攻防实战丨山石网科助力上海某重点高校演习全纪实


山石网科

凭借技术沉淀和攻防经验

助力上海某重点高校

在攻防演习中取得良好成绩

 1.背景介绍

近来,随着党的二十大即将召开之际,某省加强对各行各业网络安全建设的监督检查工作。今年8月,该省对所属部分高校开展网络安全攻防演习活动。A校作为该省属重点高校,被选为本次攻防演习防守单位。该省组织相关攻击队针对选定的业务系统开展为期一周的定向攻击。

A校在接到演习通知后,自上而下高度重视。A校充分动员,按照《A校网络安全应急响应预案》提升网络安全应急响应等级。校内各相关参演部门积极响应,成立专项工作组并邀请山石网科以及其他第三方服务商的力量针对本次演习的规则以及选定的靶标系统进行全面的分析检查与整改。

2.演习目标

通过本次实战演习,全面提升A校网络安全建设,落实好A校制定的《网络攻击事件应急处置预案》、《设备故障事件应急处置预案》、《信息系统故障安全事件应急处置预案》、《大规模网络病毒事件应急处置预案》等应急预案,保质保量的完成本次演习活动。主要实现的目标有:
  • 在演习期间,与各内部单位、各相关服务商联合作战,对攻击行为快速响应处置,抑制攻击事件,顺利完成本次演习工作。
  • 充分利用本次演习机会,将现有网络安全设备充分利用起来,同时全面提升A校网络安全事件的应急能力以及运维人员的技术能力,并发现现有网络安全建设中的不足,最终提升A校网络建设的整体安全能力

3.演习整体方案

基于防守方的视角,本次攻防演习全生命周期方案分为五个部分:统筹阶段、自查加固阶段、预演习阶段、实战阶段、总结阶段。 

3.1 演习统筹阶段

3.1.1团队组建

A校在接到演习通知后,校领导第一时间将相关分管领导以及各部门、各系统负责人召集起来,由校领导传达上级指示,对本次演习给予高度重视,并将本次演习的任务交给信息办全权负责,各二级部门全力配合信息办工作。
校信息办按照先前指定的演练方案,迅速成立专项工作组,借助相关外部力量形成本次演习的防守队(蓝队),并将各方人员拉入微信沟通群方便信息共享。具体参与的力量有:
  • 系统运维单位(信息中心):负责蓝队整体的指挥、组织和协调
  • 安全运维团队(信息中心+山石网科产品工程师+第三方运维人员):负责整体防护和攻击监控工作,并配合攻防专家进行网络架构安全维护、网络出口整体优化、网络监控以及溯源等工作。
  • 攻防专家(山石网科安全服务专家):负责对安全监控中发现的可疑攻击进行分析研判以及溯源工作,并指导安全运维团队、软件开发商等相关部门进行漏洞整改等一系列工作。
  • 安全厂商(所有安全设备厂商):负责对自身安全产品的可用性、可靠性和防护监控策略进行调整。
  • 软件开发商(靶标信息系统开发商):负责对自身系统进行安全加固、监控,配合攻防专家对发现的安全问题进行整改

3.2 自查加固阶段

3.2.1资产梳理和风险排查

资产梳理是“摸清家底,认清风险”的必要措施,也是缩小攻击面,准确预测攻击威胁的必备条件。本次资产梳理及互联网风险排查的工作主要包含以下几方面:
  • 互联网资产发现:利用互联网资产发现服务,梳理A校暴露在互联网上的资产,查找未知资产及未知服务,形成互联网系统资产清单;明确资产属性和资产信息,对无主、不重要、高风险资产进行清理;
  • 敏感信息梳理:利用敏感信息泄露情报服务,梳理暴露在互联网上的敏感信息并对其进行清理或隐藏,以降低信息被攻击队利用的风险;
  • 集权类资产梳理:邮件服务器、域控制器服务器、DNS服务器、备份服务器、堡垒机、运维终端等;
  • 网站应用梳理:详细描述应用名称、外网访问地址、内网访问地址、网站类型、开发语言、运行环境、数据库、中间件等信息;
  • IP信息统计:统计网络中的地址段划分信息,比如内网地址段、外网地址段等信息;

3.2.2设备安全加固

设备加固主要分为两块,一类是现有的安全设备,尤其是防火墙、WAF、VPN、堡垒机等核心安全设备需要重点进行策略调优。另一类是终端服务器以及路由交换等设备。只有全面了解设备的工作状态,才能真正做到“战时可用,用则必胜”。各设备的策略加固项见下表:

3.2.3漏洞扫描及修复

漏扫是一种主动的防范措施,通过对网络的扫描,能了解网络的安全设置和应用服务的安全状态,及时发现安全漏洞,客观评估网络安全风险等级。A校管理人员可以根据扫描的结果更正网络安全漏洞和系统中的错误配置,在攻击方入侵前进行防范。
在正式演习之前,A校对其应用系统、主机操作系统等资产进行了全面的漏洞扫描,发现扫描对象存在的web应用漏洞、主机操作系统漏洞、数据库漏洞、逻辑缺陷、弱口令、信息泄露等脆弱性问题。对现存的漏洞进行挖掘分析,对新发现的安全漏洞告知相关设备以及系统的负责人,督促其限时整改,避免隐患安全面扩大。

3.2.4安全基线核查

除了系统漏洞外,因为网络管理人员的安全意识而导致的不安全系统配置,也是攻击方的重要攻击方向,基线核查工作能够及时发现这些基础设施因配置不充分导致的安全隐患,向管理员充分展示所面临的安全问题,并提供有效的解决方案,确保安全设施的安全性和完整性。
在正式演习之前,A校也邀请山石网科对学校60余个重点资产进行了基线核查。基线核查采用人工检查用表(checklist)及服务器自研安全评估系统对评估目标范围内的主机操作系统安全进行系统的安全规则配置、安全策略配置、日志报警信息以及系统和软件升级、更新情况,是否存在后门等项目进行核查。

3.2.5重点系统渗透测试

本次被选中的靶标系统有4个,分别是教务管理系统、电子图书馆、电子邮件以及统一门户系统。A校为了提前发现重点业务系统存在的脆弱点,邀请了山石网科对这4个选定的靶标系统以及比较重要的一网通办等系统做了一次全面的渗透测试。
其目的在于发现应用及系统中可能存在的攻击路径和薄弱环节,验证攻击方能够通过哪些信息系统的脆弱点获取测试对象的不同程度的信息数据,证明攻击方能够达到直接破坏或中断测试对象业务的能力,深层次发现测试对象存在的风险和漏洞以及攻击路径,提出专业安全建议和解决方案。
首先,A校与我司签署了《渗透测试授权书》,明确双方的权利与义务,确保A校信息安全。随后,由我司专业的渗透工程师开始对选定的业务系统进为期一周的渗透工作,并出具相关渗透报告。然后根据报告的结果,指导客户在两天内完成了相关整改工作。
 

3.2.6重点业务系统安全加固

针对被选定的四个靶标信息系统以及A校对外提供服务的网站群、一网通办系统,除了根据提供的漏扫、基线检查以及渗透测试等检查报告发现的问题进行整改外,信息中心以及各系统负责人从内部也开展相关安全加固工作,具体内容见下表:

3.2.7安全意识培训

安全意识是人们头脑中建立起来的信息化工作必须安全的观念,也就是人们在信息化工作中对各种各样有可能对信息本身或信息所处的介质造成损害的外在条件的一种戒备和警觉的心理状态。
在攻防演习实战阶段,攻击方往往会利用师生/职工缺少足够的信息安全意识和防范观念这一点,诱使师生/职工违反信息安全规章,最终成为攻击方的辅助工具。因为某些师生/职工其本身意识不到因为自己的这种行为和后果,会将整个A校的信息资产推向危险的境地。所以A校必须在整个组织内树立信息安全意识,对师生/职工进行信息安全意识方面的教育,才能够整体提高A校的信息安全防守水平。
本次演习,A校主要通过以下几个方式来加强师生/职工的网络安全意识:
  • A校官网张贴提高网络安全防范意识的通告,并附相关操作指南和风险处理
  • 邮件群发所有师生/职工提高网络安全防范意识,并附相关操作指南和风险处理
  • 各部门、各学院、各专业负责人通过例会、班会、微信群等线上线下的方式宣贯安全教育

3.3 预演习阶段

3.3.1人员分工

为了尽可能提升工作效率,本次演习活动将A校在职人员以及第三方服务人员按照其工作属性,分为监测组、研判溯源组、应急处置组、情报组、事件上报组五个工作小组,全程配合完成本次演习活动。
  • 监测组:由信息中心网络、安全、系统、应用等多个监控点的人员组成,实时监控可疑的攻击行为,进行初步分析并上报研判溯源组。
  • 研判溯源组:由山石网科派驻的安全服务专家组成,对疑似入侵行为进行研判分析,对攻击对象进行溯源和反制,并协助编制防守报告。
  • 应急处置组:由各安全设备以及各系统负责人组成,对攻击行为及时封堵、处置,对被攻击资产进行下线、加固。同时负责下级单位、外连单位、兄弟及友邻单位的协调联络工作。
  • 情报组:与由远端情报协同单位、各供应商(设备、应用、服务)搜集攻击线索、漏洞情报,及时上报,做到情报共享。
  • 事件上报组:负责对已经发现的攻击行为、防守成果在演习平台上进行上报,并编制防守报告。

3.3.2制度建设

(1)建立工作沟通机制与考核机制
建立有效的工作沟通机制,通过微信将信息中心、各业务部门负责人、各设备/系统供应商组成实战工作指挥群,及时发布工作通知,共享信息数据,了解工作情况,实现快速、有效的工作沟通和信息传递。
(2)对下级单位的工作要求
  • 开展资产梳理,发现新的或者不明资产需要上报至信息中心。
  • 每日汇报工作成果。
  • 配合指挥部工作,并做好自我防守
(3)对供应商的工作要求
  • 人员支持:为现场支持、远程保障提供技术人员。
  • 安全加固:做好自身设备漏洞收集及安全加固工作。
  • 配合指挥部工作,并做好每日上报。
(4)应急预案编写及完善
根据本次演习规则,结合自身实际情况提前编写《网络安全应急预案》。预案的主要内容应包括工作目标、应急组织架构、工作内容及流程(监测与分析、响应与处置)等,具体事件应包括Web漏洞利用攻击事件、弱口令爆破事件、任意文件上传事件、跳板代理攻击事件等。

3.3.3战前动员

战前动员主要包含4部分工作:
  • 一是在实战演练开始前,召开现场战前动员会,统一思想统一目标。 
  • 二是提高参与人员的攻防意识,通过其他攻防案例来加强认知。
  • 三是宣贯职责落实到人,责任分工明确。
  • 四是强调每日工作流程,各岗位协同配合。

3.3.4战术培训

战术培训的主要工作内容有两项:
  • 一是由攻防专家分享其他单位的网络安全实战攻防演练经验,宣贯各阶段的攻击特征,协助防守队制定针对不同攻击场景的防守战术;
  • 二是由攻防专家对演练评分规则进行详细解读,提高参演人员对演练的认知。

3.4 攻防演习实战阶段

3.4.1全员参演

在实战阶段,主要的工作是以下几点。
  • 全面开展安全监测预警
监测组根据连通性监控、运行状态监控以及日志分析等初步确认是否为攻击行为,如存疑,立即上报研判溯源组业进行分析。
运行状态监控:通过流量分析系统之类的工具,对目标系统的出入流量进行实时监测,分析其流量、并发、会话、全链接、半链接等关键数据,并同时对系统、数据库、中间件的日志进行分析并形成日志审计记录,从而有效评估系统的运行状态是否正常。
日志分析:通过登录防火墙、WAF、IPS、态势感知等安全设备,提取日志数据进行全方位的人工分析。
  • 全局性分析研判工作
分析研判人员作为整个防护工作的大脑,主要的工作维度是:向前,对监测人员发现的攻击预警、威胁情报进行分析和确认;向后,指导和协助事件处置人员对确认的攻击进行处置。
  • 事件处置
确定攻击事件成功后,在最短时间内采取技术手段遏制攻击,防止攻击蔓延。比如防火墙进行IP拉黑,相关账号临停。
  • 追踪溯源,全面反制
在发现攻击事件后,根据安全防护设备、安全监测设备产生的告警信息和样本信息等,结合各种情报系统追踪溯源。
  • 事件上报
根据演习规则以及演习评分标准,及时上报每日发现的攻击行为以及防守成果可进行加分奖励,所以,在进行威胁处置后,除了向指挥部报告确认后,同时还需要在演习平台上传相关证明。
  • 每日复盘
在每天红蓝对抗演练结束后,应对当天出现的问题进行充分、全面的复盘分析,形成防守报告并提出整改措施。一般须遵循“遗留最小风险”和“问题相对清零”的原则持续优化防守策略,对不足之处进行整改,进而逐步提升防守水平。

3.4.2防守成果

本次网络安全攻防演习期间,A校互联网暴露资产遭受了较多的攻击。但由于前期的安全措施到位,大多数攻击被防火墙、WAF和态势感知设备等发现并进行了有效的拦截阻断。通过数据分析汇总,主要涉及的攻击类型包括:主机和端口扫描、信息资产遍历、非法探测、XSS跨站攻击、SQL注入、命令注入、文件上传、框架漏洞利用、特殊漏洞攻击、DNS拒绝服务攻击、恶意邮件攻击等。在演习期间,A校一共提交了50余份攻击事件报告。
(1)主机和端口扫描、信息资产遍历、非法探测方面攻防演练期间,黑名单IP数量多,变化快,A校通过防火墙策略调优、WAF监控等方式,及时发现扫描IP和存在恶意行为的IP,并在边界防火墙上进行阻断。
(2)XSS跨站攻击、SQL注入、命令注入
通过WAF、态势感知等设备检测到的XSS跨站攻击、SQL注入、命令注入,对其真实性进行判断,剔除误报数据后,对涉及的大量存在恶意行为的IP地址进行阻断。同时利用安全设备上的规则,对存在少量行为的IP进行一段时间的持续性阻断,兼顾系统的安全性和业务的可用性。
(3)DNS拒绝服务攻击
A校在攻防演习期间遭受到了多次较为严重的DNS拒绝服务攻击。其中第一次对DNS的攻击导致服务器瞬间接近1800QPS,并发生了短时的响应缓慢。
通过在防火墙、DNS设备上对DNS请求IP的聚合分析,高并发的IP主要来自于几个境外的腾讯云地址。通过对地址的紧急封禁,DNS服务器恢复正常响应。

3.5 演习总结

在最终的演习总结中,紫队(组织方)也只发现了A校少数几个低危漏洞(较为普遍,较难利用),可以说A校在本次攻防演习中很好的利用了学校现有的信息安全防护体系,基本上将所有的攻击都在第一时间发现并阻断
对于A校来说,通过本次演习学校安全管理和运维人员积累了大量宝贵的实战攻防对抗经验和应急处置经验,也为学校下一步网络安全建设和安全运行管理提出了更高的要求。同时,针对在演习前期和演习期间暴露出的安全隐患,学校及时剖析发生安全问题的原因,并与各信息系统承建单位、安全服务厂商积极协同响应与应急处置,消除所存在的安全漏洞,提高了网络和信息系统的强健性,提升了学校的整体网络安全水平。

山石网科作为A校本次攻防演习活动的主防队伍,凭借在安全行业的技术沉淀以及在同类型活动中积攒的经验帮助A校在本次攻防演习中取得了良好的成绩,也得到了A校的充分肯定。