近年来,高校正逐渐成为网络安全风险的高发地,面对错综复杂的安全态势,网络安全演练恰好成为培养师生安全、技术素养的有效途径。一次全面的演练不仅是与外界的一次技术“碰撞”,更是全员参与的一次“安全行动”,有助于摸清安全家底,聚焦典型问题,锻炼人才队伍,使各高校的网络安全在管理和技术层面上得以有效提升。
迎演理念争鸣
攻防演练中,各参演单位的安全防护情况伴随业务管理的波动也在不断发生着变化。面对凌厉的技术攻势,各单位是大动干戈临时调整安全结构,是组织动员人力和设备还手反攻,还是务实接受技术考验,以“打不还手”的最小代价展示日常工作的成效?对此,领导决策和技术研判因视角不同,考量的范围也会大相径庭。
其实,有来有往的竞技性攻防与“打不还手”的检验性参演并无孰优孰劣之分,两种状态在攻防实践中相互转换,落脚点都是达成网络安全目标。基于此,在人员编制数量、经费预算等都不富裕的情况下,依靠常态化防护体系才是最省时、省力、省人的参演抉择。
反之,日常的管理体系和技术规范存在短板,调整网络结构面临的技术风险、运行稳定性风险都无限增加;与此同时,邀请外部安全服务团队进行技术支援时,外部人员的技术水平参差不齐,且对本单位安全全局缺乏整体观,必然会存在内部网络安全措施、拓扑结构等信息外溢的风险。这些信息即使在演练中做好保密,在演练后相当长的时间里,都会成为常态化安全防护的潜在风险。
综上所述,迎接一场基于日常技术防护标准、不邀请外援且“打不还手”的安全演练既充满挑战,也是更好地解构网络安全工作之难的窗口。
演练准备
自接到演练通知到正式演练前,一般有数天到一周不等的时间进行准备。所以,在短时间内做全面的安全策略调整不切实际,应基于已有的防护体系和措施,针对可观测、可加固的技术事宜开展准备工作。
首先是端口开放、业务开放面的收敛。有备而来的攻击方在正式演练前开始信息收集,抢时间窗口收缩端口和业务的暴露范围。这类收敛并不影响靶机和其他正常业务的开放,重点是对日常欠规范环节的集中整改。整改事项应归纳为清单,如清查防火墙、WAF失效规则、临时白名单等配置项,对防护规则的逻辑性和覆盖面进行复核性检查。
其次是根据已有条件做差异性资源补充。策略一是借用兄弟单位技术人员,同行之间相互借鉴交流易于碰撞出更为灵活的技术措施,许多经验对技术加固和日常运维都有助益;
策略二是防护设备功能特性的差异化,组合基于规则库与访问行为的防护设备,对同一个入流量从规则和访问行为两种技术路线进行双重过滤防护,更易于发现和阻断可疑的入侵行为和入侵来源;
策略三是构建多视角的监控措施,结合传统的SNMP监控,可借用态势感知或搭建蜜罐系统。开源的蜜罐可分散到不同网络区域,一旦蜜罐发生访问命中,则可立即掌握攻击方已达到网络区域的动态,这对防守方采取进一步措施非常关键。
再次是通过自动或半自动脚本提高处置效率。准备多个具备自动或半自动功能的脚本,应对随时可能发生的情况,提高处置效率。
以黑名单投送脚本为例,人工将判断有风险的可疑IP输入脚本交互界面,脚本自动依次登录所有安全设备将IP添加至相应安全设备黑名单,实现拦截上的联动;日志快查脚本,输入可疑IP后自动登录各个安全设备,在一个文本界面显示该IP经过各安全设备活动的信息,实现更快的信息分析和追溯。
最后是重点人员的培训和提醒。对于具备密码修改权限和应用账户授权的工作人员须重点培训和叮嘱:一方面,预防钓鱼等社会工程学方法造成相关人员的账户泄露;另一方面,对各个系统的授权账户进行清查,对达到一定时长未使用的账户进行禁用,不合理的权限配置进行调整。
享受过程
演练开始,监控必不可少。首轮试探更多集中在广度上,如出现download目录、admin目录、tar.gz文件、“.htaccess”文件等针对性较明显的URL的扫描,这考验的是攻击方和防守方对资产统计的全面性。
作为“打不还手”的防守方,应对这些试探及时加黑名单,增加渗透的难度。即便如此,还是会发现个别冷门域名正在被渗透,这些域名是如何被收集?是域名解析配置不当,还是其他环节疏漏?需要立即自查和加固。
统一身份认证密码在演练期间关系重大,一旦任一用户账号密码泄露,众多系统的登录权限将被轻易获取。以2023年2月湖北省网络安全护网演练为例,演练过程中,统一身份认证日志发现了异常,同一个互联网源IP在短时间内连续登录成功多个统一身份认证账号。
这种情况下,必须立即溯源。经分析,确认这是某互联网平台提供的一项集成功能,用户关注的公众号对内部的系统进行了伪登录验证,收集保存了众多用户统一身份认证的账号密码。用户使用该集成功能能够获得更便捷的使用体验,但对账号安全管理构成严重威胁,在封禁源IP后会同业务部门及时整改。
WebVPN和统一身份认证都是第一道防线,无论通过账号还是漏洞登录WebVPN,防护和监控的难度都会呈指数上升。因为在WebVPN代理访问模式下,要分辨攻击方和用户是较为困难的,但安全问题总是越担心什么就越会发生什么。
这次湖北省网络安全护网演练中,防守方安全日志发现了源IP被WebVPN拦截,于是立即安排技术人员根据时间区间分析统一身份认证的账号,将认证成功和失败的状态分别统计,以期缩小可能泄漏的账号范围;随后围绕拦截日志的URL进行分析,发现有且只有统一身份认证这一个域名能够在WebVPN绕过验证,并基于WebVPN自身源地址对统一身份认证的域名进行URL扫描。
与WebVPN厂商沟通确认后,确定是WebVPN对统一身份认证域名做了白名单,继而发生这一访问绕过问题,即不登录WebVPN也可通过WebVPN源地址对统一身份认证发起各种试探,并且WebVPN不会记录任何日志,属于较为严重的机制缺陷。
演练过程中,统计认证状态的技术小组也有了新的发现:
一个可疑的账号登录WebVPN后频繁访问一个系统归属部门都极少使用的系统,同时该账号使用的源地址与攻击方所在的网安基地契合。为避免“打草惊蛇”,小组决定在不联系用户的情况下,强制修改该账号密码,如果是普通用户,则会自助修改;如果是攻击方的僵尸账号,则可终止该账号的继续访问。
最后,演练报告证明,这一保守做法侥幸阻断了攻击方的继续渗透。该账号用户自行编写的程序源码保存了统一身份认证账号密码,以及多个本单位域名的URL,并将程序上传到了GitHub托管。在攻击方轻松获取统一身份认证账号后,防守方碰巧在其尚未开展深入渗透前阻断了这一缺口。
梳理总结
“打不还手”的演练虽然缺少竞技比赛的观赏性和趣味性,但能够聚焦检验安全基线,提高应急处置能力,既考验了技术人员对分内职责的熟悉度,加深其现有技术体系关联性思考和技术线索的灵活运用,又向真正落实以练促防的目标迈进了一小步,简要总结如下:
第一,常态化防护工作非常重要。基于边界防护、数据中心防护、主机东西向防护三大层次的防护体系是一个日积月累的基础工作。其中,边界防护与身份认证账号作为第一道防线,所能坚守的时长直接关系防守成败。参演团队只有坚持做好日常安全运维,才能减轻演练期间的工作量和复杂度,也才能在演练期间进一步发现深层次的缺漏。
第二,靶机的选择通常会倾向于静态页面,但演练机会难得,应自信地检验防护体系。因此,可尝试选用不同认证体系的系统作为靶机,避免因统一身份认证账号泄漏导致更多的系统获取权限,继而大幅失分。
第三,开源的蜜罐在演练后可作为安全运维工具常态化运行。一方面,日常管理需要发现园区网内部IP存在的不安定因素,以蜜罐为媒介对于快速发现、快速定位增加了管理视角;另一方面,蜜罐的伪页面、伪系统平时也需要进行打磨修改,默认的页面对于经验丰富的攻击方很容易判别。
只有把真渗透困在蜜罐,才能为化解真风险赢得先手,进而掌握防守、防护的主动权。日常管理中查看各监控对象时,宜养成“过目不忘”的职业素养,结合服务器负载、应用流量规律等“印象”经验,基于职业敏感性快速分析、比较研判演练期间各监控的指标状态是否存在特异性变化,由此可提高筛查可疑“陷落”的效率,为阻断可疑流量赢得先机。
第四,在演练的准备和进行过程中,每一次微小的技术调整都要准确记录。这样,一方面便于演练结束后做配置方面恢复,另一方面也有利于做技术复盘,通过对过程的对照分析找到防护体系的短板并开展优化工作。同时,演练结束后,借用和临时新增的设备,在下线前务必清理数据和配置,如流量镜像一类的原始数据和分析数据都要清空,SSL证书避免留存在设备中,避免外援人员掌握真实的拓扑、详细的资料信息,保持真实情况与外部掌握信息的不对称性。