作者丨安全狗

出品丨北京一等一技術咨詢有限公司

獨家授權,未經(jīng)許可不得轉載

HVV行動作為國家級攻防演練具有重大意義,旨在通過檢驗單位網(wǎng)絡和信息基礎設施的安全防護、應急處置和指揮調度能力,提高信息系統(tǒng)的綜合防御能力。而要打好一場完美的防守戰(zhàn)役應該先從組織本身的脆弱性整改開始,其整改工作應該具備全局性視圖。

 

本文將主要從HVV行動第一階段,即,準備階段時涉及到的檢測內容和要點進行梳理和分析,并給出相應的加固建議。

01
整體安全整改

從整體整改視圖出發(fā),到梳理相關資產(chǎn),發(fā)現(xiàn)相關風險,以此開展相應工作等整體安全加固能全面有序的幫助大家度過前期的安全整改工作,為HVV攻防演練奠定堅實基礎。

HVV大型攻防演練檢測篇插圖

02資產(chǎn)梳理
資產(chǎn)梳理作為整體安全建設基礎,應該做到全面梳理,因為資產(chǎn)梳理做得是否全面將直接影響后續(xù)風險排查是否徹底。全面的資產(chǎn)排查應從內、外網(wǎng),軟、硬件,人員配備,以及安全管理制度等多方面進行梳理。資產(chǎn)的排查可以從多維度進行交叉排查,應該做到“寧可多查,不可漏查”,大致可以分為以下幾個類別:互聯(lián)網(wǎng)暴露資產(chǎn)、業(yè)務資產(chǎn)、硬件資產(chǎn)、軟件資產(chǎn)、辦公資產(chǎn)等類型。圖片HVV大型攻防演練檢測篇插圖(2)03

互聯(lián)網(wǎng)暴露面縮減

互聯(lián)網(wǎng)暴露面作為流量的入口,是攻擊方重點收集的目標,也是攻擊方重要的攻擊對象,因此降低互聯(lián)網(wǎng)資產(chǎn)風險是藍隊最主要的工作。互聯(lián)網(wǎng)資產(chǎn)風險范圍包括對外業(yè)務(如官網(wǎng)、APP及其它應用系統(tǒng))的漏洞、對外開放的測試環(huán)境、VPN系統(tǒng)、公有云上系統(tǒng)、以及共享在外的代碼(githup、百度云盤等公共倉庫里共享的代碼)等。

互聯(lián)網(wǎng)暴露面排查方式:

外網(wǎng)資產(chǎn)信息收集;

子域名探測;

敏感信息泄露探測;

源代碼泄露探測。

 

互聯(lián)網(wǎng)暴露面縮減方式:

從代碼層修復漏掃及滲透發(fā)現(xiàn)的問題;

關閉測試系統(tǒng)對外服務端口映射;

關閉直接對外服務的高危端口及其映射地址;

所有對外業(yè)務都該經(jīng)過安全防護設備(防火墻、WAF、入侵檢測、防毒墻等);

將VPN設備系統(tǒng)升級到最新版本,設置后臺管理頁面訪問控制權限(僅允許個別IP訪問),設置多因素登錄VPN;

對于無法從代碼層修復的系統(tǒng)應直接關閉系統(tǒng)或關閉映射,若實在無法關閉的話,需要將其與其它系統(tǒng)單獨隔離出來;

對于公有云上的資產(chǎn)應該設置安全組,接入云安全防護(如云防火墻)、軟件安全防護軟件等。

04

補丁修復

根據(jù)2020年的HVV風險總結來看,內網(wǎng)的隱患占到47%,排名第一,其大多數(shù)表現(xiàn)為內網(wǎng)大批漏洞、補丁、弱口令不修復、內網(wǎng)缺乏隔離產(chǎn)品等。在這里我們列舉一些紅隊利用頻率較高的漏洞:

 

中間件的反序列化漏洞:Jboss、Weblogic、shiro;

遠程執(zhí)行代碼漏洞:Struts2系列漏洞、Jekins任意讀取、ElasticSearch任意文件讀取、Glassfish;

未授權訪問:RabbitMQ、Redis;

操作系統(tǒng):windows 各種遠程執(zhí)行代碼漏洞;

后臺弱口令和未授權訪問;

應用系統(tǒng)的任意文件上傳Getshell;

05

中間件及第三方組件安全

 

常用的中間件及第三方組件是最容易被忽視和被利用的一個環(huán)節(jié)。常見的中間件及第三方組件有:redis、activemq、memcache、rabbitmq、AppServ、Xampp、寶塔、PhpStudy、Dedecms、thinkphp 5.x、phpcms、ecshop、Metinfo、discuz、帝國cms、wordpress、joomla、drupal等。

 

這些中間件及第三方組件主要問題:

使用默認密碼或直接未授權訪問;

使用的老舊版本存在大量已知漏洞,如:ThinkPHP3.x注入漏洞、ThinkPHP6 任意文件操作漏洞、CVE-2020-13920 Apache ActiveMQ 遠程代碼執(zhí)行漏洞、wordpress File-manager任意文件上傳、CVE-2020-13933-Apache Shiro 權限繞過漏洞、PHPCMS v9全版本前臺 RCE、PHPCMS v9全版本前臺RCE、PHPCMS V9 存在RCE漏洞、CVE-2020-25540 Thinkadmin v6 任意文件讀取漏洞;

后臺管理頁面直接對外提供服務。

 

加固建議:

升級到官方最新版本;

修改默認密碼或空密碼;

限制訪問這些資源。

06

應用系統(tǒng)

應用系統(tǒng)最主要的風險來源于應用系統(tǒng)或軟件的使用過程,尤其在網(wǎng)絡環(huán)境下,其主要包括:

應用系統(tǒng)安全性;

未授權訪問和改變數(shù)據(jù);

未授權遠程訪問;

不精確的信息;

錯誤或虛假的信息輸入;

授權的終端用戶濫用;

不完整的處理;

重復數(shù)據(jù)處理;

不及時處理;

通信系統(tǒng)失?。?/p>

不充分的測試。

 

加固建議:

根據(jù)應用系統(tǒng)業(yè)務重要性進行分級處理;

對所有應用系統(tǒng)進行漏洞掃描并整改;

對重要系統(tǒng)進行滲透測試并整改;

重要系統(tǒng)暫時無法修改進行限制訪問;

非重要系統(tǒng)暫時無法修復建議暫時下線。

07

弱口令

根據(jù)數(shù)據(jù)分析顯示,所有成功突破外網(wǎng)邊界的手段中利用弱口令進入的比例高達70%??诹钍蔷W(wǎng)絡信息安全基礎中的基礎,直接決定了系統(tǒng)和信息的安全性,當弱口令安全得不到保障時,則黑客可以通過暴力破解等手段,輕易地進入后臺或者系統(tǒng)中進行數(shù)據(jù)竊取。據(jù)統(tǒng)計,常見的弱口令top10有:123456、12345、123456789、Password、iloveyou、princess、rockyou、1234567、12345678、abc123。

 

弱口令的修復主要從兩方面:一是技術手段、二是行政手段。

 

技術性修復弱口令:

1、密碼長度應不小于8位長度;

2、密碼復雜度要有大寫字母、小寫字母、數(shù)字、特殊字符至少三種組合;

3、定期更換密碼,三級系統(tǒng)不超過30天,二級系統(tǒng)不超過90天,到期后下次登錄強制修改密碼;

4、強制密碼歷史,最近10次使用的密碼不可重復使用,且密碼中重復的字符不應超過5位;

5、建立弱口令庫(收集互聯(lián)網(wǎng)上公開的密碼庫、弱口令TOP1000字典等),新建密碼時對弱口令庫中的密碼進行匹配,若匹配上了則無法使用該口令;

6、登陸界面設置驗證碼,驗證碼應進行扭曲、變形、干擾線條、干擾背景色、變換字體等處理,避免被OCR識別。驗證碼使用一次后失效,且應由后端服務器生成,避免被抓包繞過或重放利用。

 

行政性修復弱口令:

1、加強人員安全意識培訓;

2、通知統(tǒng)一修改一次密碼。

08

網(wǎng)絡設備

目前各個單位的網(wǎng)絡系統(tǒng)都有較大的規(guī)模,且結構復雜,組網(wǎng)方式隨意性強,這就導致了網(wǎng)絡中網(wǎng)絡設備、安全設備缺少有效的策略控制。不規(guī)范的策略配置可能會導致設備故障配置丟失、非法外聯(lián)、非法內聯(lián)、東西向的互聯(lián)網(wǎng)滲透、南北向的內網(wǎng)橫向滲透、設備“0 day”漏洞等風險。

 

加固建議:

1、應繪制與當前運行情況相符的網(wǎng)絡拓撲結構圖,并維護網(wǎng)絡中的設備資產(chǎn)清單,詳細記錄設備連接情況、接口信息、管理密碼等信息;

2、應定期對所有網(wǎng)絡設備、安全設備的配置進行備份,并測試備份文件的有效性,備份周期建議不超過30天;

3、由于telnet協(xié)議是通過明文的方式進行數(shù)據(jù)傳輸?shù)?,黑客可以通過arp攻擊、抓包等方式獲得設備的密碼,如非特殊情況應關閉所有網(wǎng)絡設備、安全設備的telnet服務,即禁用23端口,采用更安全的SSH遠程管理方式;

4、所有網(wǎng)絡設備(含物聯(lián)網(wǎng)設備)、安全設備應啟用管理主機,只允許可信的IP訪問設備的運維端口(22、80、443等端口),如視頻會議后臺、攝像頭登陸界面、設備登錄界面等;

5、網(wǎng)絡設備、安全設備應啟用密碼復雜度、登錄失敗次數(shù)鎖定以及會話超時退出等功能,且應采用雙因子認證的方式(采用動態(tài)口令、數(shù)字證書、生物技術和設備指紋等兩種或兩種以上組合的鑒別技術對用戶身份進行鑒別)進行登錄;

6、所有網(wǎng)絡設備、安全設備應定期排查策略的有效性,并按照最小化原則進行權限劃分;

7、所有接入網(wǎng)絡的網(wǎng)絡設備、安全設備應進行IP/MAC地址綁定,保證設備的可靠運行;

8、優(yōu)化邊界防火墻的訪問規(guī)則,限制除業(yè)務必須外聯(lián)的服務器以外的設備訪問互聯(lián)網(wǎng),禁止服務主動外聯(lián),如果發(fā)現(xiàn)主動外聯(lián)的IP地址,應立即報警追溯,特殊服務器(DNS服務器、補丁服務器等)需主動外聯(lián)的除外;

9、防火墻應刪除多余或無效的訪問控制規(guī)則,優(yōu)化訪問控制列表,并保證訪問控制規(guī)則數(shù)量最小化,在訪問控制列表第一條創(chuàng)建拒絕高風險端口(135、137、138、139、445等勒索病毒常用端口)通信規(guī)則,默認情況下除允許通信外受控接口拒絕所有通信;

10、邊界防火墻應刪除多余或無效的NAT規(guī)則,只保留業(yè)務必須的端口映射至外網(wǎng),嚴禁將高風險端口(運維端口、數(shù)據(jù)庫端口等)映射至外網(wǎng),如果需要遠程管理,盡可能使用VPN、專線、4A接入等手段,保證接入管理的安全性;

11、建議在網(wǎng)絡邊界、重要網(wǎng)絡節(jié)點,對重要用戶的行為和重要安全事件進行日志審計,便于對相關事件或行為進行追溯,且審計記錄應保存180天以上;

12、安全設備的規(guī)則庫版本應升級至最新,才能及時有效地發(fā)現(xiàn)新型攻擊并阻斷,保證業(yè)務安全;

13、網(wǎng)絡設備、安全設備系統(tǒng)版本應升級至最新,通過攻防演練已經(jīng)有較多安全設備出現(xiàn)“0 day”漏洞,且漏洞利用難度低,危害大。

09

網(wǎng)絡分區(qū)分域

由于資金、網(wǎng)絡規(guī)模、管理方便等歷史原因,網(wǎng)絡安全分區(qū)總是不那么合理。往往一個區(qū)域混雜多種流量,各個流量相互影響,容易由于某個業(yè)務遭受攻擊連帶影響到其他業(yè)務。當規(guī)模不斷擴大時,就像一個隱形炸彈,管理人員光是梳理清楚流量都要耗費大量的精力,甚至有時候由于人員變動,沒有人分得清楚流量間的關系,給后續(xù)的運維帶來非常大的成本。一旦發(fā)生故障將要耗費大量的時間排錯。

 

根據(jù)網(wǎng)絡安全分區(qū)防護的要求,結合應用系統(tǒng)服務器之間服務層次關系的分析,引出了新的層次型網(wǎng)絡安全區(qū)域模型。該模型用垂直分層、水平分區(qū)的設計思想系統(tǒng)闡述了這一新的網(wǎng)絡安全區(qū)域的劃分方法。

 

在劃分安全區(qū)域時,需要明確幾個安全區(qū)域相關的定義,以免模糊他們之間的概念,造成區(qū)域劃分完之后,依然邏輯不清晰,安全策略無法明確,立體的縱深防御體系也無法建立。

 

一般在安全區(qū)域劃分時,需要明確如下常用的定義:

(1)物理網(wǎng)絡區(qū)域

物理網(wǎng)絡區(qū)域是指數(shù)據(jù)網(wǎng)中,依照在相同的物理位置定義的網(wǎng)絡區(qū)域,通常如辦公區(qū)域,遠程辦公室區(qū)域,樓層交換區(qū)域等。

(2)網(wǎng)絡功能區(qū)域

功能區(qū)域是指以功能為標準,劃分的邏輯網(wǎng)絡功能區(qū)域,如互聯(lián)網(wǎng)區(qū)域,生產(chǎn)網(wǎng)區(qū)域,辦公網(wǎng)區(qū)域等。

(3)網(wǎng)絡安全區(qū)域

網(wǎng)絡安全區(qū)域是指網(wǎng)絡系統(tǒng)內具有相同安全要求、達到相同安全防護等級的區(qū)域。同一安全區(qū)域一般要求有統(tǒng)一的安全管理組織和安全防護體系及策略,不同的安全區(qū)域的互訪需要有相應得邊界安全策略。

(4)網(wǎng)絡安全層次

根據(jù)層次分析方法,將網(wǎng)絡安全區(qū)域劃分成幾個不同安全等級的層次,同一層次包含若干個安全等級相同的區(qū)域,同層安全區(qū)域之間相互邏輯或物理隔離。

 

盡管不同企業(yè)對安全區(qū)域的設計可能理解不盡相同,但還是有一般的安全區(qū)域設計原則可供參考。常規(guī)的網(wǎng)絡劃分包括DMZ區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)、內網(wǎng)辦公區(qū)、服務器區(qū)、安全管理中心。每個區(qū)域之間利用防火墻、網(wǎng)閘、ACL、VLAN實施邏輯、物理的隔離,形成一個垂直分層、水平分區(qū)的網(wǎng)絡安全區(qū)域模式。

 

當整個網(wǎng)絡環(huán)境因歷史原因一時無法采用物理方法劃分到位時,可采用微隔離產(chǎn)品進行軟隔離,從而達到相對安全狀態(tài)。微隔離產(chǎn)品主要是對同一安全域內服務器按一定規(guī)律進行最小劃分組,實現(xiàn)組內相對自由、組間嚴格管控,最大層面上縮減內網(wǎng)暴露面提升內網(wǎng)安全。

10

辦公網(wǎng)絡安全

辦公網(wǎng)絡存在主要存在以下幾個風險:惡意攻擊和木馬病毒。

 

加固建議:

1、及時修復漏洞;

2、關閉無用的互聯(lián)網(wǎng)出入口;

3、及時更新防火墻、殺毒軟件病毒庫、規(guī)則庫;

4、搭建統(tǒng)一桌面管理系統(tǒng)、網(wǎng)絡防病毒系統(tǒng)并要求所有辦公電腦安裝兩個系統(tǒng)客戶端,并由各部門主管落實安裝情況或者開啟相關系統(tǒng)準入功能。將所有辦公電腦安裝完成后,可由桌面管理系統(tǒng)和防病毒系統(tǒng)進行配合管理;

5、開啟對應辦公網(wǎng)段桌面準入功能,凡是所有接入辦公網(wǎng)段均需要安裝桌面管理系統(tǒng)和防病毒系統(tǒng);

6、桌管及防病毒系統(tǒng)后臺進行IP限制;

7、對辦公電腦進行分組下發(fā)策略,如無特殊情況限制所有人員使用USB接口;

8、下發(fā)定時體檢定時掃描策略,每天中午分組對所有辦公下發(fā)定時體現(xiàn)、掃描策略,并根據(jù)體檢、掃描結果對問題電腦進行整改。

11

WIFI網(wǎng)絡安全

WIFI網(wǎng)絡主要存在以下幾個風險:被盜用的風險、被竊聽的風險、被控制的風險、釣魚攻擊風險。

 

加固建議:

1、隱藏服務標識;

2、用戶認證設備;

3、提高保密性能;

4、檢查辦公環(huán)境內存在多少WIFI信號,是否存在未知的信號,加密類型是否為弱加密;

5、檢查是否存在空口令的WIFI信號;

6、使用萬能鑰匙嘗試連接,對連接成功的需要查看信號源、口令強度以及是否可以訪問內網(wǎng);

7、連接成功的WIFI嘗試訪問管理界面,查看是否存在弱口令;

8、嚴禁私拉WIFI,所有的WIFI信號都需要嚴格把控,做好設備準入和訪問控制(無線準入、無線區(qū)域的防火墻),如果沒有準入的話,要通過綁定ip/mac來限定,設備也要設置強口令。

12

安全產(chǎn)品自身安全

安全產(chǎn)品自身存在的風險主要是在安全產(chǎn)品部署和運維過程中,尤其在復雜網(wǎng)絡環(huán)境下,因運維操作而產(chǎn)生的風險,主要包括:

1.可能存在安全產(chǎn)品老化或產(chǎn)品版本未更新等風險。

2.所有類型的安全產(chǎn)品,可能存在運維配置風險,例如:弱口令,無登錄次數(shù)限制,無多因子認證,未定期更新系統(tǒng)版本和相關規(guī)則庫。

3.對于相關的網(wǎng)關類安全產(chǎn)品,可能存在全通策略等不嚴謹策略的風險,不定期分析和加固策略的風險。

4.對于審計監(jiān)控類型的安全產(chǎn)品,可能存在不定期鏡像流量異常情況或上傳日志文件有效性完整性等風險。

5.對于安全產(chǎn)品的管控方面,可能存在安全產(chǎn)品沒有開啟帶外管理,或納入統(tǒng)一的安管平臺,無法有效的管控等風險。

 

加固建議:

1. ?用戶身份鑒別:在用戶請求訪問系統(tǒng)資源時至少進行一次身份鑒別。

2. ?訪問限制:有且只有授權用戶才能訪問分配給該用戶的資源;用戶不能訪問沒有分配給該用戶的資源。

3. ?用戶分級管理功能:安全防護產(chǎn)品應具有多用戶分級管理功能,應可建立具有不同權限的用戶,并可以針對不同客戶設定對資源的不同訪問權限。

4. ?管理員身份鑒別:應保證只有授權管理員和可信主機才有權使用產(chǎn)品的管理功能,對授權管理員和可信主機應進行身份鑒別。

5. ?管理員權限:定期隊管理員屬性進行修改(更改口令等);并且制定和修改訪問控制安全策略。

6. ?身份鑒別時效和失敗處理:當用戶的失敗登錄次數(shù)超過允許的嘗試鑒別次數(shù)時,應能加以檢測,并應該阻止該用戶的進一步登錄嘗試,直至授權管理員恢復對該用戶的鑒別能力。

7. ?安全防護產(chǎn)品在部署和安置的位置要尤為注意,需要進行單獨分區(qū)分域管理,避免安全產(chǎn)品出現(xiàn)0day漏洞導致攻擊人員直接進入業(yè)務網(wǎng)絡進行破壞或者其他進一步操作。