日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
萬字長文:盤點(diǎn)2022全球十大數(shù)據(jù)泄漏事件(紅藍(lán)攻防角度)

?本文主要講解3個(gè)方面的內(nèi)容:

  • 簡單梳理2022年上半年全球最大的10起數(shù)據(jù)泄漏事件;
  • 從紅藍(lán)攻防的角度去分析這些數(shù)據(jù)泄漏事件背后的原因;
  • 從紅藍(lán)攻防的角度為企業(yè)如何保護(hù)好自己的數(shù)據(jù)給出幾點(diǎn)建議。

1.2022年全球10大數(shù)據(jù)泄漏事件

根據(jù)國內(nèi)知名媒體ZDNet的報(bào)道,今年全球發(fā)生了如下10起數(shù)據(jù)泄漏事件,根據(jù)數(shù)據(jù)泄漏規(guī)模和影響力倒序排列:

NO.10 美國德克薩斯州圣安東尼奧醫(yī)療中心

  • 受影響的人數(shù):124萬

6月下旬,位于美國得克薩斯州圣安東尼奧的Baptist Medical Center醫(yī)療中心和德克薩斯州新布朗費(fèi)爾斯的Resolute Health Hospital附屬醫(yī)院發(fā)生了重大的數(shù)據(jù)泄漏事件,該事件是美國衛(wèi)生與公眾服務(wù)部最近追蹤到的、規(guī)模最大的數(shù)據(jù)泄漏事件之一,其中涉及到未經(jīng)授權(quán)訪問高度敏感的患者數(shù)據(jù)。

NO.9 美國旗星銀行

  • 受影響的人數(shù):154萬

今年6月,位于密歇根州特洛伊的美國星旗銀行稱在去年底發(fā)生了一次重大數(shù)據(jù)泄漏事件,客戶數(shù)據(jù)被泄漏,這是該銀行發(fā)生的第二次數(shù)據(jù)泄漏事件。

NO.8 美國得克薩斯州保險(xiǎn)部

  • 受影響的人數(shù):180萬

今年3月,美國德克薩斯州保險(xiǎn)部的數(shù)據(jù)被泄漏,泄漏的敏感數(shù)據(jù)包括社保號(hào)碼、出生日期等個(gè)人信息。

NO.7 希爾茲醫(yī)療集團(tuán)

  • 受影響的人數(shù):200萬

今年6月,總部位于美國馬薩諸塞州昆西的希爾茲醫(yī)療集團(tuán)(Shields Health Care Group)數(shù)據(jù)泄漏,可能影響數(shù)十個(gè)地區(qū)醫(yī)療機(jī)構(gòu)約200萬人,包括姓名、社保號(hào)碼和保險(xiǎn)信息。

NO.6 Horizon Actuarial Services

  • 受影響的人數(shù):229萬

Horizon Actuarial是一家為美國很多工會(huì)福利計(jì)劃提供技術(shù)和精算咨詢服務(wù)的公司,黑客攻陷了這家公司內(nèi)部的2臺(tái)服務(wù)器,用戶的姓名、出生日期、社保號(hào)碼和健康計(jì)劃信息遭泄漏,受影響的福利計(jì)劃包括美國職業(yè)棒球大聯(lián)盟球員福利計(jì)劃、全國冰球聯(lián)盟球員協(xié)會(huì)健康和福利基金、以及紐約時(shí)報(bào)福利協(xié)會(huì)。

NO.5 Lakeview Loan Servicing

  • 受影響的人數(shù):257萬

位于美國佛羅里達(dá)州Coral Gables的Lakeview Loan Servicing的數(shù)百萬客戶的高度敏感信息遭泄漏,在暗網(wǎng)掛牌銷售,該公司正面臨多起訴訟。

NO.4 Elephant Insurance Services

  • 受影響的人數(shù):276萬

今年5月,總部位于美國弗吉尼亞州Henrico的Elephant Insurance ServicesDE 數(shù)百萬客戶的保單信息被泄漏,包括姓名、駕照號(hào)碼和出生日期等信息。

NO.3 FlexBooker

  • 受影響的人數(shù):375萬

今年1月,總部位于美國俄亥俄州哥倫布市的公司FlexBooker(企業(yè)網(wǎng)站嵌入在線預(yù)約工具提供商)的AWS服務(wù)器遭到入侵,用戶的信用卡數(shù)據(jù)等信息遭泄漏。

NO.2 Beetle Eye

  • 受影響的人數(shù):700萬

美國的一家提供在線電子郵件營銷工具的公司Beetle Eye發(fā)生重大數(shù)據(jù)泄漏,此次事件是由于AWS S3存儲(chǔ)桶未進(jìn)行任何加密且配置錯(cuò)誤造成的,該漏洞導(dǎo)致Amazon S3存儲(chǔ)桶處于打開狀態(tài),泄漏了大約700萬人的敏感數(shù)據(jù)。

NO.1 Cash App Investing

  • 受影響的人數(shù):820萬

今年4月,美國知名投資公司Cash App Investing的820萬客戶數(shù)據(jù)被泄漏,由一名前員工下載了公司內(nèi)部的一份報(bào)告引起,泄漏的信息包含客戶的全名和經(jīng)紀(jì)帳號(hào)等信息。

其實(shí),最近還有一起數(shù)據(jù)泄漏事件比上面這10起事件還要?jiǎng)疟礆W洲某國領(lǐng)導(dǎo)人與俄羅斯總統(tǒng)普京的通話內(nèi)容被泄漏,原因是該領(lǐng)導(dǎo)人使用的iPhone被植入了偵聽軟件。

如果仔細(xì)分析和追查這些數(shù)據(jù)泄漏的背后原因,無外乎奇安信出版的暢銷書《紅藍(lán)攻防:構(gòu)建實(shí)戰(zhàn)化的網(wǎng)絡(luò)安全防御體系》中總結(jié)的10個(gè)原因。

2.導(dǎo)致數(shù)據(jù)泄漏的10種常見原因

NO.1 互聯(lián)網(wǎng)未知資產(chǎn)/服務(wù)大量存在

在攻防演練中,資產(chǎn)的控制權(quán)和所有權(quán)始終是攻防雙方的爭奪焦點(diǎn)。互聯(lián)網(wǎng)暴露面作為流量的入口,是攻擊方重要的攻擊對(duì)象。

資產(chǎn)不清是很多政企單位面臨的現(xiàn)狀。數(shù)字化轉(zhuǎn)型帶來的互聯(lián)網(wǎng)暴露面不斷擴(kuò)大,政企機(jī)構(gòu)資產(chǎn)范圍不斷外延。除了看得到的“冰面資產(chǎn)”之外,還有大量的冰面之下的資產(chǎn),包括無主資產(chǎn)、灰色資產(chǎn)、僵尸資產(chǎn)等。

在實(shí)戰(zhàn)攻防演練中,一些單位存在“年久失修、無開發(fā)維護(hù)保障”的老/舊/僵尸系統(tǒng),因?yàn)榍謇聿患皶r(shí),容易成為攻擊者的跳板,構(gòu)成嚴(yán)重的安全隱患。

NO.2 網(wǎng)絡(luò)及子網(wǎng)內(nèi)部安全域之間隔離措施不到位

網(wǎng)絡(luò)內(nèi)部的隔離措施是考驗(yàn)企業(yè)網(wǎng)絡(luò)安全防護(hù)能力的重要環(huán)節(jié)。由于很多機(jī)構(gòu)沒有嚴(yán)格的訪問控制(ACL)策略,在DMZ和辦公網(wǎng)之間不做或很少有網(wǎng)絡(luò)隔離,辦公網(wǎng)和互聯(lián)網(wǎng)相通,網(wǎng)絡(luò)區(qū)域劃分不嚴(yán)格,可以直接使遠(yuǎn)程控制程序上線,令攻擊方可以很輕易地實(shí)現(xiàn)跨區(qū)攻擊。

大中型政企機(jī)構(gòu)還存在“一張網(wǎng)”的情況,習(xí)慣于使用單獨(dú)架設(shè)專用網(wǎng)絡(luò),來打通各地區(qū)之間的內(nèi)部網(wǎng)絡(luò)連接,不同區(qū)域內(nèi)網(wǎng)間也缺乏必要的隔離管控措施,缺乏足夠有效的網(wǎng)絡(luò)訪問控制。這就導(dǎo)致藍(lán)隊(duì)一旦突破了子公司或分公司的防線,便可以通過內(nèi)網(wǎng)進(jìn)行橫向滲透,直接攻擊到集團(tuán)總部,或是漫游整個(gè)企業(yè)內(nèi)網(wǎng),進(jìn)而攻擊任意系統(tǒng)。

NO.3 互聯(lián)網(wǎng)應(yīng)用系統(tǒng)常規(guī)漏洞過多

在歷年的實(shí)戰(zhàn)攻防演練期間,已知應(yīng)用系統(tǒng)漏洞、中間件漏洞以及因配置問題產(chǎn)生的常規(guī)漏洞,是攻擊方發(fā)現(xiàn)的明顯問題和主要攻擊渠道。

通過中間件來看,Weblogic、Websphere、Tomcat、Apache、Nginx、IIS都有使用。

Weblogic應(yīng)用比較廣泛,因存在反序列化漏洞,所以常常會(huì)被作為打點(diǎn)和內(nèi)網(wǎng)滲透的突破點(diǎn)。所有行業(yè)基本上都有對(duì)外開放的郵件系統(tǒng),可以針對(duì)郵件系統(tǒng)漏洞,譬如跨站漏洞、CoreMail漏洞、XXE漏洞來針對(duì)性開展攻擊,也可以通過釣魚郵件和魚叉郵件攻擊來開展社工工作,均是比較好的突破點(diǎn)。

NO.4 互聯(lián)網(wǎng)敏感信息泄漏明顯

網(wǎng)絡(luò)拓?fù)洹⒂脩粜畔?、登錄憑證等敏感信息在互聯(lián)網(wǎng)大量泄漏 , 成為攻擊方突破點(diǎn)。針對(duì)暗網(wǎng)的調(diào)查發(fā)現(xiàn),與政企機(jī)構(gòu)網(wǎng)絡(luò)登錄憑證等相關(guān)信息的交易正在蓬勃發(fā)展。

2019 年第四季度,暗網(wǎng)市場網(wǎng)絡(luò)憑證數(shù)據(jù)的交易數(shù)量開始有所上升,出售的數(shù)量就相當(dāng)于 2018 年全年的總和。2020 年第一季度,暗網(wǎng)市場銷售的網(wǎng)絡(luò)登錄的帖子數(shù)量比上一季度猛增了 69%。暗網(wǎng)出售的網(wǎng)絡(luò)登錄憑據(jù)涉及政府機(jī)構(gòu)、醫(yī)療機(jī)構(gòu)以及其他社會(huì)組織。

實(shí)際上,2020 年是有記錄以來數(shù)據(jù)泄漏最糟糕的一年。根據(jù)Canalys的最新報(bào)告“網(wǎng)絡(luò)安全的下一步”, 2020年短短12個(gè)月內(nèi)泄漏的記錄比過去15年的總和還多。大量互聯(lián)網(wǎng)敏感數(shù)據(jù)泄漏,為攻擊者進(jìn)入內(nèi)部網(wǎng)絡(luò)和開展攻擊提供了便利。

NO.5 邊界設(shè)備成為進(jìn)入內(nèi)網(wǎng)的缺口

互聯(lián)網(wǎng)出口和應(yīng)用都是攻入內(nèi)部網(wǎng)絡(luò)的入口和途徑。目前政企機(jī)構(gòu)的接入防護(hù)措施良莠不齊,給藍(lán)隊(duì)創(chuàng)造了大量的機(jī)會(huì)。針對(duì) VPN 系統(tǒng)等開放于互聯(lián)網(wǎng)邊界的設(shè)備或系統(tǒng),為了避免影響到員工使用,很多政企機(jī)構(gòu)都沒有在其傳輸通道上增加更多的防護(hù)手段;再加上此類系統(tǒng)多會(huì)集成統(tǒng)一登錄,一旦獲得了某個(gè)員工的賬號(hào)密碼,藍(lán)隊(duì)可以通過這些系統(tǒng)突破邊界直接進(jìn)入內(nèi)部網(wǎng)絡(luò)中來。

此外,防火墻作為重要的網(wǎng)絡(luò)層訪問控制設(shè)備,隨著網(wǎng)絡(luò)架構(gòu)與業(yè)務(wù)的增長與變化,安全策略非常容易混亂,甚至一些政企機(jī)構(gòu)為了解決可用性問題,出現(xiàn)了“any to any”的策略。防守單位很難在短時(shí)間內(nèi)梳理和配置幾十個(gè)應(yīng)用、上千個(gè)端口的精細(xì)化訪問控制策略。缺乏訪問控制策略的防火墻,就如同敞開的大門,安全域邊界防護(hù)形同虛設(shè)。

NO.6 內(nèi)網(wǎng)管理設(shè)備成為擴(kuò)大戰(zhàn)果突破點(diǎn)

主機(jī)承載著政企機(jī)構(gòu)關(guān)鍵業(yè)務(wù)應(yīng)用,需重點(diǎn)關(guān)注、重點(diǎn)防護(hù)。但很多機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)的防御機(jī)制脆弱,在實(shí)戰(zhàn)攻防演練期間,經(jīng)常發(fā)現(xiàn)早已披露的陳年漏洞未修復(fù),特別是內(nèi)部網(wǎng)絡(luò)主機(jī)、服務(wù)器以及相關(guān)應(yīng)用服務(wù)補(bǔ)丁修復(fù)不及時(shí),成為藍(lán)隊(duì)利用的重要途徑,從而順利 拿下內(nèi)部網(wǎng)絡(luò)服務(wù)器及數(shù)據(jù)庫權(quán)限。

集權(quán)類系統(tǒng)成為攻擊的主要目標(biāo)。在攻防演練過程中,云管理平臺(tái)、核心網(wǎng)絡(luò)設(shè)備、堡壘機(jī)、SOC 平臺(tái)、VPN 等集權(quán)系統(tǒng),由于缺乏定期的維護(hù)升級(jí),已經(jīng)成為擴(kuò)大權(quán)限的突破點(diǎn)。集權(quán)類系統(tǒng)一旦被突破,整個(gè)內(nèi)部的應(yīng)用和系統(tǒng)基本全部突破,可以實(shí)現(xiàn)以點(diǎn)打面,掌握對(duì)其所屬管轄范圍內(nèi)的所有主機(jī)控制權(quán)。

NO.7 安全設(shè)備自身安全成為新的風(fēng)險(xiǎn)點(diǎn)

安全設(shè)備作為政企機(jī)構(gòu)對(duì)抗攻擊者的重要工具,其安全性應(yīng)該相對(duì)較高。但實(shí)際上安全產(chǎn)品自身也無法避免 0Day 攻擊,安全設(shè)備自身安全成為新的風(fēng)險(xiǎn)點(diǎn)。每年攻防演練都會(huì)爆出某某安全設(shè)備自身存在某某漏洞被利用、被控制,反映出安全設(shè)備廠商自身安全開發(fā)和檢測(cè)能力沒有做到位,給藍(lán)隊(duì)留下了“后門”,形成新的風(fēng)險(xiǎn)點(diǎn)。

2020 年實(shí)戰(zhàn)攻防演練中的一大特點(diǎn)是,安全產(chǎn)品的漏洞挖掘和利用現(xiàn)象非常普遍,多家企業(yè)的多款安全產(chǎn)品被挖掘出新漏洞(0day 漏洞)或存在高危漏洞。

歷年攻防實(shí)戰(zhàn)演練中,被發(fā)現(xiàn)和利用的各類安全產(chǎn)品 0Day 漏洞,主要涉及安全網(wǎng)關(guān)、身份與訪問管理、安全管理、終端安全等類型安全產(chǎn)品。這些安全產(chǎn)品的漏洞一旦被利用,可以使藍(lán)隊(duì)突破網(wǎng)絡(luò)邊界,獲取控制權(quán)限進(jìn)入網(wǎng)絡(luò);獲取用戶賬戶信息,并快速拿下相關(guān)設(shè)備和網(wǎng)絡(luò)的控制權(quán)限。

近兩三年,出現(xiàn)了多起VPN、堡壘機(jī)、終端管理等重要安全設(shè)備被藍(lán)隊(duì)利用重大漏洞突破的案例,這些安全設(shè)備被攻陷,直接造成網(wǎng)絡(luò)邊界防護(hù)失效、大量管理權(quán)限被控制。

NO.8 供應(yīng)鏈攻擊成為攻擊方的重要突破口

在攻防演練過程中,隨著防守方對(duì)攻擊行為的監(jiān)測(cè)、發(fā)現(xiàn)和溯源能力大幅增強(qiáng),攻擊隊(duì)開始更多地轉(zhuǎn)向供應(yīng)鏈攻擊等新型作戰(zhàn)策略。藍(lán)隊(duì)會(huì)從IT(設(shè)備及軟件)服務(wù)商、安全服務(wù)商、辦公及生產(chǎn)服務(wù)商等供應(yīng)鏈機(jī)構(gòu)入手,尋找軟件、設(shè)備及系統(tǒng)漏洞,發(fā)現(xiàn)人員及管理薄弱點(diǎn)并實(shí)施攻擊。

常見的系統(tǒng)突破口包括:郵件系統(tǒng)、OA系統(tǒng)、安全設(shè)備、社交軟件等;常見的突破方式包括軟件漏洞,管理員弱口令等。

由于攻擊對(duì)象范圍廣、攻擊方式隱蔽,供應(yīng)鏈攻成為攻擊方的重要突破口,給政企安全防護(hù)帶來了極大的挑戰(zhàn)。從奇安信在 2021 年承接的實(shí)戰(zhàn)攻防演練情況來看,由于供應(yīng)鏈管控弱,軟件外包、外部服務(wù)提供商等成為迂回攻擊的重要通道。

NO.9 員工安全意識(shí)淡薄是攻擊的突破口

利用人員安全意識(shí)不足或安全能力不足,實(shí)施社會(huì)工程學(xué)攻擊,通過釣魚郵件或社交平臺(tái)進(jìn)行誘騙,是攻擊方經(jīng)常使用的手法。

釣魚郵件是最經(jīng)常被使用的攻擊手法之一。即便是安全意識(shí)較強(qiáng)的 IT 人員或管理員,也很容易被誘騙點(diǎn)開郵件中釣魚鏈接或木馬附件,進(jìn)而導(dǎo)致關(guān)鍵終端被控,甚至整個(gè)網(wǎng)絡(luò)淪陷。在歷年攻防演練過程中,攻擊隊(duì)通過郵件釣魚等方式攻擊 IT 運(yùn)維人員辦公用機(jī)并獲取數(shù)據(jù)及內(nèi)網(wǎng)權(quán)限的案例數(shù)不勝數(shù)。

NO.10 內(nèi)網(wǎng)安全檢測(cè)能力不足

攻防演練中, 攻擊方攻擊測(cè)試,對(duì)防守方的檢測(cè)能力要求更高。網(wǎng)絡(luò)安全監(jiān)控設(shè)備的部署、網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)的建設(shè),是實(shí)現(xiàn)安全可視化、安全可控的基礎(chǔ)。部分企業(yè)采購部署了相關(guān)工具,但是每秒上千條報(bào)警,很難從中甄別出實(shí)際攻擊事件。

此外,部分老舊的防護(hù)設(shè)備,策略配置混亂,安全防護(hù)依靠這些系統(tǒng)發(fā)揮中堅(jiān)力量,勢(shì)必力不從心。流量監(jiān)測(cè)及主機(jī)監(jiān)控工具缺失,僅依靠傳統(tǒng)防護(hù)設(shè)備的告警去判斷攻擊、甚至依靠人工去翻閱海量的日志,導(dǎo)致“巧婦難為無米之炊”。

更重要的是,精于內(nèi)部網(wǎng)絡(luò)隱蔽滲透的攻擊方,在內(nèi)部網(wǎng)絡(luò)進(jìn)行非常謹(jǐn)慎而隱蔽的橫向移動(dòng),很難被流量監(jiān)測(cè)設(shè)備或態(tài)勢(shì)感知系統(tǒng)檢測(cè)。

3.保障數(shù)據(jù)不被泄漏的8個(gè)常用策略

企業(yè)內(nèi)部的數(shù)據(jù)泄漏,究其原因,總結(jié)起來大致就以上這10種。對(duì)于企業(yè)或機(jī)構(gòu)(紅隊(duì):防守方)而言,如何做好防守以保證自己的數(shù)據(jù)不被泄漏呢,奇安信的這本《紅藍(lán)攻防》里也給出了8個(gè)常用策略。

NO.1 信息清理:互聯(lián)網(wǎng)敏感信息

攻擊隊(duì)會(huì)采用社工、工具等多種技術(shù)手段,對(duì)目標(biāo)單位可能暴露在互聯(lián)網(wǎng)上的敏感信息進(jìn)行搜集,為后期攻擊做充分準(zhǔn)備。

防守隊(duì)除了定期對(duì)全員進(jìn)行安全意識(shí)培訓(xùn),不準(zhǔn)將帶有敏感信息的文件上傳至公共信息平臺(tái)外,針對(duì)漏網(wǎng)之魚還可以通過定期開展敏感信息泄漏搜集服務(wù),能夠及時(shí)發(fā)現(xiàn)在互聯(lián)網(wǎng)上已暴露的本單位敏感信息,提前采取應(yīng)對(duì)措施,降低本單位敏感信息暴露的風(fēng)險(xiǎn),增加攻擊隊(duì)搜集敏感信息的時(shí)間成本,為后續(xù)攻擊抬高難度。

NO.2 收縮戰(zhàn)線:縮小攻擊暴露面

攻擊隊(duì)首先會(huì)通過各種渠道收集目標(biāo)單位的各種信息,收集的情報(bào)越詳細(xì),攻擊則會(huì)越隱蔽,越快速。此外,攻擊隊(duì)往往不會(huì)正面攻擊防護(hù)較好的系統(tǒng),而是找一些可能連防守者自己都不知道的薄弱環(huán)節(jié)下手。

這就要求防守者一定要充分了解自己暴露在互聯(lián)網(wǎng)的系統(tǒng)、端口、后臺(tái)管理系統(tǒng)、與外單位互聯(lián)的網(wǎng)絡(luò)路徑等信息。哪方面考慮不到位、哪方面往往就是被攻陷的點(diǎn)?;ヂ?lián)網(wǎng)暴露面越多,越容易被攻擊隊(duì)“聲東擊西”,最終導(dǎo)致防守者顧此失彼,眼看著被攻擊卻無能為力。結(jié)合多年的防守經(jīng)驗(yàn),可從如下幾方面收斂互聯(lián)網(wǎng)暴露面。

  • 攻擊路徑梳理
  • 互聯(lián)網(wǎng)攻擊面收斂
  • 外部接入網(wǎng)絡(luò)梳理
  • 隱蔽入口梳理

NO.3 縱深防御:立體防滲透

收縮戰(zhàn)線工作完成后,針對(duì)實(shí)戰(zhàn)攻擊,防守隊(duì)?wèi)?yīng)對(duì)自身安全狀態(tài)開展全面體檢,此時(shí)可結(jié)合戰(zhàn)爭中的縱深防御理論來審視當(dāng)前網(wǎng)絡(luò)安全防護(hù)能力。

從互聯(lián)網(wǎng)端防護(hù)、內(nèi)外部訪問控制(安全域間甚至每臺(tái)機(jī)器之間)、主機(jī)層防護(hù)、供應(yīng)鏈安全甚至物理層近源攻擊的防護(hù),都需要考慮進(jìn)去。通過層層防護(hù),盡量拖慢攻擊隊(duì)擴(kuò)大戰(zhàn)果的時(shí)間,將損失降至最小。

  • 資產(chǎn)動(dòng)態(tài)梳理
  • 互聯(lián)網(wǎng)端防護(hù)
  • 訪問策略梳理
  • 主機(jī)加固防護(hù)
  • 供應(yīng)鏈安全

NO.4 守護(hù)核心:找到關(guān)鍵點(diǎn)

正式防守工作中,根據(jù)系統(tǒng)的重要性劃分出防守工作重點(diǎn),找到關(guān)鍵點(diǎn),集中力量進(jìn)行防守。

根據(jù)實(shí)戰(zhàn)攻防經(jīng)驗(yàn),核心關(guān)鍵點(diǎn)一般包括:靶標(biāo)系統(tǒng)、集權(quán)類系統(tǒng)、具有重要數(shù)據(jù)的業(yè)務(wù)系統(tǒng)等,在防守前應(yīng)針對(duì)這些重點(diǎn)系統(tǒng)再次進(jìn)行梳理和整改,梳理得越細(xì)越好。必要情況下對(duì)這些系統(tǒng)進(jìn)行單獨(dú)的評(píng)估,充分檢驗(yàn)重點(diǎn)核心系統(tǒng)的安全性。同時(shí)在正式防守工作,對(duì)重點(diǎn)系統(tǒng)的流量、日志進(jìn)行實(shí)時(shí)監(jiān)控和分析。

  • 靶標(biāo)系統(tǒng)
  • 集權(quán)系統(tǒng)
  • 重要業(yè)務(wù)系統(tǒng)

NO.5 協(xié)同作戰(zhàn):體系化支撐

面對(duì)大規(guī)模有組織的攻擊時(shí),攻擊手段會(huì)不斷快速變化升級(jí),防守隊(duì)在現(xiàn)場人員能力無法應(yīng)對(duì)攻擊的情況下,還應(yīng)該借助后端技術(shù)資源,相互配合協(xié)同作戰(zhàn),建立體系化支撐,才能有效應(yīng)對(duì)防守工作中面臨的各種挑戰(zhàn)。

  • 產(chǎn)品應(yīng)急支撐
  • 安全事件應(yīng)急支撐
  • 情報(bào)支撐
  • 樣本數(shù)據(jù)分析支撐
  • 追蹤溯源支撐

NO.6 主動(dòng)防御:全方位監(jiān)控

近兩年的紅藍(lán)對(duì)抗,攻擊隊(duì)的手段越來越隱蔽,越來越單刀直入,通過0day、Nday直指系統(tǒng)漏洞,直接獲得系統(tǒng)控制權(quán)限。

紅隊(duì)需擁有完整的系統(tǒng)隔離手段,藍(lán)隊(duì)成功攻擊到內(nèi)網(wǎng)之后,會(huì)對(duì)內(nèi)網(wǎng)進(jìn)行橫向滲透。所以系統(tǒng)與系統(tǒng)之間的隔離,就顯得尤為重要。紅隊(duì)必須清楚哪些系統(tǒng)之間有關(guān)聯(lián)、訪問控制措施是什么。在發(fā)生攻擊事件后,應(yīng)當(dāng)立即評(píng)估受害系統(tǒng)范圍和關(guān)聯(lián)的其他系統(tǒng),并及時(shí)做出應(yīng)對(duì)的訪問控制策略,防止內(nèi)部持續(xù)的橫向滲透。

任何攻擊都會(huì)留下痕跡。攻擊隊(duì)會(huì)盡量隱藏痕跡、防止被發(fā)現(xiàn)。而防守者恰好相反,需要盡早發(fā)現(xiàn)攻擊痕跡,并通過分析攻擊痕跡,調(diào)整防守策略、溯源攻擊路徑、甚至對(duì)可疑攻擊源進(jìn)行反制。建立全方位的安全監(jiān)控體系是防守者最有力的武器,總結(jié)多年實(shí)戰(zhàn)經(jīng)驗(yàn),有效的安全監(jiān)控體系需在如下幾方面開展:

  • 自動(dòng)化的IP封禁
  • 全流量網(wǎng)絡(luò)監(jiān)控
  • 主機(jī)監(jiān)控
  • 日志監(jiān)控
  • 蜜罐誘捕
  • 情報(bào)工作支撐

NO.7 應(yīng)急處突:完備的方案

通過近幾年的紅藍(lán)對(duì)抗發(fā)展來看,紅藍(lán)對(duì)抗初期,藍(lán)隊(duì)成員通過普通攻擊的方式,不使用0day或其他攻擊方式,就能輕松突破紅隊(duì)的防守陣地。

但是,隨著時(shí)間的推移,紅隊(duì)防護(hù)體系早已從只有防火墻做訪問控制,發(fā)展到現(xiàn)在逐步完善了WAF、IPS、IDS、EDR等多種防護(hù)設(shè)備,使藍(lán)隊(duì)難以突破,從而逼迫藍(lán)隊(duì)成員通過使用0day、Nday、現(xiàn)場社工、釣魚等多種方式入侵紅隊(duì)目標(biāo),呈無法預(yù)估的特點(diǎn)。

所以應(yīng)急處突是近兩年紅藍(lán)對(duì)抗中發(fā)展的趨勢(shì),同時(shí)也是整個(gè)紅隊(duì)防守水平的體現(xiàn)之處,不僅考驗(yàn)應(yīng)急處置人員的技術(shù)能力,更檢驗(yàn)多部門(單位)協(xié)同能力,所以制定應(yīng)急預(yù)案應(yīng)當(dāng)從以下幾個(gè)方面進(jìn)行:

  • 完善各級(jí)組織結(jié)構(gòu),如監(jiān)測(cè)組、研判組、應(yīng)急處置組(網(wǎng)絡(luò)小組、系統(tǒng)運(yùn)維小組、應(yīng)用開發(fā)小組、數(shù)據(jù)庫小組)、協(xié)調(diào)組等。
  • 明確各方人員,在各個(gè)組內(nèi)擔(dān)任的職責(zé),如監(jiān)測(cè)組的監(jiān)測(cè)人員,負(fù)責(zé)某臺(tái)設(shè)備的監(jiān)測(cè),并且7×12小時(shí)不得離崗等。
  • 明確各方設(shè)備的能力與作用,如防護(hù)類設(shè)備、流量類設(shè)備、主機(jī)檢測(cè)類設(shè)備等。
  • 制定可能出現(xiàn)的攻擊成功場景,如Web攻擊成功場景、反序列化攻擊成功場景、Webshell上傳成功場景等。
  • 明確突發(fā)事件的處置流程,將攻擊場景規(guī)劃至不同的處置流程:上機(jī)查證類處置流程、非上機(jī)查證類處置流程等。

NO.8 溯源反制:人才是關(guān)鍵

溯源工作一直是安全的重要組成部分,無論在平常的運(yùn)維工作,還是紅藍(lán)對(duì)抗的特殊時(shí)期,在發(fā)生安全事件后,能有效防止被再次入侵的有效手段,就是溯源工作。

在紅藍(lán)對(duì)抗的特殊時(shí)期,防守隊(duì)中一定要有經(jīng)驗(yàn)豐富、思路清晰的溯源人員,能夠第一時(shí)間進(jìn)行應(yīng)急響應(yīng),按照應(yīng)急預(yù)案分工,快速理清入侵過程,并及時(shí)調(diào)整防護(hù)策略,防止再次入侵,同時(shí)也為反制人員提供溯源到的真實(shí)IP,進(jìn)行反制工作。

反制工作是紅隊(duì)反滲透能力的體現(xiàn),普通的防守隊(duì)員一般也只具備監(jiān)測(cè)、分析、研判的能力,缺少反滲透的實(shí)力。這將使防守隊(duì)一直屬于被動(dòng)的一方,因?yàn)榧t隊(duì)沒有可反制的固定目標(biāo),也很難從成千上萬的攻擊IP里,確定哪些可能是攻擊隊(duì)的地址,這就要求紅隊(duì)中要有經(jīng)驗(yàn)豐富的反滲透的人員。

經(jīng)驗(yàn)豐富的反滲透人員會(huì)通過告警日志,分析攻擊IP、攻擊手法等內(nèi)容,對(duì)攻擊IP進(jìn)行端口掃描、IP反查域名、威脅情報(bào)等信息收集類工作,通過收集到的信息進(jìn)行反滲透。紅隊(duì)還可通過效仿藍(lán)隊(duì)社工手段,誘導(dǎo)藍(lán)隊(duì)進(jìn)入誘捕陷阱,從而達(dá)到反制的目的,定位藍(lán)隊(duì)自然人身份信息。

限于篇幅,以上8種防守策略的細(xì)節(jié)并沒有展開,只給出了大致的思路,如果你想了解策略的具體內(nèi)容,可以閱讀《紅藍(lán)攻防》這本書。

道高一尺,魔高一丈,網(wǎng)絡(luò)攻防是沒有硝煙和終局的戰(zhàn)爭,要保障信息的安全,我們應(yīng)該時(shí)刻保持警惕,從策略、技術(shù)、人才等各方面做好準(zhǔn)備。

本文部分內(nèi)容摘編自《紅藍(lán)攻防:構(gòu)建實(shí)戰(zhàn)化網(wǎng)絡(luò)安全防御體系》(ISBN:978-7-111-70640-3),經(jīng)出版方授權(quán)發(fā)布。?


文章標(biāo)題:萬字長文:盤點(diǎn)2022全球十大數(shù)據(jù)泄漏事件(紅藍(lán)攻防角度)
文章路徑:http://www.5511xx.com/article/coepeeg.html