数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
百密终有一疏
某次攻防演练过程中,攻击方首先通过各种方式对攻击目标进行信息收集;
在得到总部互联网应用地址,尝试发起攻击时,发现总部互联网入口防护体系完善,部署有防火墙、WAF等防护措施,且攻击方IP地址被封禁;数字化转型网www.szhzxw.cn
在尝试攻击总部无果的情况下,攻击目标转向分支;
重新收集该集团下属分支相关资产信息,对收集的信息进行分析后,选择新成立的分支机构作为目标(因为新成立的机构一般安全建设相对较弱);数字化转型网www.szhzxw.cn
对选择作为目标的分机构的相关信息进行收集整理、分析,并扩大信息收集范围;
发现分支某公告系统发布公告称有新的VPN系统上线,且使用手册存于第三方网盘,并给出了网盘的链接地址。通过给出的网盘链接地址,在第三方平台找到重要信息,包括VPN使用手册,各大区VPN账号和密码,以及发现了内部OA系统访问地址;
通过收集到的VPN账号、密码信息进入分支机构内网;数字化转型网www.szhzxw.cn
通过横向渗透,拿下分支内网部分PC及服务器系统权限,并在此基本上进行信息收集、配置检索等;
通过在内网收集的相关信息,拿下分支核心域控权限,进一步分析发现该域控服务器拥有访问总部内网权限;
利用漏洞突破总部内网服务器(发现总部的服务器上有部署安全软件,且该安全软件具备系统补丁修复功能,但管理人员却没有利用该功能用于修补系统漏洞,导致服务器存在未修复的漏洞,从而被入侵成功)。数字化转型网www.szhzxw.cn
上述案例中,目标系统被攻破的原因主要有以下几点:
1)风险消除不到位:重要信息发布到互联网、重要系统漏洞未修复;
2)防御体系不健全:分支防御能力薄弱,且分支到总部路径防御措施不全面;
3)缺乏完善的感知、分析、决策、响应体系:互联网侧缺乏APT攻击感知能力,对分支机构的安全威胁缺乏监测分析措施。数字化转型网www.szhzxw.cn
另外,防守方存在典型的防守误区,错误理解“关键目标”,对目标系统作为防守核心对象进行防护,而忽视了集权系统(如堡垒机、域控、安全管理平台等)等对像的防护;其次,对“攻击路径”理解偏差,并非只有互联网出入口才是攻击路径,下级单位、外联Wi-Fi、移动介质、钓鱼邮件等都是攻击路径。
上述问题在安全防护过程中普遍存在,企业往往将防护重心放在数据中心端,而忽视了分支机构、远程接入用户等“内部”因素安全防护,而企业的整体安全性往往取决于最薄弱的一个环节。因此在攻防对抗时,
声明:本文来自网络,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网数据专题包含哪些内容
数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于 威努特安全网络;编辑/翻译:数字化转型网Jerry。
