什么是网络安全攻防演习?
自2006年美国组织“网络风暴”系列演习开始,网络安全攻防演习在全球范围内蓬勃兴起。2016年,公安部组织开展了“护网”网络安全攻防演习活动,同年《网络安全法》正式公布,我国进入网络安全攻防演习元年。近几年,各行业、各地区组织的网络安全攻防演习越来越多,规模和强度也越来越大,攻防演习已成为检验各单位网络安全综合防护水平的“试金石”和提升网络安全应急处置能力的“磨刀石”。2020年以来,教育部科技司会同教育部教育管理信息中心连续组织教育系统网络安全攻防演习,每年都取得良好效果。
习近平总书记指出,“网络安全的本质在对抗,对抗的本质在攻防两端能力较量”。网络安全攻防演习是在真实网络环境中,通过组织攻击方以尽可能接近实战的方式,对防守方目标系统进行模拟攻击,防守方可采用各类防御方法,感知安全态势,及时发现攻击行为并应急处置,保护本方数据、系统和网络。攻击方以获取权限和数据为目标,在不影响业务系统正常运行的前提下,不限制攻击手段和路径,最终战绩是检验演习成败的重要标准。
网络安全攻防演习高度模拟真实对抗场景,具有独特的实战价值,“仗怎么打,兵就怎么练”。演习能有效发现各类网络安全漏洞和隐蔽风险,找到网络安全防护短板,检验和提高网络安全应急处置能力,同时有利于培养和提升网络安全人员的实战能力,强化全民网络安全风险意识,为加强安全体系下一步建设提供方向,是常态化网络安全管理工作中的重要内容。
典型攻击技战法
在攻防双方的激烈较量中,攻击方的能力越强,投入时间越多,能够获得的战果就越大,攻击方的精心组织对攻防演习的效果有重大影响。如果防守方能够在早期发现攻击方的蛛丝马迹,并成功阻断攻击链,就往往可以避免重大的连片式安全失陷。
“工欲善其事,必先利其器。”攻击方除了技术和工具的准备,在演习预备阶段也会尽可能储备公开漏洞、提前挖掘0day漏洞,对不同类型的业务系统、中间件和开发框架等,建立漏洞利用武器库,在演习中快速根据应用指纹特征识别目标,进行精准打击。攻击队成员一般各有所长,有的擅长社会工程学获取账户密码,有的擅长快速漏洞挖掘并组合利用,有的擅长绕过防火墙内网渗透。加强团队分工合作,流水线作业会起到事半功倍的效果。
常规攻击路径
第一阶段是信息收集。主要收集目标单位的信息资产(如域名、IP地址段、App/小程序/公众号等移动应用、信息系统等)、人员信息(如师生学/工号、手机号、邮箱信息、身份证号等)、账户密码(如统一身份认证账户密码、各系统初始密码、社工库密码等)、网络架构、系统开发商、系统运维方等,这一阶段的目标是寻找外围和内部所有可能的薄弱点,为后续突破提供入口。
第二阶段是边界突破。根据收集的信息,攻击者直接挖掘远程命令/代码执行漏洞、SQL注入、越权访问等Web漏洞实现突破,也可利用统一身份认证的VPN拨入等方式进入目标单位网络。针对收集到的人员邮箱、手机号、边缘薄弱站点等,攻击者也会尝试开展钓鱼、口令猜解等社会工程学攻击,控制目标单位人员邮箱或者电脑;通过联网的硬件设备,如安防系统、网络设备,甚至安全设备等,也可利用其漏洞作为跳板进入内网,实现对目标系统的迂回突破。
第三阶段是内网渗透。主要进行内网信息收集,包括网络拓扑、单位人员通信录、密码本、数据库账号密码、远程运维信息等敏感内容,通过MS17-010等漏洞利用和使用泄露账号远程登录,在同子网内进行横向渗透,跨网段和安全域进行纵向渗透,控制域控服务器、虚拟化管理服务器、运维人员主机、堡垒机、数据库服务器等关键设备,从而进一步突破区域隔离,接近并控制目标系统。随着攻防博弈的升级,为了防止被发现阻断,攻击者会使用加密通信回联C2、混淆免杀维权等手段保护自身,并可能主动修复前期利用漏洞来避免被防守方发现。
灵活攻击思路
为了拿下目标系统,攻击者往往不走寻常路,绕过防守方的马奇诺防线,无所不用其极。以近年来教育系统网络安全攻防演习为例,攻击者首先会尝试正面强攻,直接打击主要目标资产,一旦有所突破就长驱直入,迅速获得目标系统权限。但是主要目标往往会受到重点保护,系统本身的漏洞相对较少,围绕可能攻击路径的安全防护设备与监测预警体系相对更为严密,攻击易被察觉和阻断,成功难度较大。
因此,灵活多变、出其不意的攻击思路往往效果更佳。一是尝试攻击目标单位边缘脆弱资产或系统,如一些缺乏维护的老旧系统、测试环境和测试系统等,成功后利用其进一步接近目标系统。二是在存在上下级信息系统的情况下,上级的系统一般资产暴露少,防护更加严密,攻击者可以考虑优先攻击防护较为薄弱的下级单位分系统。拿到分系统的控制权限后,获取系统源代码或部署信息,挖掘出漏洞利用点,再利用其接近上级目标系统。三是注意网络设备、安全设备也可能不安全,如低版本的VPN、堡垒机等可能被远程利用。曾有攻击方发现某些高校使用的WebVPN应用URL编码存在规律,访问部分系统二级路径和API不需要鉴权,利用该漏洞成功突破了网络边界进入高校内网。
供应链攻击
供应链攻击不直接面向目标单位,而转向目标系统的开发运维方环境寻找弱点,更加隐蔽但往往有效。学工、财务、网站群、教务、科研、一卡通、OA等教育系统都有通用的软件供应商,其产品覆盖成百上千所学校。供应链攻击一旦成功,同样的方法可以直接应用到大量单位,造成连片式、大面积影响。近年的演习中,供应链攻击效果显著,很多无法正面突破的目标系统,往往从供应链侧找到了利用入口。
供应链攻击的第一步是确定目标系统供应商。可通过目标系统页面版权信息、目标单位招标采购信息和其他应用指纹信息等来确认系统供应商。对于经验丰富的攻击者,通过网站的前端代码和后台接口信息往往可以确定开发厂商。
供应链攻击是一个迂回策略,要专注目标系统的信息获取,不能扩大化。一是尝试获取目标系统的运维信息,如项目管理系统或工单系统漏洞可获取目标单位远程运维信息;二是通过Gitlab等代码管理平台漏洞获取到目标系统的源码,同时也可尝试在Github等互联网代码托管平台中搜索获取源码和部署信息,对源码进行安全审计挖掘出0day漏洞,进而拿下目标系统。
社会工程学攻击
网络安全本质是人跟人的对抗,即使软硬件安全防护做得再好,终究需要人来运营和使用。近几年的攻防演习中,利用钓鱼邮件等方式的社会工程学攻击频频得手,成为突破各单位安全防护的重要手段。
社会工程学攻击的方式主要通过邮件钓鱼或即时聊天来开展。攻击者发送精心设计的钓鱼邮件或者发起聊天咨询,诱导目标单位的运维管理人员、系统开发人员运行木马程序,进而控制其电脑,以获得密码本等信息来接近目标系统。曾有攻击者在第一封邮件钓鱼失败的情况下,以“警惕钓鱼邮件”为主题向目标单位开展第二轮邮件钓鱼,成功拿下一名系统管理人员的主机权限。此外,有些攻击者混入学校的QQ群或论坛社区,诱导学生提供统一身份认证账号密码等敏感信息,利用VPN进入高校内网。
攻击者视角下的防守策略
互联网技术日新月异,网络攻击手段层出不穷,一条完整的攻击链是一套“组合拳”,防守方要了解攻击者的“三板斧”,知己知彼,才能更好地完善网络安全防护体系。
一是建立纵深的安全防御体系。高校的网络环境比较复杂,要在资产梳理、网络区域合理划分的基础上,进一步缩小暴露面,明确防护重点。攻击是一个过程,一定会留下蛛丝马迹,要实时感知内部安全态势,加强监测预警和安全日志分析,及时发现攻击痕迹,迅速应急处置,在极早期和早期阻断攻击行为。
二是供应链安全问题日益突出。各单位对供应商在招标、开发、部署、测试、验收、运维等各个阶段都应加强安全管理要求。教育软件供应商应自我觉醒,意识到安全是企业的生命线,规范软件安全开发活动,加强安全漏洞管理和公告。教育行政管理部门和网信、公安部门也要加强对教育软件供应商的安全监管。
三是人员安全意识问题永不过时。在一轮轮攻防演习的磨炼下,各单位的网络攻击面逐渐缩小,老旧漏洞、易挖掘漏洞越来越少,针对人的攻击尝试会越来越多。这对人员的安全意识提出了更高的要求,需要定期组织内部钓鱼邮件演练,持续开展师生网络安全宣传教育。