近年來�����,高校正逐漸成為網絡安全風險的高發地�,面對錯綜復雜的安全態勢,網絡安全演練恰好成為培養師生安全、技術素養的有效途徑。一次全面的演練不僅是與外界的一次技術“碰撞”,更是全員參與的一次“安全行動”,有助于摸清安全家底��,聚焦典型問題��,鍛煉人才隊伍,使各高校的網絡安全在管理和技術層面上得以有效提升���。
迎演理念爭鳴
攻防演練中,各參演單位的安全防護情況伴隨業務管理的波動也在不斷發生著變化��。面對凌厲的技術攻勢�����,各單位是大動干戈臨時調整安全結構���,是組織動員人力和設備還手反攻���,還是務實接受技術考驗����,以“打不還手”的最小代價展示日常工作的成效?對此����,領導決策和技術研判因視角不同����,考量的范圍也會大相徑庭��。
其實���,有來有往的競技性攻防與“打不還手”的檢驗性參演并無孰優孰劣之分���,兩種狀態在攻防實踐中相互轉換,落腳點都是達成網絡安全目標����?���;诖?���,在人員編制數量、經費預算等都不富裕的情況下��,依靠常態化防護體系才是最省時�、省力、省人的參演抉擇����。
反之����,日常的管理體系和技術規范存在短板�,調整網絡結構面臨的技術風險、運行穩定性風險都無限增加���;與此同時,邀請外部安全服務團隊進行技術支援時�,外部人員的技術水平參差不齊����,且對本單位安全全局缺乏整體觀�����,必然會存在內部網絡安全措施��、拓撲結構等信息外溢的風險。這些信息即使在演練中做好保密�����,在演練后相當長的時間里�,都會成為常態化安全防護的潛在風險����。
綜上所述,迎接一場基于日常技術防護標準、不邀請外援且“打不還手”的安全演練既充滿挑戰��,也是更好地解構網絡安全工作之難的窗口�����。
演練準備
自接到演練通知到正式演練前��,一般有數天到一周不等的時間進行準備。所以,在短時間內做全面的安全策略調整不切實際,應基于已有的防護體系和措施�,針對可觀測��、可加固的技術事宜開展準備工作���。
首先是端口開放�、業務開放面的收斂�。有備而來的攻擊方在正式演練前開始信息收集,搶時間窗口收縮端口和業務的暴露范圍�����。這類收斂并不影響靶機和其他正常業務的開放���,重點是對日常欠規范環節的集中整改�。整改事項應歸納為清單,如清查防火墻�、WAF失效規則��、臨時白名單等配置項,對防護規則的邏輯性和覆蓋面進行復核性檢查�。
其次是根據已有條件做差異性資源補充。策略一是借用兄弟單位技術人員,同行之間相互借鑒交流易于碰撞出更為靈活的技術措施��,許多經驗對技術加固和日常運維都有助益��;
策略二是防護設備功能特性的差異化���,組合基于規則庫與訪問行為的防護設備��,對同一個入流量從規則和訪問行為兩種技術路線進行雙重過濾防護,更易于發現和阻斷可疑的入侵行為和入侵來源�;
策略三是構建多視角的監控措施����,結合傳統的SNMP監控����,可借用態勢感知或搭建蜜罐系統。開源的蜜罐可分散到不同網絡區域,一旦蜜罐發生訪問命中,則可立即掌握攻擊方已達到網絡區域的動態����,這對防守方采取進一步措施非常關鍵�。
再次是通過自動或半自動腳本提高處置效率���。準備多個具備自動或半自動功能的腳本�����,應對隨時可能發生的情況�,提高處置效率�。
以黑名單投送腳本為例,人工將判斷有風險的可疑IP輸入腳本交互界面,腳本自動依次登錄所有安全設備將IP添加至相應安全設備黑名單��,實現攔截上的聯動����;日志快查腳本��,輸入可疑IP后自動登錄各個安全設備��,在一個文本界面顯示該IP經過各安全設備活動的信息,實現更快的信息分析和追溯�。
最后是重點人員的培訓和提醒����。對于具備密碼修改權限和應用賬戶授權的工作人員須重點培訓和叮囑:一方面����,預防釣魚等社會工程學方法造成相關人員的賬戶泄露;另一方面�����,對各個系統的授權賬戶進行清查�����,對達到一定時長未使用的賬戶進行禁用�����,不合理的權限配置進行調整�����。
享受過程
演練開始,監控必不可少�。首輪試探更多集中在廣度上��,如出現download目錄、admin目錄�、tar.gz文件����、“.htaccess”文件等針對性較明顯的URL的掃描�,這考驗的是攻擊方和防守方對資產統計的全面性�����。
作為“打不還手”的防守方�����,應對這些試探及時加黑名單,增加滲透的難度����。即便如此����,還是會發現個別冷門域名正在被滲透����,這些域名是如何被收集?是域名解析配置不當�����,還是其他環節疏漏�����?需要立即自查和加固�。
統一身份認證密碼在演練期間關系重大�,一旦任一用戶賬號密碼泄露,眾多系統的登錄權限將被輕易獲取���。以2023年2月湖北省網絡安全護網演練為例����,演練過程中,統一身份認證日志發現了異常,同一個互聯網源IP在短時間內連續登錄成功多個統一身份認證賬號�。
這種情況下�����,必須立即溯源。經分析,確認這是某互聯網平臺提供的一項集成功能���,用戶關注的公眾號對內部的系統進行了偽登錄驗證,收集保存了眾多用戶統一身份認證的賬號密碼。用戶使用該集成功能能夠獲得更便捷的使用體驗��,但對賬號安全管理構成嚴重威脅���,在封禁源IP后會同業務部門及時整改���。
WebVPN和統一身份認證都是第一道防線�����,無論通過賬號還是漏洞登錄WebVPN����,防護和監控的難度都會呈指數上升��。因為在WebVPN代理訪問模式下�,要分辨攻擊方和用戶是較為困難的��,但安全問題總是越擔心什么就越會發生什么���。
這次湖北省網絡安全護網演練中�����,防守方安全日志發現了源IP被WebVPN攔截,于是立即安排技術人員根據時間區間分析統一身份認證的賬號,將認證成功和失敗的狀態分別統計�����,以期縮小可能泄漏的賬號范圍�����;隨后圍繞攔截日志的URL進行分析�,發現有且只有統一身份認證這一個域名能夠在WebVPN繞過驗證�����,并基于WebVPN自身源地址對統一身份認證的域名進行URL掃描���。
與WebVPN廠商溝通確認后��,確定是WebVPN對統一身份認證域名做了白名單,繼而發生這一訪問繞過問題�����,即不登錄WebVPN也可通過WebVPN源地址對統一身份認證發起各種試探�����,并且WebVPN不會記錄任何日志���,屬于較為嚴重的機制缺陷�����。
演練過程中�����,統計認證狀態的技術小組也有了新的發現:
一個可疑的賬號登錄WebVPN后頻繁訪問一個系統歸屬部門都極少使用的系統�,同時該賬號使用的源地址與攻擊方所在的網安基地契合��。為避免“打草驚蛇”���,小組決定在不聯系用戶的情況下��,強制修改該賬號密碼,如果是普通用戶����,則會自助修改����;如果是攻擊方的僵尸賬號���,則可終止該賬號的繼續訪問���。
最后�����,演練報告證明�����,這一保守做法僥幸阻斷了攻擊方的繼續滲透���。該賬號用戶自行編寫的程序源碼保存了統一身份認證賬號密碼,以及多個本單位域名的URL��,并將程序上傳到了GitHub托管��。在攻擊方輕松獲取統一身份認證賬號后�,防守方碰巧在其尚未開展深入滲透前阻斷了這一缺口���。
梳理總結
“打不還手”的演練雖然缺少競技比賽的觀賞性和趣味性��,但能夠聚焦檢驗安全基線�����,提高應急處置能力,既考驗了技術人員對分內職責的熟悉度����,加深其現有技術體系關聯性思考和技術線索的靈活運用�,又向真正落實以練促防的目標邁進了一小步�,簡要總結如下:
第一,常態化防護工作非常重要���。基于邊界防護���、數據中心防護、主機東西向防護三大層次的防護體系是一個日積月累的基礎工作�。其中�,邊界防護與身份認證賬號作為第一道防線���,所能堅守的時長直接關系防守成敗���。參演團隊只有堅持做好日常安全運維���,才能減輕演練期間的工作量和復雜度�,也才能在演練期間進一步發現深層次的缺漏�。
第二,靶機的選擇通常會傾向于靜態頁面,但演練機會難得,應自信地檢驗防護體系��。因此�,可嘗試選用不同認證體系的系統作為靶機,避免因統一身份認證賬號泄漏導致更多的系統獲取權限,繼而大幅失分���。
第三,開源的蜜罐在演練后可作為安全運維工具常態化運行。一方面�,日常管理需要發現園區網內部IP存在的不安定因素����,以蜜罐為媒介對于快速發現�����、快速定位增加了管理視角�����;另一方面,蜜罐的偽頁面、偽系統平時也需要進行打磨修改,默認的頁面對于經驗豐富的攻擊方很容易判別�����。
只有把真滲透困在蜜罐�����,才能為化解真風險贏得先手����,進而掌握防守���、防護的主動權�����。日常管理中查看各監控對象時�����,宜養成“過目不忘”的職業素養,結合服務器負載���、應用流量規律等“印象”經驗,基于職業敏感性快速分析�����、比較研判演練期間各監控的指標狀態是否存在特異性變化�,由此可提高篩查可疑“陷落”的效率��,為阻斷可疑流量贏得先機。
第四�����,在演練的準備和進行過程中,每一次微小的技術調整都要準確記錄�����。這樣����,一方面便于演練結束后做配置方面恢復����,另一方面也有利于做技術復盤���,通過對過程的對照分析找到防護體系的短板并開展優化工作���。同時����,演練結束后,借用和臨時新增的設備��,在下線前務必清理數據和配置,如流量鏡像一類的原始數據和分析數據都要清空�,SSL證書避免留存在設備中����,避免外援人員掌握真實的拓撲���、詳細的資料信息�,保持真實情況與外部掌握信息的不對稱性�����。
作者:高杰欣(中南民族大學現代教育技術中心)
責編:陳永杰
