网络安全攻防演练中的常见计策

devtools/2024/12/30 1:37:02/

大家觉得有意义记得关注和点赞!!!

引言

        在网络安全攻防演练里面,用于分析攻击者动机和行为的,国外的有基于攻击链分析的模型(如Cyber Kill Chain和ATT&CK)和基于威胁行为的模型(如Diamond Model of Intrusion Analysis和Pyramid of Pain)等。也有各类PDR(Protect,防护、Detect,检测、Respond,响应)变种。

        我将常见的攻防使用通俗易懂的老祖宗智慧之三十六计进行匹配,让大家更容易理解,并给出针对性的防守方法。

        当然在实际攻防对抗中远不止我所描述的这些,比如多种大模型的检测/蜜罐/沙箱、/IDS/IPS/WAF/DDOS防护/威胁情报/主动防御等工具的组合使用.

攻防两大阵营分类

主要的攻击策略
处于优势时所用之计处于劣势时所用之计
胜战计敌战计攻战计混战计并战计败战计

瞒天过海

围魏救赵
借刀杀人

以逸待劳
趁火打劫

声东击西

无中生有

暗度陈仓
隔岸观火

笑里藏刀
李代桃僵

顺手牵羊

打草惊蛇

借尸还魂
调虎离山

欲擒故纵
抛砖引玉

擒贼擒王

釜底抽薪

混水摸鱼
金蝉脱壳

关门捉贼
远交近攻

假道伐毓

偷梁换柱

指桑骂槐
假痴不癫

上屋抽梯
树上开花

反客为主

美人计

空城计
反间计

苦肉计
连环计

走为上

左边可以认为是攻击队会采用的一些方法,右边是防守方会被迫采取的做法。

一、攻击队计谋

瞒天过海

在攻防演练的时候,我们一定会发现,各类扫描增多,各类设备告警也变多,这是正常的。

因为攻击队为了得分,会对你进行“Reconnaissance”。这其中,有可能有些就是有意的行为。

有些攻击队,为了掩盖他们的攻击行为,会购买或自行对你的系统进行扫描,让你淹没在海量的告警里,而忽略了他们真正的攻击行为。

对付这类行为,我们在攻防演练之前,就应当对告警进行清零。

清零看似很难,其实一点都不简单。我们只能做到一定程度的降噪。

前期,就要对对正在扫描你的所有IP有一个极为清晰的认识,分清哪些IP大概是什么,在攻防演练期间,再结合历史记录,识别到是新增的还是已有的扫描类IP。

在攻防演练期间,就只能寄希望于各类检测设备,争取发现一些蛛丝马迹。

借刀杀人

由于网络攻击的特殊性,攻击队我们最开始能看到的,就是一串IP。

在攻防演练的时候,为了演练比较可控,组织者会分配给攻击队一些IP资源,并且要求只从这些IP发起攻击。

循规蹈矩的人,不会成为攻击者,或者是,很难成为很强的攻击者。

所以攻击队,他很大概率不会直接使用这些IP导致“出师未捷身先死”。在外网,他会先“借用”自己的其他IP,或者团队的资源,先对目标进行“Reconnaissance”,等探测得差不多,觉得有把握拿下了,才会真正使用那些IP攻击——成功——截图——提交报告。

在内网里,他会控制一些中了木马的客户端或者服务器发起攻击,导致你的溯源,都是溯源到错误的IP上。

笑里藏刀

在攻防演练里,钓鱼是最没有技术含量但是性价比最高的。很多攻击队正面打不进去,就会投机取巧开始钓鱼了。

钓鱼,一般会给你一些甜头,说你中奖了,或者装成寻求帮助的弱者,含着笑,其实最终是要获取你的信息,甚至全控你。

我们会说为了防止被钓鱼,会开展网络安全意识培训,开展反钓鱼邮件演练。但是其实这个意义不大。

不管你做多少次反钓鱼邮件演练,在攻防演练中,一定会有人会中招,一旦中招,一般都是被全控,攻击队立刻进入单位内网。

反钓鱼邮件演练就像考试,题目出得简单一点,很多人都可以过,出难点,就很多人会中招了。

而且很多在特定的场景下,再见多识广、谨小慎微的人,都会中招。

所以,对于钓鱼的防守,就是不要防钓鱼,要假定失陷。《BeyondCorp和高校的落地》。任何其他的防守策略,都一定要以“攻击队一定会进入内网”为底线思维。

顺手牵羊

有些攻击队在攻击时,会不经意“顺手牵羊”到其他不是原始目标的权限、数据,这种一般发生在防守方异常弱的情况下。

进入这种防守单位,仿佛进入了漏洞的金库,到处都是得分点。

为了防止这种情况发生,常规的安全套餐需要安排做一遍,特别是“两高一弱”,需要——

1 让自己人扫。在攻防演练之前,请一些攻击队做一些扫描并且进行整改。

2 不让攻击队扫。这可以通过蜜罐或流量来发现攻击队的扫描行为,并第一时间对发起扫描的IP进行隔离。

借尸还魂

有时候你的一台设备被全控,经过你和伙伴的应急响应,找到并删除了木马,清理了环境,高高兴兴又上线了,但是后面发现,攻击队还是从这台设备“借尸还魂”。

当然一个可能是,你技术能力不足,或者你漏洞没有修复,或者你没有举一反三,《网络安全里的苍蝇,蟑螂和白蚁》,或者你只是删除了上传的木马,被人家再次利用。

还有一个可能是,攻击队可能上传了十几个木马,故意留下那个最简单的,让你识别并且止步于此。

一台设备被全控,他上面的所有信息变得不再可信,即使日志也可以被伪造。

就像你在电影里看到的,被俘虏过的人一样。即使全身而退,不管他自己说有没有talk,你一定要以他所知道的所有信息泄露为前提进行应对。

为了防止这种情况,对于被攻击或被全控过的设备,我们一定要重新安装操作系统,重新部署应用,程序代码重新下载,数据库导出导入,上载文件全查病毒,比对备份文件。

擒贼擒王

“王”就是集权系统。比如云平台、集中式数据库平台、统一身份认证平台、堡垒机、源代码版本库管理系统、运维平台等等。

虽然擒王难度很高,不过带来的收益也是巨大的。有些攻击队不屑于帮你找前面“顺手牵羊”的问题,而是会对着集权系统发起挑战。

对于这种的防护,最重要的是要梳理好这些“圣杯”资产,对这些系统加强防护,分级管理。

很多时候,可能是你所不知道的某个二级单位的这类系统被攻陷。

金蝉脱壳

攻击队攻击完成后,会删除日志,清理痕迹。

对于这类防护,需要做好日志保留,日志应当传输到远程。

但是这个传输动作可能被暂停,或者传输的内容被恶意篡改,所以不可篡改的流量留存也是非常重要的。

偷梁换柱

有些攻击队不寻求直接破坏系统,而是通过偷梁换柱等手段,替换一些组件,在系统内隐藏起来。这个有时候比较难防,恶意行为和病毒很类似,发作的那天,就是它死亡的那天,潜伏期3天,7天,15天,越长,隐蔽性越高,越难以防范。

走为上

如果攻击队发现当前目标防守过于严密,则会采取“走为上”的策略,转头去攻击其他单位其他较弱的目标。在有限的时间里,肯定是挑软柿子捏,吃饱了没事干,才会啃硬骨头。所以,有时候,只要你不是最弱的那个单位,在攻防演练时,也会取得不错的成绩。所以应对这个策略,在防守时,就要积极地去防守,去封IP,搞动作,让攻击队意识到,这个目标,是有防守的。

二、防守方计谋

反客为主

        如同我在 《业务系统不止要有安全中心,还要有反制中心》 里谈到的,在攻防演练或者日常检测预警中,不要一直把自己处于被动挨打的状态。反制应当在规则下,合法地进行。反制可以利用蜜罐类设备,去控制攻击者的设备。也可以获得攻击者IP后,尝试对IP进行嗅探。现在的攻击者,有组织,有依托公司的各类知识库,有自己的平台、工具、武器库形成战斗群。攻击队会在云平台搭建自己的各类平台,购买IP池用于伪装。但只要是平台,也可能会有漏洞。不过反制听起来热血,意义不大,有这个时间和精力,做点别的更好。

釜底抽薪

防守队对攻击队最“釜底抽薪”的动作只能是封IP了。封IP有时候意义不会很大,除非你封到组织者给的IP地址,否则攻击队很快就会更换IP地址。

欲擒故纵

正如“釜底抽薪”提到的,封IP有时候意义不大,你封了IP,攻击队换了另外一个IP,《网络安全里的苍蝇,蟑螂和白蚁》,你还需要再次去识别到新IP,害人害己。

所以,有时候,如果你识别到攻击队的IP,你可以不封他,只是观察他的攻击行为,如果他只是在探测,尝试,可以不用有什么动作,避免“打草惊蛇”,就当是免费的渗透测试。

一旦识别到风险,立刻“釜底抽薪”,封堵漏洞,反向注入、反向攻击、小偷偷小偷等。

但是这种情况,千万不要玩脱了,只有你检测设备足够的情况下,才能执行这个策略。

关门捉贼

一键断网,把问题设备从互联网隔离开来。当然,很多时候可能抓不到贼,但是可以抓到贼留下的各类恶意木马、攻击手法、来源IP等等。

无中生有

这个主要是涉及到蜜罐的使用,“无中生有”出很多资产出来。

我们前面“顺手牵羊”里做加固,做暴露面收缩,都是在做减法,这里是开始做加法。

蜜罐的部署在于密集,可参考我以前写的:《攻防演练中的蜜罐,不在于他有多蜜,而在于他有多密》。

蜜罐默认为所有的访问信息都不合法,所有经过蜜罐访问的记录都有清晰的记录,这样可以记录攻击者的入侵过程和思路,后续追踪和反向溯源等攻击留下痕迹。

美人计

通过网站或者链接有美女、或者诱导你去访问指定的网站、点击指定的反向给你的主机注入病毒,导致你的电脑成为肉鸡、木马、勒索病毒等病毒的传播站,平时没啥作用一旦远程激活之后很快就美女杀手的复制机构。


http://www.ppmy.cn/devtools/145168.html

相关文章

ArcGIS Pro 3.4新功能3:空间统计新特性,基于森林和增强分类与回归,过滤空间自相关

目录 应用 1:它是相关性还是托布勒第一定律? 应用 2:将空间带入非空间模型 结论 在 ArcGIS Pro 3.4 中,我们在新的空间组件实用程序(Moran 特征向量)工具集中发布了一个新工具 - 从字段过滤空间自相关。…

小白考研历程:跌跌撞撞,起起伏伏,五个月备战历程!!!

说真的,7月前我都没有想过我自己要考研,属于前期都是在大学中准备比赛,证书,直到参加蓝桥杯获得国赛三等奖,我问自己,再继续参加比赛吗?已经没有并肩同行的同学(他们都准备考公考研啦…

【HTML】Shadow DOM

Shadow DOM 允许将隐藏的 DOM 树附加到常规的 DOM 树中。它以 shadow root 节点为起始根节点,在这个根节点的下方,可以是任意元素,和普通的 DOM 元素一样。这样,你就可以创建一个独立的 DOM 子树,它与主文档隔离开来&a…

基于图注意力网络的两阶段图匹配点云配准方法

Two-stage graph matching point cloud registration method based on graph attention network— 基于图注意力网络的两阶段图匹配点云配准方法 从两阶段点云配准方法中找一些图匹配的一些灵感。文章提出了两阶段图匹配点云配准网络(TSGM-Net) TSGM-Ne…

贪心算法解决用最少数量的箭引爆气球问题

代码随想录链接:代码随想录 思路: 要想射出的弓箭最少,需要统计重叠的气球的数量,如果多个气球重叠的话使用一支箭即可 首先对数组中每个子数组进行排序,排序的规则是它们的第一个元素从小到大的顺序 从第一个子数组开始遍历数组中的全部…

IntelliJ IDEA中设置激活的profile

在IntelliJ IDEA中设置激活的profile,可以通过以下步骤进行: 通过Run/Debug Configurations设置 打开Run/Debug Configurations对话框: 在IDEA的顶部菜单栏中,选择“Run”菜单,然后点击“Edit Configurations...”或者…

VSCode 搭建Python编程环境 2024新版图文安装教程(Python环境搭建+VSCode安装+运行测试+背景图设置)

名人说:一点浩然气,千里快哉风。—— 苏轼《水调歌头》 创作者:Code_流苏(CSDN) 目录 一、Python环境安装二、VScode下载及安装三、VSCode配置Python环境四、运行测试五、背景图设置 很高兴你打开了这篇博客,更多详细的安装教程&…

CTFHub disable_functions通过

LD_PRELOAD 来到首页发现有一句话直接就可以用蚁剑连接 根目录里有/flag但是不能看;命令也被ban了就需要绕过了 绕过工具在插件市场就可以下载 如果进不去的话 项目地址: #本地仓库;插件存放 antSword\antData\plugins 绕过选择 上传后我们点进去可以看到多了一个绕过的文件;…