1.5　實戰(zhàn)攻防演練中暴露的薄弱環(huán)節(jié)

實戰(zhàn)攻防演練已成為檢驗參演機構(gòu)網(wǎng)絡(luò)安全防御能力和水平的“試金石”，以及參演機構(gòu)應(yīng)對網(wǎng)絡(luò)攻擊能力的“磨刀石”。近年的實戰(zhàn)攻防演練中，針對大型網(wǎng)絡(luò)的攻擊一般會組合利用多種攻擊方式：0day攻擊、供應(yīng)鏈攻擊、進攻流量隧道加密等。面對此類攻擊時，傳統(tǒng)安全設(shè)備構(gòu)筑的防護網(wǎng)顯得有些力不從心，暴露出諸多問題。總的來看，實戰(zhàn)攻防演練中主要暴露出以下薄弱環(huán)節(jié)。

1. 互聯(lián)網(wǎng)未知資產(chǎn)或服務(wù)大量存在

在實戰(zhàn)攻防演練中，資產(chǎn)的控制權(quán)和所有權(quán)始終是攻防雙方的爭奪焦點。互聯(lián)網(wǎng)暴露面作為流量的入口，是攻擊方重要的攻擊對象。資產(chǎn)不清是很多政企單位面臨的現(xiàn)狀。數(shù)字化轉(zhuǎn)型帶來的互聯(lián)網(wǎng)暴露面不斷擴大，政企單位的資產(chǎn)范圍不斷外延。除了看得到的“冰面資產(chǎn)”之外，還有大量的冰面之下的資產(chǎn)，包括無主資產(chǎn)、灰色資產(chǎn)、僵尸資產(chǎn)等。在實戰(zhàn)攻防演練中，一些單位存在年久失修、無開發(fā)維護保障的老舊系統(tǒng)和僵尸系統(tǒng)，因為清理不及時，這些系統(tǒng)容易成為攻擊者的跳板，構(gòu)成嚴(yán)重的安全隱患。

根據(jù)奇安信安全服務(wù)團隊的觀察，在實戰(zhàn)攻防演練前期對機構(gòu)的體檢中，經(jīng)常能夠發(fā)現(xiàn)未及時更新的老舊系統(tǒng)。因為老舊系統(tǒng)存在歷史遺留問題以及管理混亂問題，攻擊隊可以通過分析它們的已知漏洞，成功攻入內(nèi)部網(wǎng)絡(luò)。例如，某大型企業(yè)在前期自查階段經(jīng)過互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)，發(fā)現(xiàn)資產(chǎn)清單有大量與實際不符的情況，這給自查整改和攻擊防護造成很大影響。

2. 網(wǎng)絡(luò)及子網(wǎng)內(nèi)部安全域之間隔離措施不到位

網(wǎng)絡(luò)內(nèi)部的隔離措施是考驗企業(yè)網(wǎng)絡(luò)安全防護能力的重要因素。很多機構(gòu)沒有嚴(yán)格的訪問控制（ACL）策略，在DMZ（隔離區(qū)）和辦公網(wǎng)之間不進行或很少進行網(wǎng)絡(luò)隔離，辦公網(wǎng)和互聯(lián)網(wǎng)相通，網(wǎng)絡(luò)區(qū)域劃分不嚴(yán)格，可以直接使遠程控制程序上線，導(dǎo)致攻擊方可以輕易實現(xiàn)跨區(qū)攻擊。

大中型政企機構(gòu)還存在“一張網(wǎng)”的情況，它們習(xí)慣于使用單獨架設(shè)的專用網(wǎng)絡(luò)來打通各地區(qū)之間的內(nèi)部網(wǎng)絡(luò)連接，而不同區(qū)域內(nèi)網(wǎng)間缺乏必要的隔離管控措施，缺乏足夠有效的網(wǎng)絡(luò)訪問控制。這就導(dǎo)致藍隊一旦突破了子公司或分公司的防線，便可以通過內(nèi)網(wǎng)進行橫向滲透，直接攻擊集團總部，或是漫游整個企業(yè)內(nèi)網(wǎng)，攻擊任意系統(tǒng)。

在實戰(zhàn)攻防演練中，面對防守嚴(yán)密的總部系統(tǒng)，藍隊很難正面突破，直接撬開內(nèi)部網(wǎng)絡(luò)的大門。因此繞過正面防御，嘗試通過攻擊防守相對薄弱的下屬單位，再迂回攻入總部的目標(biāo)系統(tǒng)，成為一種“明智”的策略。從2020年開始，各個行業(yè)的總部系統(tǒng)被藍隊從下級單位路徑攻擊甚至攻陷的案例比比皆是。

3. 互聯(lián)網(wǎng)應(yīng)用系統(tǒng)常規(guī)漏洞過多

在歷年的實戰(zhàn)攻防演練期間，已知應(yīng)用系統(tǒng)漏洞、中間件漏洞以及因配置問題產(chǎn)生的常規(guī)漏洞，是攻擊方發(fā)現(xiàn)的明顯問題和主要攻擊渠道。

從中間件來看，WebLogic、WebSphere、Tomcat、Apache、Nginx、IIS都有人使用。WebLogic應(yīng)用比較廣泛，因存在反序列化漏洞，所以常常會被作為打點和內(nèi)網(wǎng)滲透的突破點。所有行業(yè)基本上都有對外開放的郵件系統(tǒng)，可以針對郵件系統(tǒng)漏洞，比如跨站漏洞、CoreMail漏洞、XXE漏洞來開展攻擊，也可以通過釣魚郵件和魚叉郵件攻擊來開展社工工作，這些均是比較好的突破點。

4. 互聯(lián)網(wǎng)敏感信息泄露明顯

網(wǎng)絡(luò)拓?fù)洹⒂脩粜畔ⅰ⒌卿洃{證等敏感信息在互聯(lián)網(wǎng)上被大量泄露，成為攻擊方突破點。實際上，2020年是有記錄以來數(shù)據(jù)泄露最嚴(yán)重的一年。根據(jù)Canalys的報告，2020年泄露的記錄比過去15年的總和還多。大量互聯(lián)網(wǎng)敏感數(shù)據(jù)泄露，為攻擊者進入內(nèi)部網(wǎng)絡(luò)和開展攻擊提供了便利。

5. 邊界設(shè)備成為進入內(nèi)網(wǎng)的缺口

互聯(lián)網(wǎng)出口和應(yīng)用都是攻入內(nèi)部網(wǎng)絡(luò)的入口和途徑。目前政企機構(gòu)的接入防護措施良莠不齊，給藍隊創(chuàng)造了大量的機會。針對VPN系統(tǒng)等開放于互聯(lián)網(wǎng)邊界的設(shè)備或系統(tǒng)，為了避免影響員工使用，很多政企機構(gòu)沒有在其傳輸通道上增加更多的防護手段；再加上此類系統(tǒng)多會集成統(tǒng)一登錄，一旦獲得了某個員工的賬號密碼，藍隊可以通過這些系統(tǒng)突破邊界直接進入內(nèi)部網(wǎng)絡(luò)。

此外，防火墻作為重要的網(wǎng)絡(luò)層訪問控制設(shè)備，隨著網(wǎng)絡(luò)架構(gòu)與業(yè)務(wù)的增長與變化，安全策略非常容易混亂，甚至一些政企機構(gòu)為了解決可用性問題，采取了“any to any”的策略。防守單位很難在短時間內(nèi)梳理和配置涉及幾十個應(yīng)用、上千個端口的精細(xì)化訪問控制策略。缺乏訪問控制策略的防火墻，就如同敞開的大門，安全域邊界防護形同虛設(shè)。

6. 內(nèi)網(wǎng)管理設(shè)備成為擴大戰(zhàn)果的突破點

主機承載著政企機構(gòu)的關(guān)鍵業(yè)務(wù)應(yīng)用，須重點關(guān)注，重點防護。但很多機構(gòu)的內(nèi)部網(wǎng)絡(luò)的防御機制脆弱，在實戰(zhàn)攻防演練期間，經(jīng)常出現(xiàn)早已披露的陳年漏洞未修復(fù)，特別是內(nèi)部網(wǎng)絡(luò)主機、服務(wù)器以及相關(guān)應(yīng)用服務(wù)補丁修復(fù)不及時的情況。對于藍隊來說，這些脆弱點是可利用的重要途徑，可以用來順利拿下內(nèi)部網(wǎng)絡(luò)服務(wù)器及數(shù)據(jù)庫權(quán)限。

集權(quán)類系統(tǒng)成為攻擊的主要目標(biāo)。在攻防演練過程中，云管理平臺、核心網(wǎng)絡(luò)設(shè)備、堡壘機、SOC平臺、VPN等集權(quán)系統(tǒng)，由于缺乏定期的維護升級，已經(jīng)成為擴大權(quán)限的突破點。集權(quán)類系統(tǒng)一旦被突破，整個內(nèi)部的應(yīng)用和系統(tǒng)也基本全部被突破，藍隊可以借此實現(xiàn)以點打面，掌握對其所屬管轄范圍內(nèi)的所有主機的控制權(quán)。

7. 安全設(shè)備自身安全成為新的風(fēng)險點

安全設(shè)備作為政企機構(gòu)對抗攻擊者的重要工具，其安全性應(yīng)該相對較高，但實際上安全產(chǎn)品自身也無法避免0day攻擊，安全設(shè)備自身安全成為新的風(fēng)險點。每年攻防演練都會爆出某某安全設(shè)備自身存在的某某漏洞被利用、被控制，反映出安全設(shè)備廠商自身安全開發(fā)和檢測能力沒有做到位，給藍隊留下了后門，形成新的風(fēng)險點。2020年實戰(zhàn)攻防演練的一大特點是，安全產(chǎn)品的漏洞挖掘和利用現(xiàn)象非常普遍，多家企業(yè)的多款安全產(chǎn)品被挖掘出新漏洞（0day漏洞）或存在高危漏洞。

歷年實戰(zhàn)攻防演練中，被發(fā)現(xiàn)和利用的各類安全產(chǎn)品0day漏洞主要涉及安全網(wǎng)關(guān)、身份與訪問管理、安全管理、終端安全等類型的安全產(chǎn)品。利用這些安全產(chǎn)品的漏洞，藍隊可以：突破網(wǎng)絡(luò)邊界，獲取控制權(quán)限并進入網(wǎng)絡(luò)；獲取用戶賬戶信息，并快速拿下相關(guān)設(shè)備和網(wǎng)絡(luò)的控制權(quán)限。近兩三年，出現(xiàn)了多起VPN、堡壘機、終端管理等重要安全設(shè)備被藍隊利用重大漏洞完成突破的案例，這些安全設(shè)備被攻陷，直接造成網(wǎng)絡(luò)邊界防護失效，大量管理權(quán)限被控制。

8. 供應(yīng)鏈攻擊成為攻擊方的重要突破口

在攻防演練過程中，隨著防守方對攻擊行為的監(jiān)測、發(fā)現(xiàn)和溯源能力大幅增強，攻擊隊開始更多地轉(zhuǎn)向供應(yīng)鏈攻擊等新型作戰(zhàn)策略。藍隊會從IT（設(shè)備及軟件）服務(wù)商、安全服務(wù)商、辦公及生產(chǎn)服務(wù)商等供應(yīng)鏈機構(gòu)入手，尋找軟件、設(shè)備及系統(tǒng)漏洞，發(fā)現(xiàn)人員及管理薄弱點并實施攻擊。常見的系統(tǒng)突破口有郵件系統(tǒng)、OA系統(tǒng)、安全設(shè)備、社交軟件等，常見的突破方式有利用軟件漏洞、管理員弱口令等。由于攻擊對象范圍廣，攻擊方式隱蔽，供應(yīng)鏈攻擊成為攻擊方的重要突破口，給政企安全防護帶來了極大的挑戰(zhàn)。從奇安信在2021年承接的實戰(zhàn)攻防演練情況來看，由于供應(yīng)鏈管控弱，軟件外包、外部服務(wù)提供商等成為迂回攻擊的重要通道。

9. 員工安全意識淡薄是攻擊的突破口

很多情況下，攻擊人要比攻擊系統(tǒng)容易得多。利用人員安全意識不足或安全能力不足，實施社會工程學(xué)攻擊，通過釣魚郵件或社交平臺進行誘騙，是攻擊方經(jīng)常使用的手法。

釣魚郵件是最常用的攻擊手法之一。即便是安全意識較強的IT人員或管理員，也很容易被誘騙點開郵件中的釣魚鏈接或木馬附件，進而導(dǎo)致關(guān)鍵終端被控，甚至整個網(wǎng)絡(luò)淪陷。在歷年攻防演練過程中，攻擊隊通過郵件釣魚等方式攻擊IT運維人員辦公用機并獲取數(shù)據(jù)及內(nèi)網(wǎng)權(quán)限的案例數(shù)不勝數(shù)。

人是支撐安全業(yè)務(wù)的最重要因素，專業(yè)人才缺乏是政企機構(gòu)面臨的挑戰(zhàn)之一。在攻防演練期間，有大量防守工作需要開展，而且專業(yè)性較強，要求企業(yè)配備足夠強大的專業(yè)化網(wǎng)絡(luò)安全人才隊伍。

10. 內(nèi)網(wǎng)安全檢測能力不足

攻防演練中，攻擊方攻擊測試，對防守方的檢測能力要求更高。網(wǎng)絡(luò)安全監(jiān)控設(shè)備的部署、網(wǎng)絡(luò)安全態(tài)勢感知平臺的建設(shè)，是實現(xiàn)安全可視化、安全可控的基礎(chǔ)。部分企業(yè)采購并部署了相關(guān)工具，但是每秒上千條告警，很難從中甄別出實際攻擊事件。此外，部分老舊的防護設(shè)備，策略配置混亂，安全防護依靠這些系統(tǒng)發(fā)揮中堅力量，勢必力不從心。流量監(jiān)測及主機監(jiān)控工具缺失，僅依靠傳統(tǒng)防護設(shè)備的告警，甚至依靠人工翻閱海量日志來判斷攻擊，會導(dǎo)致“巧婦難為無米之炊”。更重要的是，精于內(nèi)部網(wǎng)絡(luò)隱蔽滲透的攻擊方在內(nèi)部網(wǎng)絡(luò)進行非常謹(jǐn)慎而隱蔽的橫向拓展，很難被流量監(jiān)測設(shè)備或態(tài)勢感知系統(tǒng)檢測。

網(wǎng)絡(luò)安全監(jiān)控是網(wǎng)絡(luò)安全工作中非常重要的方面。重視并建設(shè)好政企機構(gòu)網(wǎng)絡(luò)安全監(jiān)控體系，持續(xù)運營并優(yōu)化網(wǎng)絡(luò)安全監(jiān)控策略，是讓政企機構(gòu)真正可以經(jīng)受實戰(zhàn)化考驗的重要舉措。