1.5 实战攻防演练中暴露的薄弱环节
实战攻防演练已成为检验参演机构网络安全防御能力和水平的“试金石”,以及参演机构应对网络攻击能力的“磨刀石”。近年的实战攻防演练中,针对大型网络的攻击一般会组合利用多种攻击方式:0day攻击、供应链攻击、进攻流量隧道加密等。面对此类攻击时,传统安全设备构筑的防护网显得有些力不从心,暴露出诸多问题。总的来看,实战攻防演练中主要暴露出以下薄弱环节。
1. 互联网未知资产或服务大量存在
在实战攻防演练中,资产的控制权和所有权始终是攻防双方的争夺焦点。互联网暴露面作为流量的入口,是攻击方重要的攻击对象。资产不清是很多政企单位面临的现状。数字化转型带来的互联网暴露面不断扩大,政企单位的资产范围不断外延。除了看得到的“冰面资产”之外,还有大量的冰面之下的资产,包括无主资产、灰色资产、僵尸资产等。在实战攻防演练中,一些单位存在年久失修、无开发维护保障的老旧系统和僵尸系统,因为清理不及时,这些系统容易成为攻击者的跳板,构成严重的安全隐患。
根据奇安信安全服务团队的观察,在实战攻防演练前期对机构的体检中,经常能够发现未及时更新的老旧系统。因为老旧系统存在历史遗留问题以及管理混乱问题,攻击队可以通过分析它们的已知漏洞,成功攻入内部网络。例如,某大型企业在前期自查阶段经过互联网资产发现,发现资产清单有大量与实际不符的情况,这给自查整改和攻击防护造成很大影响。
2. 网络及子网内部安全域之间隔离措施不到位
网络内部的隔离措施是考验企业网络安全防护能力的重要因素。很多机构没有严格的访问控制(ACL)策略,在DMZ(隔离区)和办公网之间不进行或很少进行网络隔离,办公网和互联网相通,网络区域划分不严格,可以直接使远程控制程序上线,导致攻击方可以轻易实现跨区攻击。
大中型政企机构还存在“一张网”的情况,它们习惯于使用单独架设的专用网络来打通各地区之间的内部网络连接,而不同区域内网间缺乏必要的隔离管控措施,缺乏足够有效的网络访问控制。这就导致蓝队一旦突破了子公司或分公司的防线,便可以通过内网进行横向渗透,直接攻击集团总部,或是漫游整个企业内网,攻击任意系统。
在实战攻防演练中,面对防守严密的总部系统,蓝队很难正面突破,直接撬开内部网络的大门。因此绕过正面防御,尝试通过攻击防守相对薄弱的下属单位,再迂回攻入总部的目标系统,成为一种“明智”的策略。从2020年开始,各个行业的总部系统被蓝队从下级单位路径攻击甚至攻陷的案例比比皆是。
3. 互联网应用系统常规漏洞过多
在历年的实战攻防演练期间,已知应用系统漏洞、中间件漏洞以及因配置问题产生的常规漏洞,是攻击方发现的明显问题和主要攻击渠道。
从中间件来看,WebLogic、WebSphere、Tomcat、Apache、Nginx、IIS都有人使用。WebLogic应用比较广泛,因存在反序列化漏洞,所以常常会被作为打点和内网渗透的突破点。所有行业基本上都有对外开放的邮件系统,可以针对邮件系统漏洞,比如跨站漏洞、CoreMail漏洞、XXE漏洞来开展攻击,也可以通过钓鱼邮件和鱼叉邮件攻击来开展社工工作,这些均是比较好的突破点。
4. 互联网敏感信息泄露明显
网络拓扑、用户信息、登录凭证等敏感信息在互联网上被大量泄露,成为攻击方突破点。实际上,2020年是有记录以来数据泄露最严重的一年。根据Canalys的报告,2020年泄露的记录比过去15年的总和还多。大量互联网敏感数据泄露,为攻击者进入内部网络和开展攻击提供了便利。
5. 边界设备成为进入内网的缺口
互联网出口和应用都是攻入内部网络的入口和途径。目前政企机构的接入防护措施良莠不齐,给蓝队创造了大量的机会。针对VPN系统等开放于互联网边界的设备或系统,为了避免影响员工使用,很多政企机构没有在其传输通道上增加更多的防护手段;再加上此类系统多会集成统一登录,一旦获得了某个员工的账号密码,蓝队可以通过这些系统突破边界直接进入内部网络。
此外,防火墙作为重要的网络层访问控制设备,随着网络架构与业务的增长与变化,安全策略非常容易混乱,甚至一些政企机构为了解决可用性问题,采取了“any to any”的策略。防守单位很难在短时间内梳理和配置涉及几十个应用、上千个端口的精细化访问控制策略。缺乏访问控制策略的防火墙,就如同敞开的大门,安全域边界防护形同虚设。
6. 内网管理设备成为扩大战果的突破点
主机承载着政企机构的关键业务应用,须重点关注,重点防护。但很多机构的内部网络的防御机制脆弱,在实战攻防演练期间,经常出现早已披露的陈年漏洞未修复,特别是内部网络主机、服务器以及相关应用服务补丁修复不及时的情况。对于蓝队来说,这些脆弱点是可利用的重要途径,可以用来顺利拿下内部网络服务器及数据库权限。
集权类系统成为攻击的主要目标。在攻防演练过程中,云管理平台、核心网络设备、堡垒机、SOC平台、VPN等集权系统,由于缺乏定期的维护升级,已经成为扩大权限的突破点。集权类系统一旦被突破,整个内部的应用和系统也基本全部被突破,蓝队可以借此实现以点打面,掌握对其所属管辖范围内的所有主机的控制权。
7. 安全设备自身安全成为新的风险点
安全设备作为政企机构对抗攻击者的重要工具,其安全性应该相对较高,但实际上安全产品自身也无法避免0day攻击,安全设备自身安全成为新的风险点。每年攻防演练都会爆出某某安全设备自身存在的某某漏洞被利用、被控制,反映出安全设备厂商自身安全开发和检测能力没有做到位,给蓝队留下了后门,形成新的风险点。2020年实战攻防演练的一大特点是,安全产品的漏洞挖掘和利用现象非常普遍,多家企业的多款安全产品被挖掘出新漏洞(0day漏洞)或存在高危漏洞。
历年实战攻防演练中,被发现和利用的各类安全产品0day漏洞主要涉及安全网关、身份与访问管理、安全管理、终端安全等类型的安全产品。利用这些安全产品的漏洞,蓝队可以:突破网络边界,获取控制权限并进入网络;获取用户账户信息,并快速拿下相关设备和网络的控制权限。近两三年,出现了多起VPN、堡垒机、终端管理等重要安全设备被蓝队利用重大漏洞完成突破的案例,这些安全设备被攻陷,直接造成网络边界防护失效,大量管理权限被控制。
8. 供应链攻击成为攻击方的重要突破口
在攻防演练过程中,随着防守方对攻击行为的监测、发现和溯源能力大幅增强,攻击队开始更多地转向供应链攻击等新型作战策略。蓝队会从IT(设备及软件)服务商、安全服务商、办公及生产服务商等供应链机构入手,寻找软件、设备及系统漏洞,发现人员及管理薄弱点并实施攻击。常见的系统突破口有邮件系统、OA系统、安全设备、社交软件等,常见的突破方式有利用软件漏洞、管理员弱口令等。由于攻击对象范围广,攻击方式隐蔽,供应链攻击成为攻击方的重要突破口,给政企安全防护带来了极大的挑战。从奇安信在2021年承接的实战攻防演练情况来看,由于供应链管控弱,软件外包、外部服务提供商等成为迂回攻击的重要通道。
9. 员工安全意识淡薄是攻击的突破口
很多情况下,攻击人要比攻击系统容易得多。利用人员安全意识不足或安全能力不足,实施社会工程学攻击,通过钓鱼邮件或社交平台进行诱骗,是攻击方经常使用的手法。
钓鱼邮件是最常用的攻击手法之一。即便是安全意识较强的IT人员或管理员,也很容易被诱骗点开邮件中的钓鱼链接或木马附件,进而导致关键终端被控,甚至整个网络沦陷。在历年攻防演练过程中,攻击队通过邮件钓鱼等方式攻击IT运维人员办公用机并获取数据及内网权限的案例数不胜数。
人是支撑安全业务的最重要因素,专业人才缺乏是政企机构面临的挑战之一。在攻防演练期间,有大量防守工作需要开展,而且专业性较强,要求企业配备足够强大的专业化网络安全人才队伍。
10. 内网安全检测能力不足
攻防演练中,攻击方攻击测试,对防守方的检测能力要求更高。网络安全监控设备的部署、网络安全态势感知平台的建设,是实现安全可视化、安全可控的基础。部分企业采购并部署了相关工具,但是每秒上千条告警,很难从中甄别出实际攻击事件。此外,部分老旧的防护设备,策略配置混乱,安全防护依靠这些系统发挥中坚力量,势必力不从心。流量监测及主机监控工具缺失,仅依靠传统防护设备的告警,甚至依靠人工翻阅海量日志来判断攻击,会导致“巧妇难为无米之炊”。更重要的是,精于内部网络隐蔽渗透的攻击方在内部网络进行非常谨慎而隐蔽的横向拓展,很难被流量监测设备或态势感知系统检测。
网络安全监控是网络安全工作中非常重要的方面。重视并建设好政企机构网络安全监控体系,持续运营并优化网络安全监控策略,是让政企机构真正可以经受实战化考验的重要举措。