Dix points de défense clés dans les exercices d'attaque et de défense détaillés

Les exercices d'attaque et de défense sur le terrain sont devenus un test de la capacité et du niveau de défense de la sécurité du réseau des organisations participantes.“La pierre de touche”,Et la capacité des institutions participantes à faire face aux cyberattaques“Meuleuse”.Principaux problèmes exposés dans les exercices d'attaque et de défense au cours des dernières années,C'est aussi l'endroit où la protection clé doit être assurée pendant l'exercice..

Dans les exercices d'attaque et de défense sur le terrain,Le contrôle et la propriété des actifs sont toujours au centre de la lutte entre les deux parties..La surface exposée à Internet comme entrée de trafic,Est une cible importante pour l'attaquant.L'imprécision des actifs est la situation actuelle de nombreuses entreprises et institutions publiques..L'exposition croissante à Internet causée par la transformation numérique,Extension continue de la portée des actifs de l'entreprise.Sauf ce qui est visible.“Actifs de glace”Au - delà,Et beaucoup d'actifs sous la glace,Y compris les actifs non propriétaires、Actifs gris、Actifs zombies, etc..Dans les exercices d'attaque et de défense sur le terrain,Certaines unités sont en mauvais état.、Systèmes obsolètes et Zombies sans garantie de maintenance du développement,Parce que le nettoyage n'a pas été effectué à temps,Ces systèmes peuvent facilement servir de tremplin aux attaquants,Risque grave pour la sécurité.

Les mesures d'isolement à l'intérieur du réseau sont un facteur important pour tester la capacité de protection de la sécurité du réseau de l'entreprise..De nombreuses organisations n'ont pas de contrôle d'accès strict（ACL）Stratégie,InDMZ（Zone de quarantaine）Il n'y a pas ou très peu d'isolement du réseau avec le réseau de bureaux,Le réseau de bureaux est relié à Internet,La Division de la zone du réseau n'est pas stricte,Le programme de télécommande peut être mis en ligne directement,Permet à l'attaquant d'effectuer facilement une attaque inter - zone.

Absence de mesures d'isolement et de contrôle nécessaires entre les différents réseaux régionaux, Manque de contrôles d'accès au réseau suffisamment efficaces . Cela a conduit l'équipe bleue une fois qu'elle a franchi la ligne de défense d'une filiale ou d'une succursale , Pour permettre une pénétration latérale à travers l'intranet , Attaque directe contre le quartier général du Groupe , Ou parcourir tout l'intranet de l'entreprise , Attaquer n'importe quel système .

Pendant les exercices d'attaque et de défense , Vulnérabilité connue du système d'application 、 Vulnérabilités des intergiciels et vulnérabilités générales dues à des problèmes de configuration , Est un problème évident et un canal d'attaque majeur découvert par l'attaquant . À en juger par l'intergiciel ,WebLogic、WebSphere、Tomcat、Apache、Nginx、IIS Ils sont tous utilisés .WebLogicLargement utilisé, En raison d'une vulnérabilité de désrialisation , Il est donc souvent utilisé comme point de départ et comme point de percée pour la pénétration de l'intranet . Toutes les industries ont essentiellement des systèmes de courrier ouverts au monde extérieur , Peut cibler les vulnérabilités du système de messagerie , Par exemple, une vulnérabilité inter - site 、CoreMailVulnérabilité、XXE Vulnérabilité pour lancer une attaque , Le travail social peut également être effectué par le biais de courriels de pêche et d'attaques de harpons , Ce sont de bonnes percées .

Topologie du réseau、Informations sur l'utilisateur、 Des informations sensibles telles que les identifiants de connexion sont largement divulguées sur Internet , Devenir le point de percée de l'attaquant . Fuite massive de données sensibles à Internet , Facilite l'accès des attaquants au réseau interne et les attaques .

Les sorties et les applications Internet sont des entrées et des moyens d'accéder au réseau interne . À l'heure actuelle, les mesures de protection de l'accès des entreprises et des institutions sont inégales. , A créé beaucoup d'opportunités pour l'équipe bleue .PourVPN Un appareil ou un système ouvert aux frontières de l'Internet, comme un système. , Pour éviter d'affecter l'utilisation par les employés , De nombreux organismes n'ont pas ajouté plus de protection à leurs canaux de transmission ; De plus, ces systèmes peuvent intégrer des logins unifiés , Une fois le mot de passe du compte d'un employé obtenu , Grâce à ces systèmes, l'équipe bleue peut franchir la frontière et accéder directement au réseau interne .

L'hôte héberge les principales applications commerciales des institutions gouvernementales et d'entreprise , L'accent doit être mis sur , Protection clé . Mais les mécanismes de défense des réseaux internes de nombreuses organisations sont fragiles. , Pendant les exercices d'attaque et de défense , Il y a souvent des bogues d'âge divulgués qui n'ont pas été corrigés. , En particulier l'hôte du réseau interne 、 Les correctifs du serveur et des services d'application connexes ne sont pas corrigés en temps opportun . Pour l'équipe bleue , Ces points faibles sont d'importants moyens de , Il peut être utilisé pour supprimer les permissions du serveur réseau interne et de la base de données .

Le système centralisé est également l'objectif principal , Une fois percé , L'ensemble de l'application et du système internes a été fondamentalement brisé , L'équipe bleue peut faire ça en pointant , Prendre le contrôle de tous les hôtes relevant de sa juridiction .

Dans les exercices d'attaque et de défense sur le terrain, Divers produits de sécurité découverts et utilisés 0day La vulnérabilité concerne principalement la passerelle de sécurité 、Gestion de l'identité et de l'accès、Gestion de la sécurité、 Produits de sécurité tels que la sécurité des terminaux . Exploiter les vulnérabilités de ces produits de sécurité , L'équipe bleue peut ： Franchir les frontières du réseau , Accès au contrôle et au réseau ; Obtenir des informations sur le compte utilisateur , Et retirer rapidement l'autorité de contrôle de l'équipement et du réseau pertinents .Ces dernières années,Il y en a eu plusieurs.VPN、Fortress machine、 Cas où des équipements de sécurité importants, tels que la gestion des terminaux, ont été exploités par l'équipe bleue pour réaliser une percée , Ces dispositifs de sécurité ont été saisis , Défaillance directe de la protection des limites du réseau , Un grand nombre de droits administratifs sont contrôlés .

Pendant les exercices d'attaque et de défense , Alors que les défenseurs surveillent les attaques 、 Les capacités de détection et de traçabilité se sont considérablement améliorées , Les équipes d'attaque se tournent de plus en plus vers de nouvelles stratégies opérationnelles telles que les attaques de la chaîne d'approvisionnement . L'équipe bleue va partir de IT（ Équipements et logiciels ）Prestataires de services、Fournisseur de services de sécurité、 Organisation de la chaîne d'approvisionnement, y compris les bureaux et les fournisseurs de services de production ,Recherche de logiciels、 Vulnérabilité de l'équipement et du système , Identifier les faiblesses en matière de personnel et de gestion et mener des attaques . Les ruptures de système courantes sont le système de courrier 、OASystème、Matériel de sécurité、 Logiciels sociaux, etc , Les percées les plus courantes sont l'exploitation des vulnérabilités logicielles 、 Mot de passe faible de l'Administrateur, etc . En raison de la large gamme d'attaques , La méthode d'attaque est cachée , L'attaque de la chaîne d'approvisionnement devient une percée importante pour l'attaquant , Elle pose de grands défis à la protection de la sécurité des entreprises et des institutions publiques. .

Dans de nombreux cas, Il est beaucoup plus facile d'attaquer les gens que le système . Utilisation d'une sensibilisation insuffisante ou d'une capacité de sécurité insuffisante du personnel , L'exécution d'une attaque d'ingénierie sociale , Leurre par courriel d'hameçonnage ou plate - forme sociale , C'est une technique souvent utilisée par les attaquants .

Les gens sont le facteur le plus important pour soutenir les opérations de sécurité , Le manque de professionnels est l'un des défis auxquels sont confrontées de nombreuses entreprises. . Pendant les exercices d'attaque et de défense , Il y a beaucoup de travail défensif à faire , Et professionnel , Exiger des entreprises qu'elles disposent d'une équipe de professionnels de la sécurité des réseaux suffisamment forte .

Dans les exercices d'attaque et de défense , Test d'attaque de l'attaquant , Des exigences plus élevées en matière de capacité de détection pour les défenseurs . Déploiement de dispositifs de surveillance de la sécurité du réseau 、 Construction d'une plate - forme de connaissance de la situation en matière de cybersécurité , Est de réaliser la visualisation de sécurité 、 Une base sûre et contrôlable . Certaines entreprises ont acheté et déployé des outils connexes , Mais des milliers d'alarmes par seconde , Il est difficile d'identifier les attaques réelles .

En outre, Certains vieux équipements de protection , Mauvaise configuration de la politique , La protection de la sécurité repose sur ces systèmes. , Il n'y en a pas assez . Il manque des outils de surveillance du débit et du moteur principal , Alarmes basées uniquement sur des équipements de protection traditionnels , Même en parcourant manuellement les journaux de masse pour juger de l'attaque .Plus important encore,, Les attaquants qui sont habiles dans la pénétration cachée du réseau interne font une extension latérale très discrète et discrète du réseau interne , Difficile à détecter par l'équipement de surveillance du trafic ou le système de connaissance de la situation .

.La protection de la sécurité du réseau à partir des dix aspects ci - dessus est un aspect très important du travail de sécurité du réseau . Mettre l'accent sur la mise en place d'un système de surveillance de la sécurité des réseaux pour les entreprises et les institutions publiques , Exploitation continue et optimisation de la stratégie de surveillance de la sécurité du réseau , C'est une mesure importante qui peut vraiment résister à l'épreuve de la pratique. .