信息安 全职业道德规范、以及网络道德的基本原则。 保密性原则 保密原则性是红蓝对抗服务中最重要的原则,它是鼓励客户实施红蓝对抗服 务的心理基础,同时也是对客户的人格及隐私权的最大尊重,红蓝对抗的保密范 围包括数据文档的保密性、目标数据的保密性、对抗过程中利用的漏洞和发现的 问题的保密性以及输出成果的保密性。对服务过程中获知的任何客户系统信息均 属秘密信息,不得泄露给第三方单位或个人,也不得利用这些信息进行任何侵害 客户的行为;对服务提交的报告不得扩散给未经授权的第三方或个人。 三、红蓝对抗服务基础 3.1 服务范围 绿盟科技红蓝对抗服务的范围包括客户的资产(主机、设备等)和相关业 务数据(账号、业务数据等),绿盟科技将在合同和法律约束范围内开展红蓝 对抗。 3.2 服务特点 网络威胁可视化 红蓝对抗服务以攻防对抗的形式,在企业网络中进行实兵演练;蓝队模拟真 实攻击者对目标进行渗透,以多样化的攻击方式挖掘资产的漏洞,通过攻击链暴 露企业网络存在的真实威胁,并充分展示威胁的影响范围。 攻击者视角看防护体系2019.6 / 安全月刊 17 行业研究 行业方案 演练过程可控 蓝队成员在渗透过程中,全程录屏,并在最终汇报时提交录屏文件。 四、红蓝对抗服务介绍 4.1 蓝队服务 绿盟科技提供攻击能力的蓝队服务,对客户资产进行模拟入侵;蓝队服 务实施流程分为三个阶段:前期准备阶段、对抗实施阶段、总结汇报阶段。 4.1.1 前期准备阶段 与客户共同确定蓝队服务的实施基本要素,服务开展前,需确定如下 信息: 确定目标资产范围、攻防限制要求和时间范围; 明确风险,若业务系统不参与红蓝对抗演练,需提前说明; 风险关注倾向; 蓝队在确定了所有信息之后,制定攻击计划,并准备攻击工具及录屏软 件;之后在项目启动会后,由蓝队成员代表对客户方进行红蓝对抗培训。 4.1.2 对抗实施阶段 蓝队成员遵照实施要求,开展对目标资产的模拟入侵,寻找攻击路径, 发现安全漏洞和隐患。除获取目标系统的关键信息(包括但不限于资产信 未知攻,焉知防;红蓝对抗展 示攻击者视角下的手法和思路,以 此来反思防护体系的遗漏点并及时 补充。 提升综合防护能力 红蓝对抗服务通过事前红队安 全评估,增强防护之后,利用蓝队攻 击能力挖掘当前防护体系的脆弱点, 再次提升防护能力。同时,在发现脆 弱点及响应处置的过程中,也增加企 业员工实战经验,提升安全技能。 3.3 风险控制 为避免意外,红蓝对抗过程中 应对蓝队的攻击行为进行限制,并输 出为蓝队实施规则文档;在对抗过程 中,确定蓝队成员和客户方配合人员 的联系方式,便于及时沟通并解决服 务过程中的各类问题;对抗过程结束 前蓝队在资产上留下的木马、工具以 及入侵痕迹需清理完全。 参演人员可控 参与演练人员为本公司正式员 工,政治可靠,无任何违法违规记 录;红蓝队成员与公司签订保密协 议,与客户签订保密协议。 工具安全可控 蓝队在攻防过程中使用的带有 攻击性的工具,均保证工具本身无携 带后门,使用的木马程序也均保证不 会造成二次入侵;红队在应急处置过 程中使用的应急工具,均保证工具无 携带后门。安全月刊 / 2019.6 18 行业研究 行业方案 息、重要业务数据、代码或管理员账号等)外,还通过漏洞探测利用及社会工程 学,获取主机权限并向目标纵广和纵深发展;每日汇总成果输出日报向客户方 汇报。 常用手段如下图所示:2019.6 / 安全月刊 19 行业研究 行业方案 挖掘常见的数据库、FTP、远程访问等应用已知漏洞,并尝试利用; 攻击方伪装用户对业务人员进行社会工程攻击; 利用收集到的邮箱账号信息和企业员工可能存在薄弱的安全意识,进 行邮件钓鱼。 在入口突破过程中拿到的主机,均可当做攻防过程中的跳板机,做进一 步横向或纵向渗透。 近程攻击: 发现企业大楼存在的攻击面并利用,大楼WiFi是一个突破点,利用无线 网卡和破解工具对WiFi尝试破解,然后探测内网主机应用并挖掘漏洞,获取信 息和权限;收集路由器的信息并尝试攻击路由器,控制网段;对带有认证的 WiFi,尝试挖掘认证服务器的漏洞,侧面入侵到内网,也可搭建FakeAP钓鱼 员工,收集信息并打通到内网的通道;对自助终端机尝试沙盒绕过,获取控 制权限。 内网渗透: 内网整体攻击过程如下图所示: 在通过漏洞拿到系统权限并进入内网之后,搜集该主机的相关文件,如 各类应用服务的配置文件,history、.ssh 文件夹等,获取当前主机的系统及其 他有价值信息,利用此信息对内网其他资产进行纵向和横向扩展。 尝试提权或通过键盘记录获取高权限账户口令,并及时隐藏后门;查看 网络连接发现内网通信主机,并通过代理对内网进行扫描,重点关注redis, SQL,Web,Samba等高可利用性服务,再对内网其他主机进行同样的扫描及 漏洞挖掘;内网中的办公支撑系统也是非常容易忽略的点,这类资产防护较 弱,极其容易发现高危漏洞。 整体过程需要对目标系统不断的信息收集和漏洞挖掘以及数据发现,在 拿到主机权限之后,尝试提升到服务器的最高权限,再以该机器为跳板机, 继续对内网进行新一轮的信息收集,突破。 信息收集: 通过技术或者社会工程手段, 针对既定目标开展信息收集,如利用 搜索或爆破等方式,通过域名IP查询 站点获取目标资产的IP信息,CDN, 子域名及注册邮箱,关联信息等;扫 描目标主机获取服务器指纹信息,端 口服务banner;识别Web应用并判断 防护设备及过滤规则以及操作系统版 本;通过GitHub、Google等多种搜 索引擎搜索与域名、IP相关的信息, 综合整理并提炼出可利用的脆弱资产 及可利用信息。 入口突破: 对搜集到的资产及相关信息进 行利用,寻找突破点,所使用的手段 包括但不限于漏洞利用及社会工程的 攻击方式。 通过搜集到的资产信息,识 别存在脆弱性的资产并利用 漏洞突破; 通过端口或应用扫描获取认 证接口,并尝试口令猜解。 对于部分APP应用,尝试通 过移动终端的可利用功能获 取到APP服务器的相关信息 或权限; 暴露在公网的媒体系统、测 试系统往往是防护人员容易 疏忽的资产,对此类目标进 行漏洞挖掘利用并尝试获取 权限;安全月刊 / 2019.6 20 行业研究 行业方案 4.1.3 总结汇报阶段 蓝队汇总实施阶段的成果,与 客户方召开总结会议,叙述攻击过程 中的思路与技巧;对于具体成果,讲 解入侵过程、攻击路径、攻击手法、 攻击工具,了解客户方当前的防护措 施之后,讨论可落地防护措施。 总结会议之后,输出红蓝对抗 总结报告,并提交给客户方。 4.1.4 交付物小结 前期准备阶段 红蓝对抗蓝队实施方案,红蓝 对抗宣贯PPT 对抗实施阶段 蓝队工作日报,攻击面梳理, 录屏文件 总结汇报阶段 红蓝对抗总结报告 4.2 红队服务 红队服务由绿盟科技提供对抗 组织能力及网络防护能力,与客户共 同确定演练目标,并编写演练方案, 邀请蓝队(攻击方)在真实网络环境 开展对抗演练;演练中蓝队进行网络 入侵,我方结合攻击行为检测、入侵 事件分析和应急处置对所有攻击行为 进行拦截。 按照演练过程,分为三个阶 段:前期准备阶段、对抗实施阶段及 总结汇报阶段。 4.2.1 前期准备阶段 4.2.1.1 制定演练方案 4.2.1.1.1 确定基本信息 确定本次演练的目标和时间,原则上以企业的所有网络资产和员工为目 标;演练开展前,确定如下信息: 确定演练目标资产范围、核心资产; 若业务系统不参与红蓝对抗演练,需提前说明报备; 演练时间范围 4.2.1.1.2 建立指挥机制 为保证红蓝对抗演练过程可控,建立红蓝对抗演练的指挥机制,协调演 练工作并解决演练过程遇到的问题,统筹本次演练。指挥机制结构如下:2019.6 / 安全月刊 21 行业研究 行业方案 角色及职责如下: 角色 职责 组成 总指挥 负责演练的整体进度把控,重大事件决策 客户 专家裁判组 负责对抗中红蓝队成果评分及违规操作裁决 客户、绿盟科技 指挥协调组 负责接受总指挥的指令并下达到红蓝队,接受红 蓝队的反馈并调解对抗中的问题 客户、绿盟科技 蓝队 在规定范围及规则下,进行入侵 邀请 红队 整合监测及响应能力,对任何攻击行为进行拦截 客户、绿盟科技 4.2.1.1.3 制定演练规则 为避免对业务造成影响,以及发生非法事件的取证,明确禁止使用的攻击手 段,蓝队成员全程录屏。 为保证公平公正及演练效果,制定红蓝双方评分规则。 4.2.1.1.4 制定应急预案 为保障演练正常开展,期间业务正常运转,绿盟科技可协助制定应急处置预 案,指定责任人,制定应急预案及保障SLA,结合演练指挥机制,能够对突发事 件做到快速响应和处置。 4.2.1.2 制定红队保障方案 4.2.1.2.1 团队组建 确定红队成员、组织结构及工作职责,制定成员角色协同工作流程。 红队组织结构如下:安全月刊 / 2019.6 22 行业研究 行业方案 角色及主要职责如下: 角色 主要职责 红队总指挥 1、协调监测报告组和应急处置组之间的工作; 2、协调与客户业务人员及维护人员对接工作; 3、每日整理日报及次日工作计划; 4、组织开展总结复盘会议并把关总结报告文档。 监测组 1、 分析所监测的设备及平台产生的安全日志,挖掘入侵事件, 填写入侵事件分析报告提交给应急处置组。 2、接受应急处置组的防护策略调整方案,并调整防护策略。 处置组 1、 确认事件是否由正常业务引起,对真实攻击根据事件定级按 次序进行应急,完成后编写提交应急处置报告; 2、防护调整策略输出到监测报告组,配合业务部门修补漏洞。 红队运营流程如下: 4.2.1.2.2 资产安全评估 红队在组建团队完成之后,对 参演资产进行安全评估。 首先识别存活资产及开放服 务;其次对资产进行漏洞扫描,发现 已存在的安全问题;再对认证接口进 行弱口令检查,解决口令隐患;最 后,针对web服务器检查webshell; 整体输出为安全评估报告。 4.2.1.2.3 防护实施 针对资产安全评估的结果,修 复安全漏洞,调整网络访问控制,评 估当前防护体系的薄弱点,部署对应 检测或防护设备,为方便对抗期间快 速发现攻击行为,可添加SOC平台。 4.2.1.3 演练启动宣贯与培训 演练指挥部召开演练工作启动 会议,明确演练工作流程和参演各 方职责纪律,通告各部门依据预案 要求启动预警和响应机制,全面启动 红蓝对抗演练工作,并在会后由绿盟 科技专家对项目组成员进行红蓝对抗 培训。 4.2.2 对抗实施阶段 对抗过程中,红队监测组借助 安全产品对网络攻击和用户异常行为 实时监测,对抓取到的样本文件进行 快速动静态分析,判断为攻击事件 后,编写入侵事件分析报告提交给处 置组;处置组经过二次判断之后,及 时启动应急处置流程,同时采取技术 手段对攻击者进行溯源追踪,利用安2019.6 / 安全月刊 23 行业研究 行业方案 全产品的防护能力及时封堵攻击源;每日汇总成果输出日报向客户汇报。 攻击识别: 监测组成员实时关注安全设备日志,从告警事件类型、触发时间、多条告警 触发时间间隔等维度,结合告警日志中的源IP地址、目的IP地址、协议摘要为基 本元素,以攻击者思维识别安全事件。 攻击者攻击行为的特征如下图所示: 若同一来源IP地址触发多条告警,若触发告警时间较短,判断可能为扫 描行为;若告警事件的协议摘要中存在部分探测验证payload,则确认为漏洞扫 描行为;若协议摘要中出现具有攻击性的payload,则确认为利用漏洞执行恶意 代码。 若告警事件为服务认证错误,且错误次数较多,认证错误间隔较小,且 IP地址为同一IP地址,则判断为暴力破解事件;若错误次数较少,但超出正常认 证错误频率,则判断为攻击者手工尝试弱口令。 若内网监测发现木马通信告警,则认为服务器确认已被攻陷。 对捕获到的样本,先识别样本的文件类型,若是脚本文件,则直接分析 源码,判断是否为恶意程序,若为二进制文件,则在虚拟环境中执行文件,动态 分析程序的行为,若出现异常网络访问,异常文件写入与读取,自启动方式添安全月刊 / 2019.6 24 行业研究 行业方案 加,则判断为恶意程序。 应急处置: 对安全事件及时响应,阻断攻击利用,防范攻击影响扩大;从监测到处置, 整体过程如下图所示。 策略优化: 通过提取和总结日志分析过程的经验,结合客户具体的业务访问特征,对安 全设备的规则提出优化建议,提升攻击行为分析准确性,防止真实攻击行为淹没 于大量可忽略的告警日志中。2019.6 / 安全月刊 25 行业研究 行业方案 4.2.3 总结汇报阶段 4.2.3.1 红蓝复盘 演练结束后,蓝队(攻击方)汇总演练过程中产生的成果,红方综合分析安 全日志,描绘攻击者画像。 指挥协调组组织红蓝双方会议对演练进行复盘,讨论演练过程中蓝方的攻击 路径、攻击手法、攻击工具,以及红方监测到的攻击路径,攻击特征,应急处置 措施,消除安全隐患方法,使得企业能够对暴露出的安全问题及攻击链有更直观 的认识和更深入的理解;红蓝双方总结不足,讨论防护现状,并提出可落地的改 进建议,总结优势经验并固化成果,共同完成对企业网络环境安全防护能力提升 的目标。 总结会议之后,输出红蓝对抗总结报告,提交给客户方。 4.2.3.2 红蓝对抗演练宣传 演练结束后,演练指挥组梳理演练音视频资料,选取精华部分,制作成攻防 演练宣传材料,持续提升企业人员的安全意识。 4.2.4 交付物小结 前期准备阶段 红蓝对抗演练方案,红蓝对抗红队保障方案,安全设备访问清单,安全评估 报告,红蓝对抗宣贯PPT 对抗实施阶段 红队工作日报,入侵事件分析报告,应急处置报告,安全预警通告 总结汇报阶段 红蓝对抗总结报告安全月刊 / 2019.6 26 行业研究 行业方案 红蓝对抗演练落地指导方案 金融事业部 一、演练目的 为及时发现和整改内外网网络 资产及业务数据深层次安全和隐患, 检验并提高安全威胁监测发现能力、 应急处置能力和安全防护能力。拟组 织红蓝对抗演练,保证业务正常运转 的前提下,在真实网络环境下开展实 兵网络对抗。 二、组织演练流程 红蓝对抗演练分三个阶段,即 准备阶段、实施阶段、事后总结阶 段。具体安排如下: 2.1 准备阶段 2.1.1 确定演练时间与场地 演练时间:x月x日-x月x日 为达到提升企业安全防护能力 的目的,本次红蓝对抗演练涉及资产 范围为xx企业所有信息资产,演练场 地为xx企业信息资产与互联网联通的网络环境。 2.1.2 建立演练实施团队 时间节点:x月x日前完成 为完整清晰的完成演练组织工作,需明确演练团队组织,结构如下: 人员职能如下: 角色 职责 总指挥 负责把控整个红蓝对抗的工作进度,对接与红蓝对抗相关事项 指挥协调组 负责下达演练指令,明确演练要求,协调红蓝队的工作,维护环 境正常运行 专家裁判组 负责维护评分规则,巡查对抗过程中各攻防小组状态,并对攻击 和防护效果进行评价,对攻击成果依据评分规则评分 蓝队 在规定范围及规则下,进行入侵 红队 整合监测及响应能力,对拦截任何攻击行为2019.6 / 安全月刊 27 行业研究 行业方案 2.1.2.1 建立演练指挥部 根据团队结构,由客户方与绿盟科技共同担任演练指挥责任,并组建为指挥 部,人员安排如下: 角色 人员 电话 邮箱 总指挥 Xxx Xxx 指挥协调组 Xxx,xxx Xxx 专家裁判组 Xxx,xxx Xxx 2.1.2.2 确定参演队伍 时间节点:x月x日前完成。 蓝队由xx组建,并保证人员的可靠性。 确定红队参演成员及成员职责,并建立红队运营流程。 2.1.3 定制应急处置预案 相关业务部门制定应急处置预案,切实保障业务的正常平稳运行。 指定责任人,制定应急预案及保障SLA,上报给应急演练指挥部评审,能够 对突发事件做到快速响应和处置。 2.2 实施阶段 实施时间:x月x日-x月x日 1、召开演练工作启动会议,明确演练工作流程和参演各方职责纪律,通告 各部门依据预案要求启动预警和响应机制,启动红蓝对抗演练工作。 2、组织蓝队(攻击方)按照相关约束性措施要求,开展网络入侵,寻找攻 击路径,发现安全漏洞和隐患;红队根据演练资产范围,做好攻击监测防护和应 急处置应对工作。 3、蓝队除获取目标系统的关键信息(包括但不限于资产信息、重要业务数 据、代码或管理员账号等)外,应做好记录和截图,摸索其安全防护能力。在指 挥组的现场指挥下,按照演练要求固定证据。攻击过程中不可对业务系统做任何 破坏性操作。指挥组巡查攻守双方状态,统筹指挥,提前预判风险,控制演练节 奏,确保安全可控。 4、红队通过各网络节点部署的安全设备,实时对攻击行为进行监测,挖掘 入侵事件,通知并协助相关部门进行排查处置。结合设备监测、安全运营、应急安全月刊 / 2019.6 28 行业研究 行业方案 处置,保障业务系统的安全平稳运行。 5、两队每日汇总结果,上报演练指挥协调组。 2.3 演练总结阶段 时间:x月x日 x月x日 2.3.1 复盘和总结 演练结束后,蓝队(攻击方)汇总演练过程中使用的所有渗透测试工具、木 马、及相关程序脚本、数据(录屏文件及相关日志) ,提交给红蓝对抗演练指挥协 调组。 指挥协调组组织攻守双方对演练进行复盘,认真梳理演练过程中蓝队的攻击 路径、攻击手法、攻击工具,红队监测到的攻击画像(攻击路径、攻击特征), 应急处置措施,消除安全隐患方法,分析取得的经验和存在的不足。 红队和蓝队共同清除攻击痕迹、总结演练成果及案例,提炼出演练中的最佳 实践,共同完成对公司网络环境的安全防护工作。 2.3.2 撰写演练报告 根据复盘总结结果,编写红蓝对抗总结报告。 2.3.3 整改和攻击分析 指挥协调部将红蓝对抗结果下发给相关部门,并通知整改,安全服务部对结 果进行督促和验证。 安全能力中心组织专业技术人员和专家,汇总、分析所有攻击数据,优化产 品及产品规则。 2.3.4 红蓝对抗演练宣传 演练结束后由指挥协调组对演练音视频资料进行梳理,选取精华部分,制作 成攻防演练宣传材料。 三、参演方要求 3.1 蓝队 攻击方人员在演练的过程中严格遵守各项规定,充分发挥技术水平,展现攻 击团队的技术实力。具体要求如下:2019.6 / 安全月刊 29 行业研究 行业方案 结果。 2. 发现攻击源时的处置要求。指挥部在演练前应详细列出演练攻击方的 攻击源IP白名单,所有参与演练的攻击IP在指挥部均有备案,当防守方发现攻 击行为后,通报给指挥部,经指挥部确认后,告知是否可以阻断以及何时进 行阻断。 3. 系统监控和应急响应。防守方在内外网关键节点部署安全防护和监测 设备,加强人员值守并实时通报,建立应急响应机制,相关业务部门在接到 攻击事件后应及时启动应急预案,快速响应。 4. 每日总结汇报。防守方根据监测和防守结果,在当日对抗结束后,按 照上报内容要求,向指挥部汇报防守成果。 四、入侵与防御要求 4.1 攻击环节 4.1.1 攻击场景及其安全保障规则 4.1.1.1 信息篡改 针对攻击目标的业务网络,蓝队通过控制网关和路由等网络关键节点, 利用流量劫持、会话劫持等中间人攻击手段修改正常的网络服务业务传输数 据,导致正常产生的业务被恶意利用。当蓝队已渗透到能够进行业务篡改操 作时,可以用目录结构、屏幕截屏的形式来记录攻击效果,并与指挥部取得 联系,在其确认攻击效果后即可遵循演练规则,终止攻击。攻击者应在完成 演练后协助指挥部回溯攻击过程。 4.1.1.2 信息窃取 当攻击方渗透到能够获取包含大量机密信息或敏感信息的关键阶段时, 应及时暂停攻击并与指挥部取得联系,在攻击效果被确认后即可遵循演练规 则,终止攻击行为,并在演练后协助指挥部回溯整个攻击过程。演练中应严 格禁止使用“拖库”等手段,造成业务系统信息泄露的严重后果。 4.1.1.3 潜伏控制 蓝队利用各种手段突破防火墙、安全网关,入侵检测设备、杀毒软件的 防护,通过在目标主机和设备上植入后门程序获得其控制权,在真正攻击行 动未开始前保持静默状态,形成“潜代控制”。在经指挥部允许后,攻击方 1. 保密要求。参演的攻击方团 队成员承诺不泄露、不利用演练过程 中接触到的重要数据和发现的系统 漏洞。 2. 攻击终端的管理要求。攻击方 所使用的攻击终端按照要求统一安装 录屏软件。攻击过程中全程开启录屏 软件,当发现录屏软件工作异常时, 应及时报备、重新启动。 攻击手段:除DDoS攻击手段及 物理攻击外,不限定任何其他信息收 集及攻击和漏洞利用方法。演练结束 后,攻击方将所获取的敏感数据自行 删除,仅需留存录屏视频。 3.2 红队 防守方应完善内部应急响应机 制,提前部署和优化安全产品与监测 平台,准备应急保障资源; 演练开始 后防守方应采取适当的技术措施对被 攻击系统进行监测,在监测到可疑行 为时应及时记录攻击日志,追踪溯源 及应急处置过程中,也应保存响应的 数据,并及时上报指挥部; 演练结束 后应根据攻击方提供的整改报告对演 练发现的安全问题进行整改。 对防守方要求如下: 1. 保密要求。参与防守的人员 不得向攻击方人员提供系统安全弱点 (包括但不限于口令、IP地址等)、 防守措施等信息,在未经授权的情况 下不得向外界公布演练过程和演练安全月刊 / 2019.6 30 行业研究 行业方案 可上传风险可控的后门,并在演练后为攻击过程的回溯提供协助。演练中, 严禁蓝队上传BOTNET或者具有自行感染扫描却无自行终止卸载的样本。 4.1.2 攻击方式 4.1.2.1 拒绝服务 为了保障演练的安全性,严禁蓝队成员自行使用外部流量资源或流量攻 击工具进行拒绝服务攻击。 4.1.2.2 WEB渗透 演练过程中攻击方对成功的WEB渗透应保存相关可回溯信息,在整个击 杀链完成后及时通知指挥部并提供相关信息,在攻击方终止攻击后,及时上 报指挥部,演练结束后告知防守方相关信息并指导其及时修复相关漏洞。 4.1.2.3 内网渗透 蓝队作为外部攻击者,通过外网攻击,尝试绕过防火墙,并基于外网主 机作为跳板来间接控制内部网络中的主机。 蓝队作为公司员工,从公司内部办公网络对公司资产发起攻击,获取内 部主机的控制权限或获取敏感业务数据等。 演练过程中蓝队对成功的内网渗透过程应保存相关可回溯信息,在整个 击杀链完成后及时上报指挥部并提供相关数据,演练结束后防守方及时修复 相关漏洞。 4.1.2.4 社会工程学 “社会工程学”是指攻击者通过各种欺骗手法语导受害者实施某种行 为的一种攻击方式。演练过程中攻击方对成功的社工案例应保存相关回溯信 息,在整个击杀链中成功完成后及时上报指挥部并提供相关信息,演练结束 后告知防守方及时找到责任人和源头,加强安全意识。 4.1.2.5 无线入侵 无线入侵是指攻击者通过Wi-Fi、蓝牙等无线通信方式实施的一种攻击 行为。演练过程中蓝队对无线入侵应保存相关回溯信息,在整个击杀链完成 后及时上报指挥部并提供相关信息,演练结束后指导红队及时找到修补的 方法。 4.1.3 攻方行为要求 1. 禁止破坏性操作,蓝队可通过多种路径进行攻击,不对所采用的攻击 路径进行限定。在攻击路径中发现的安全漏洞和隐患,攻击方应及时向指挥 部报备,确认业务系统具备完善的应急处置机制后,方可开展,避免严重影 响业务系统正常运行。 2. 除特别授权外,演练不采取 拒绝服务攻击由于演练在真实环境下 开展,为不影响被攻击对象业务的正 常开展,演练除非经指挥部授权,不 允许使用SYNFLOOD等拒绝服务 攻击。 3. 演练只针对互联网网站或重要 应用的一级或二级页面进行篡改,以 检验防守方的应急响应和处置能力。 演练过程中,攻击团队要围绕攻击目 标系统进行攻击渗透,在获取网站控 制权限后,先请示指挥部,指挥部同 意后在指定网页张贴特定图片(由指 挥部下发)。 4. 演练过程中不得通过收买防 守方人员进行攻击;不得通过物理入 侵、截断监听外部光纤等方式进行攻 击;不得采用无线电干扰机等直接影 响目标系统运行的攻击方式。 5. 攻击方木马使用要求。木马 控制端服务器需使用由指挥部统一提 供的服务器,所使用的木马应不具有 自动删除目标系统文件、损坏引导扇 区、主动扩散、感染文件、造成服务 器宕机等破坏性功能。演练禁止使用 具有破坏性和感染性的病毒、蟠虫。2019.6 / 安全月刊 31 行业研究 行业方案 4.2 防御环节 4.2.1 防御规则 防御规则是指在保证正常业务运行的前提下,尽可能阻止攻击者对目标 网络实施攻击而制定的安全策略。通常防御规则基于最小权限原则制定,即 仅仅开放允许业务正常运行所必须的网络资源访问,不能采取极端的防御措 施(如屏蔽所有端口,终止或下线业务
展开阅读全文