作者丨安全狗

出品丨北京一等一技術(shù)咨詢有限公司

獨(dú)家授權(quán),未經(jīng)許可不得轉(zhuǎn)載

HVV行動作為國家級攻防演練具有重大意義,旨在通過檢驗單位網(wǎng)絡(luò)和信息基礎(chǔ)設(shè)施的安全防護(hù)、應(yīng)急處置和指揮調(diào)度能力,提高信息系統(tǒng)的綜合防御能力。而要打好一場完美的防守戰(zhàn)役應(yīng)該先從組織本身的脆弱性整改開始,其整改工作應(yīng)該具備全局性視圖。

 

本文將主要從HVV行動第一階段,即,準(zhǔn)備階段時涉及到的檢測內(nèi)容和要點進(jìn)行梳理和分析,并給出相應(yīng)的加固建議。

01
整體安全整改

從整體整改視圖出發(fā),到梳理相關(guān)資產(chǎn),發(fā)現(xiàn)相關(guān)風(fēng)險,以此開展相應(yīng)工作等整體安全加固能全面有序的幫助大家度過前期的安全整改工作,為HVV攻防演練奠定堅實基礎(chǔ)。

HVV大型攻防演練檢測篇插圖

02資產(chǎn)梳理
資產(chǎn)梳理作為整體安全建設(shè)基礎(chǔ),應(yīng)該做到全面梳理,因為資產(chǎn)梳理做得是否全面將直接影響后續(xù)風(fēng)險排查是否徹底。全面的資產(chǎn)排查應(yīng)從內(nèi)、外網(wǎng),軟、硬件,人員配備,以及安全管理制度等多方面進(jìn)行梳理。資產(chǎn)的排查可以從多維度進(jìn)行交叉排查,應(yīng)該做到“寧可多查,不可漏查”,大致可以分為以下幾個類別:互聯(lián)網(wǎng)暴露資產(chǎn)、業(yè)務(wù)資產(chǎn)、硬件資產(chǎn)、軟件資產(chǎn)、辦公資產(chǎn)等類型。圖片HVV大型攻防演練檢測篇插圖(2)03

互聯(lián)網(wǎng)暴露面縮減

互聯(lián)網(wǎng)暴露面作為流量的入口,是攻擊方重點收集的目標(biāo),也是攻擊方重要的攻擊對象,因此降低互聯(lián)網(wǎng)資產(chǎn)風(fēng)險是藍(lán)隊最主要的工作。互聯(lián)網(wǎng)資產(chǎn)風(fēng)險范圍包括對外業(yè)務(wù)(如官網(wǎng)、APP及其它應(yīng)用系統(tǒng))的漏洞、對外開放的測試環(huán)境、VPN系統(tǒng)、公有云上系統(tǒng)、以及共享在外的代碼(githup、百度云盤等公共倉庫里共享的代碼)等。

互聯(lián)網(wǎng)暴露面排查方式:

外網(wǎng)資產(chǎn)信息收集;

子域名探測;

敏感信息泄露探測;

源代碼泄露探測。

 

互聯(lián)網(wǎng)暴露面縮減方式:

從代碼層修復(fù)漏掃及滲透發(fā)現(xiàn)的問題;

關(guān)閉測試系統(tǒng)對外服務(wù)端口映射;

關(guān)閉直接對外服務(wù)的高危端口及其映射地址;

所有對外業(yè)務(wù)都該經(jīng)過安全防護(hù)設(shè)備(防火墻、WAF、入侵檢測、防毒墻等);

將VPN設(shè)備系統(tǒng)升級到最新版本,設(shè)置后臺管理頁面訪問控制權(quán)限(僅允許個別IP訪問),設(shè)置多因素登錄VPN;

對于無法從代碼層修復(fù)的系統(tǒng)應(yīng)直接關(guān)閉系統(tǒng)或關(guān)閉映射,若實在無法關(guān)閉的話,需要將其與其它系統(tǒng)單獨(dú)隔離出來;

對于公有云上的資產(chǎn)應(yīng)該設(shè)置安全組,接入云安全防護(hù)(如云防火墻)、軟件安全防護(hù)軟件等。

04

補(bǔ)丁修復(fù)

根據(jù)2020年的HVV風(fēng)險總結(jié)來看,內(nèi)網(wǎng)的隱患占到47%,排名第一,其大多數(shù)表現(xiàn)為內(nèi)網(wǎng)大批漏洞、補(bǔ)丁、弱口令不修復(fù)、內(nèi)網(wǎng)缺乏隔離產(chǎn)品等。在這里我們列舉一些紅隊利用頻率較高的漏洞:

 

中間件的反序列化漏洞:Jboss、Weblogic、shiro;

遠(yuǎn)程執(zhí)行代碼漏洞:Struts2系列漏洞、Jekins任意讀取、ElasticSearch任意文件讀取、Glassfish;

未授權(quán)訪問:RabbitMQ、Redis;

操作系統(tǒng):windows 各種遠(yuǎn)程執(zhí)行代碼漏洞;

后臺弱口令和未授權(quán)訪問;

應(yīng)用系統(tǒng)的任意文件上傳Getshell;

05

中間件及第三方組件安全

 

常用的中間件及第三方組件是最容易被忽視和被利用的一個環(huán)節(jié)。常見的中間件及第三方組件有:redis、activemq、memcache、rabbitmq、AppServ、Xampp、寶塔、PhpStudy、Dedecms、thinkphp 5.x、phpcms、ecshop、Metinfo、discuz、帝國cms、wordpress、joomla、drupal等。

 

這些中間件及第三方組件主要問題:

使用默認(rèn)密碼或直接未授權(quán)訪問;

使用的老舊版本存在大量已知漏洞,如:ThinkPHP3.x注入漏洞、ThinkPHP6 任意文件操作漏洞、CVE-2020-13920 Apache ActiveMQ 遠(yuǎn)程代碼執(zhí)行漏洞、wordpress File-manager任意文件上傳、CVE-2020-13933-Apache Shiro 權(quán)限繞過漏洞、PHPCMS v9全版本前臺 RCE、PHPCMS v9全版本前臺RCE、PHPCMS V9 存在RCE漏洞、CVE-2020-25540 Thinkadmin v6 任意文件讀取漏洞;

后臺管理頁面直接對外提供服務(wù)。

 

加固建議:

升級到官方最新版本;

修改默認(rèn)密碼或空密碼;

限制訪問這些資源。

06

應(yīng)用系統(tǒng)

應(yīng)用系統(tǒng)最主要的風(fēng)險來源于應(yīng)用系統(tǒng)或軟件的使用過程,尤其在網(wǎng)絡(luò)環(huán)境下,其主要包括:

應(yīng)用系統(tǒng)安全性;

未授權(quán)訪問和改變數(shù)據(jù);

未授權(quán)遠(yuǎn)程訪問;

不精確的信息;

錯誤或虛假的信息輸入;

授權(quán)的終端用戶濫用;

不完整的處理;

重復(fù)數(shù)據(jù)處理;

不及時處理;

通信系統(tǒng)失??;

不充分的測試。

 

加固建議:

根據(jù)應(yīng)用系統(tǒng)業(yè)務(wù)重要性進(jìn)行分級處理;

對所有應(yīng)用系統(tǒng)進(jìn)行漏洞掃描并整改;

對重要系統(tǒng)進(jìn)行滲透測試并整改;

重要系統(tǒng)暫時無法修改進(jìn)行限制訪問;

非重要系統(tǒng)暫時無法修復(fù)建議暫時下線。

07

弱口令

根據(jù)數(shù)據(jù)分析顯示,所有成功突破外網(wǎng)邊界的手段中利用弱口令進(jìn)入的比例高達(dá)70%。口令是網(wǎng)絡(luò)信息安全基礎(chǔ)中的基礎(chǔ),直接決定了系統(tǒng)和信息的安全性,當(dāng)弱口令安全得不到保障時,則黑客可以通過暴力破解等手段,輕易地進(jìn)入后臺或者系統(tǒng)中進(jìn)行數(shù)據(jù)竊取。據(jù)統(tǒng)計,常見的弱口令top10有:123456、12345、123456789、Password、iloveyou、princess、rockyou、1234567、12345678、abc123。

 

弱口令的修復(fù)主要從兩方面:一是技術(shù)手段、二是行政手段。

 

技術(shù)性修復(fù)弱口令:

1、密碼長度應(yīng)不小于8位長度;

2、密碼復(fù)雜度要有大寫字母、小寫字母、數(shù)字、特殊字符至少三種組合;

3、定期更換密碼,三級系統(tǒng)不超過30天,二級系統(tǒng)不超過90天,到期后下次登錄強(qiáng)制修改密碼;

4、強(qiáng)制密碼歷史,最近10次使用的密碼不可重復(fù)使用,且密碼中重復(fù)的字符不應(yīng)超過5位;

5、建立弱口令庫(收集互聯(lián)網(wǎng)上公開的密碼庫、弱口令TOP1000字典等),新建密碼時對弱口令庫中的密碼進(jìn)行匹配,若匹配上了則無法使用該口令;

6、登陸界面設(shè)置驗證碼,驗證碼應(yīng)進(jìn)行扭曲、變形、干擾線條、干擾背景色、變換字體等處理,避免被OCR識別。驗證碼使用一次后失效,且應(yīng)由后端服務(wù)器生成,避免被抓包繞過或重放利用。

 

行政性修復(fù)弱口令:

1、加強(qiáng)人員安全意識培訓(xùn);

2、通知統(tǒng)一修改一次密碼。

08

網(wǎng)絡(luò)設(shè)備

目前各個單位的網(wǎng)絡(luò)系統(tǒng)都有較大的規(guī)模,且結(jié)構(gòu)復(fù)雜,組網(wǎng)方式隨意性強(qiáng),這就導(dǎo)致了網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備、安全設(shè)備缺少有效的策略控制。不規(guī)范的策略配置可能會導(dǎo)致設(shè)備故障配置丟失、非法外聯(lián)、非法內(nèi)聯(lián)、東西向的互聯(lián)網(wǎng)滲透、南北向的內(nèi)網(wǎng)橫向滲透、設(shè)備“0 day”漏洞等風(fēng)險。

 

加固建議:

1、應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖,并維護(hù)網(wǎng)絡(luò)中的設(shè)備資產(chǎn)清單,詳細(xì)記錄設(shè)備連接情況、接口信息、管理密碼等信息;

2、應(yīng)定期對所有網(wǎng)絡(luò)設(shè)備、安全設(shè)備的配置進(jìn)行備份,并測試備份文件的有效性,備份周期建議不超過30天;

3、由于telnet協(xié)議是通過明文的方式進(jìn)行數(shù)據(jù)傳輸?shù)模诳涂梢酝ㄟ^arp攻擊、抓包等方式獲得設(shè)備的密碼,如非特殊情況應(yīng)關(guān)閉所有網(wǎng)絡(luò)設(shè)備、安全設(shè)備的telnet服務(wù),即禁用23端口,采用更安全的SSH遠(yuǎn)程管理方式;

4、所有網(wǎng)絡(luò)設(shè)備(含物聯(lián)網(wǎng)設(shè)備)、安全設(shè)備應(yīng)啟用管理主機(jī),只允許可信的IP訪問設(shè)備的運(yùn)維端口(22、80、443等端口),如視頻會議后臺、攝像頭登陸界面、設(shè)備登錄界面等;

5、網(wǎng)絡(luò)設(shè)備、安全設(shè)備應(yīng)啟用密碼復(fù)雜度、登錄失敗次數(shù)鎖定以及會話超時退出等功能,且應(yīng)采用雙因子認(rèn)證的方式(采用動態(tài)口令、數(shù)字證書、生物技術(shù)和設(shè)備指紋等兩種或兩種以上組合的鑒別技術(shù)對用戶身份進(jìn)行鑒別)進(jìn)行登錄;

6、所有網(wǎng)絡(luò)設(shè)備、安全設(shè)備應(yīng)定期排查策略的有效性,并按照最小化原則進(jìn)行權(quán)限劃分;

7、所有接入網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備、安全設(shè)備應(yīng)進(jìn)行IP/MAC地址綁定,保證設(shè)備的可靠運(yùn)行;

8、優(yōu)化邊界防火墻的訪問規(guī)則,限制除業(yè)務(wù)必須外聯(lián)的服務(wù)器以外的設(shè)備訪問互聯(lián)網(wǎng),禁止服務(wù)主動外聯(lián),如果發(fā)現(xiàn)主動外聯(lián)的IP地址,應(yīng)立即報警追溯,特殊服務(wù)器(DNS服務(wù)器、補(bǔ)丁服務(wù)器等)需主動外聯(lián)的除外;

9、防火墻應(yīng)刪除多余或無效的訪問控制規(guī)則,優(yōu)化訪問控制列表,并保證訪問控制規(guī)則數(shù)量最小化,在訪問控制列表第一條創(chuàng)建拒絕高風(fēng)險端口(135、137、138、139、445等勒索病毒常用端口)通信規(guī)則,默認(rèn)情況下除允許通信外受控接口拒絕所有通信;

10、邊界防火墻應(yīng)刪除多余或無效的NAT規(guī)則,只保留業(yè)務(wù)必須的端口映射至外網(wǎng),嚴(yán)禁將高風(fēng)險端口(運(yùn)維端口、數(shù)據(jù)庫端口等)映射至外網(wǎng),如果需要遠(yuǎn)程管理,盡可能使用VPN、專線、4A接入等手段,保證接入管理的安全性;

11、建議在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點,對重要用戶的行為和重要安全事件進(jìn)行日志審計,便于對相關(guān)事件或行為進(jìn)行追溯,且審計記錄應(yīng)保存180天以上;

12、安全設(shè)備的規(guī)則庫版本應(yīng)升級至最新,才能及時有效地發(fā)現(xiàn)新型攻擊并阻斷,保證業(yè)務(wù)安全;

13、網(wǎng)絡(luò)設(shè)備、安全設(shè)備系統(tǒng)版本應(yīng)升級至最新,通過攻防演練已經(jīng)有較多安全設(shè)備出現(xiàn)“0 day”漏洞,且漏洞利用難度低,危害大。

09

網(wǎng)絡(luò)分區(qū)分域

由于資金、網(wǎng)絡(luò)規(guī)模、管理方便等歷史原因,網(wǎng)絡(luò)安全分區(qū)總是不那么合理。往往一個區(qū)域混雜多種流量,各個流量相互影響,容易由于某個業(yè)務(wù)遭受攻擊連帶影響到其他業(yè)務(wù)。當(dāng)規(guī)模不斷擴(kuò)大時,就像一個隱形炸彈,管理人員光是梳理清楚流量都要耗費(fèi)大量的精力,甚至有時候由于人員變動,沒有人分得清楚流量間的關(guān)系,給后續(xù)的運(yùn)維帶來非常大的成本。一旦發(fā)生故障將要耗費(fèi)大量的時間排錯。

 

根據(jù)網(wǎng)絡(luò)安全分區(qū)防護(hù)的要求,結(jié)合應(yīng)用系統(tǒng)服務(wù)器之間服務(wù)層次關(guān)系的分析,引出了新的層次型網(wǎng)絡(luò)安全區(qū)域模型。該模型用垂直分層、水平分區(qū)的設(shè)計思想系統(tǒng)闡述了這一新的網(wǎng)絡(luò)安全區(qū)域的劃分方法。

 

在劃分安全區(qū)域時,需要明確幾個安全區(qū)域相關(guān)的定義,以免模糊他們之間的概念,造成區(qū)域劃分完之后,依然邏輯不清晰,安全策略無法明確,立體的縱深防御體系也無法建立。

 

一般在安全區(qū)域劃分時,需要明確如下常用的定義:

(1)物理網(wǎng)絡(luò)區(qū)域

物理網(wǎng)絡(luò)區(qū)域是指數(shù)據(jù)網(wǎng)中,依照在相同的物理位置定義的網(wǎng)絡(luò)區(qū)域,通常如辦公區(qū)域,遠(yuǎn)程辦公室區(qū)域,樓層交換區(qū)域等。

(2)網(wǎng)絡(luò)功能區(qū)域

功能區(qū)域是指以功能為標(biāo)準(zhǔn),劃分的邏輯網(wǎng)絡(luò)功能區(qū)域,如互聯(lián)網(wǎng)區(qū)域,生產(chǎn)網(wǎng)區(qū)域,辦公網(wǎng)區(qū)域等。

(3)網(wǎng)絡(luò)安全區(qū)域

網(wǎng)絡(luò)安全區(qū)域是指網(wǎng)絡(luò)系統(tǒng)內(nèi)具有相同安全要求、達(dá)到相同安全防護(hù)等級的區(qū)域。同一安全區(qū)域一般要求有統(tǒng)一的安全管理組織和安全防護(hù)體系及策略,不同的安全區(qū)域的互訪需要有相應(yīng)得邊界安全策略。

(4)網(wǎng)絡(luò)安全層次

根據(jù)層次分析方法,將網(wǎng)絡(luò)安全區(qū)域劃分成幾個不同安全等級的層次,同一層次包含若干個安全等級相同的區(qū)域,同層安全區(qū)域之間相互邏輯或物理隔離。

 

盡管不同企業(yè)對安全區(qū)域的設(shè)計可能理解不盡相同,但還是有一般的安全區(qū)域設(shè)計原則可供參考。常規(guī)的網(wǎng)絡(luò)劃分包括DMZ區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)、內(nèi)網(wǎng)辦公區(qū)、服務(wù)器區(qū)、安全管理中心。每個區(qū)域之間利用防火墻、網(wǎng)閘、ACL、VLAN實施邏輯、物理的隔離,形成一個垂直分層、水平分區(qū)的網(wǎng)絡(luò)安全區(qū)域模式。

 

當(dāng)整個網(wǎng)絡(luò)環(huán)境因歷史原因一時無法采用物理方法劃分到位時,可采用微隔離產(chǎn)品進(jìn)行軟隔離,從而達(dá)到相對安全狀態(tài)。微隔離產(chǎn)品主要是對同一安全域內(nèi)服務(wù)器按一定規(guī)律進(jìn)行最小劃分組,實現(xiàn)組內(nèi)相對自由、組間嚴(yán)格管控,最大層面上縮減內(nèi)網(wǎng)暴露面提升內(nèi)網(wǎng)安全。

10

辦公網(wǎng)絡(luò)安全

辦公網(wǎng)絡(luò)存在主要存在以下幾個風(fēng)險:惡意攻擊和木馬病毒。

 

加固建議:

1、及時修復(fù)漏洞;

2、關(guān)閉無用的互聯(lián)網(wǎng)出入口;

3、及時更新防火墻、殺毒軟件病毒庫、規(guī)則庫;

4、搭建統(tǒng)一桌面管理系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)并要求所有辦公電腦安裝兩個系統(tǒng)客戶端,并由各部門主管落實安裝情況或者開啟相關(guān)系統(tǒng)準(zhǔn)入功能。將所有辦公電腦安裝完成后,可由桌面管理系統(tǒng)和防病毒系統(tǒng)進(jìn)行配合管理;

5、開啟對應(yīng)辦公網(wǎng)段桌面準(zhǔn)入功能,凡是所有接入辦公網(wǎng)段均需要安裝桌面管理系統(tǒng)和防病毒系統(tǒng);

6、桌管及防病毒系統(tǒng)后臺進(jìn)行IP限制;

7、對辦公電腦進(jìn)行分組下發(fā)策略,如無特殊情況限制所有人員使用USB接口;

8、下發(fā)定時體檢定時掃描策略,每天中午分組對所有辦公下發(fā)定時體現(xiàn)、掃描策略,并根據(jù)體檢、掃描結(jié)果對問題電腦進(jìn)行整改。

11

WIFI網(wǎng)絡(luò)安全

WIFI網(wǎng)絡(luò)主要存在以下幾個風(fēng)險:被盜用的風(fēng)險、被竊聽的風(fēng)險、被控制的風(fēng)險、釣魚攻擊風(fēng)險。

 

加固建議:

1、隱藏服務(wù)標(biāo)識;

2、用戶認(rèn)證設(shè)備;

3、提高保密性能;

4、檢查辦公環(huán)境內(nèi)存在多少WIFI信號,是否存在未知的信號,加密類型是否為弱加密;

5、檢查是否存在空口令的WIFI信號;

6、使用萬能鑰匙嘗試連接,對連接成功的需要查看信號源、口令強(qiáng)度以及是否可以訪問內(nèi)網(wǎng);

7、連接成功的WIFI嘗試訪問管理界面,查看是否存在弱口令;

8、嚴(yán)禁私拉WIFI,所有的WIFI信號都需要嚴(yán)格把控,做好設(shè)備準(zhǔn)入和訪問控制(無線準(zhǔn)入、無線區(qū)域的防火墻),如果沒有準(zhǔn)入的話,要通過綁定ip/mac來限定,設(shè)備也要設(shè)置強(qiáng)口令。

12

安全產(chǎn)品自身安全

安全產(chǎn)品自身存在的風(fēng)險主要是在安全產(chǎn)品部署和運(yùn)維過程中,尤其在復(fù)雜網(wǎng)絡(luò)環(huán)境下,因運(yùn)維操作而產(chǎn)生的風(fēng)險,主要包括:

1.可能存在安全產(chǎn)品老化或產(chǎn)品版本未更新等風(fēng)險。

2.所有類型的安全產(chǎn)品,可能存在運(yùn)維配置風(fēng)險,例如:弱口令,無登錄次數(shù)限制,無多因子認(rèn)證,未定期更新系統(tǒng)版本和相關(guān)規(guī)則庫。

3.對于相關(guān)的網(wǎng)關(guān)類安全產(chǎn)品,可能存在全通策略等不嚴(yán)謹(jǐn)策略的風(fēng)險,不定期分析和加固策略的風(fēng)險。

4.對于審計監(jiān)控類型的安全產(chǎn)品,可能存在不定期鏡像流量異常情況或上傳日志文件有效性完整性等風(fēng)險。

5.對于安全產(chǎn)品的管控方面,可能存在安全產(chǎn)品沒有開啟帶外管理,或納入統(tǒng)一的安管平臺,無法有效的管控等風(fēng)險。

 

加固建議:

1. ?用戶身份鑒別:在用戶請求訪問系統(tǒng)資源時至少進(jìn)行一次身份鑒別。

2. ?訪問限制:有且只有授權(quán)用戶才能訪問分配給該用戶的資源;用戶不能訪問沒有分配給該用戶的資源。

3. ?用戶分級管理功能:安全防護(hù)產(chǎn)品應(yīng)具有多用戶分級管理功能,應(yīng)可建立具有不同權(quán)限的用戶,并可以針對不同客戶設(shè)定對資源的不同訪問權(quán)限。

4. ?管理員身份鑒別:應(yīng)保證只有授權(quán)管理員和可信主機(jī)才有權(quán)使用產(chǎn)品的管理功能,對授權(quán)管理員和可信主機(jī)應(yīng)進(jìn)行身份鑒別。

5. ?管理員權(quán)限:定期隊管理員屬性進(jìn)行修改(更改口令等);并且制定和修改訪問控制安全策略。

6. ?身份鑒別時效和失敗處理:當(dāng)用戶的失敗登錄次數(shù)超過允許的嘗試鑒別次數(shù)時,應(yīng)能加以檢測,并應(yīng)該阻止該用戶的進(jìn)一步登錄嘗試,直至授權(quán)管理員恢復(fù)對該用戶的鑒別能力。

7. ?安全防護(hù)產(chǎn)品在部署和安置的位置要尤為注意,需要進(jìn)行單獨(dú)分區(qū)分域管理,避免安全產(chǎn)品出現(xiàn)0day漏洞導(dǎo)致攻擊人員直接進(jìn)入業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行破壞或者其他進(jìn)一步操作。