学员分享|有惊无险!全国护网行动防守成功心得

近几年,随着大数据、物联网、云计算的飞速发展,网络攻击触手已经从企业逐渐伸向国家,国家关键信息基础设施建设也面临着无形威胁。

“为了防止羊被偷,我们得在羊被偷之前就开始识别风险、加固羊圈建设”,护网行动在这样的背景下逐步诞生。

某金融机构在今年攻防演练中,攻方派出“暗访人员”以设备网络维修升级为由,企图进入防守方网点设备间实施破坏,像极了电影的桥段。

知了堂学员张同学在9月参与了一场护网行动,在攻防演练中收获满满。

云南护网行动

所在乙方:深信服

服务甲方:云南某公司

第一天刚到昆明就去了客户公司进行一些工作上的安排,作为蓝方,深信服的大哥给我们介绍了深信服防火墙(AF)的操作过程:如何查看系统日志、操作日志、安全日志;如何将异常IP添加进黑名单,如何编写策略进行访问控制等。

防火墙的部署是在三个地方:公司内网与外部互联网进行数据流通的地方,公司内部数据中心,公司与国家局通信的链路。这三个地方的防火墙需要重点关注,关注的内容就是查看安全日志里面的报警高危的数据包有没有明显的攻击语句、sql注入、代码执行、双写绕过等等,如果有就需要将此IP添加进黑名单。

在现场紧盯防火墙之外,微信企业群里每隔一个小时下属单位会将他们封锁的ip和国家局封锁的IP以及深信服的威胁情报IP进行通报,这时也需要将这些危险IP进行封禁。

当然防护设备不仅仅是防火墙,我的工作除了紧盯防火墙之外,还需要看着安全感知平台(sip),sip是全部流量的集合点,上面有重要资产的名单,还会对内网的数据进行监控,如果有异常的内网攻击行为,sip可能会对某个终端或者服务器进行沦陷和高危的通报。

具体工作内容

接着就开始给我们分配任务,我们需要24小时值守,我和另一个哥们就作为深信服的值守人员,工作时间12小时每天,白班早上九点到晚上九点,夜班晚上九点到早上九点。夜班和白班的工作内容大致相同,但是夜班稍微轻松一点,今年的规则是除了早上9点到晚上9点之外的时间不允许进攻,所以晚上虽说也是上12个小时的班,但是实际上可以休息4-5个小时。(不过后面一周的兄弟有点惨,后面一周因为攻击队的成果不理想,所以将攻击时间调整为24小时,这样他就得夜班也要盯着设备,不能被攻破了)。

我们的任务是两个防火墙(出口墙和数据中心的墙)、安全感知平台和蜜罐的查看。防火墙和安全感知平台前面说过了,这里就重点说一下蜜罐。蜜罐的原理就是防守方在访问的服务器外设置一个陷阱,攻击队在对服务器的端口进行漏洞扫描的时候就会先触发蜜罐,也就是掉入陷阱;如果攻击队没对自己发起进攻的计算机进行信息的伪装的话就会被防守方抓住把柄,获得攻击方的一些信息,从而发起反攻。

不过我们不是负责部署蜜罐(这个技术难度还是有点高,因为蜜罐还和内网有一定的关联,如果部署的不好的话,就有可能攻击方攻破蜜罐之后就能直接进行内网的攻击)。我们的任务就是盯着蜜罐,查看是否有高危的进攻IP,其次就是查看进攻的IP是否有设备的指纹信息,如果有,就可以找机会发起反攻。

在观察蜜罐的时候,还真发现了有攻击队的设备指纹,并且那个攻击队极其不严谨,让我们得到了很多的个人账号信息,这样就顺藤摸瓜得到了攻击队的设备信息,成功溯源,拿下一波分。

最后的有惊无险

就这样平静了很多很多天之后,当我们以为攻击队都放弃进攻我们的时候(我们防守确实滴水不漏),最后一天还是出了状况。

最后一天也就是9.24号下午两点半,我像往常一样查看sip,发现一个提示高危服务器,仔细一看,发现他在对旁边内网的另一台服务器发起端口扫描,进行目录爆破,这是明显的攻击行为,马上上报,立马就确认了这就是一台服务器被攻破,他们正在对内网进行攻击,根本来不及查明攻击队何时采用何方法攻入,我们马上断开外网,使得攻击方的数据无法出去,并且和国家局那边断开链接,这样使得攻击队无法通过我们下属单位直接对总部发起进攻。

最后处理完了再慢慢发现攻击队的蛛丝马迹,让人惊讶的是,攻击队的数据包并没有触发任何的防火墙防御机制(防御机制分为低危中为高危,一般认为中危和高危才算触发防御机制),但是这个攻击队的入侵,连防火墙的低危都没有触发(如果低危未触发,无法在安全日志里查看该数据包,只会在行为日志里看到连接纪录),所以我们都没在防火墙发现进攻的纪录!

那我们最后是如何真正找到攻击队的进攻方式的呢?是在后面去查看他们进攻的服务器(这个服务器是一个网页的页面),这个页面本身存在一个漏洞,也就是存在着绕过的方法,可以直接进入服务器执行远程命令。不过万幸的是,攻击队仅仅是登陆了这个网站的管理员权限,并没有得到实际的任何账号,因为那个网站虽然有后台,但是没有任何的用户数据在上面,因此攻击队没有得到任何信息。

工作的事情就说到这里,接下来讲讲吃喝玩乐。每次来昆明必吃过桥米线,永远没法忘记的味道,太好吃了,然后云南人有很好吃的饵块,烤饵块也是超级无敌好吃。除此之外呢,云南的云腿月饼,鲜花饼也是特产,统统吃过之后,还是云腿月饼和烤饵块以及过桥米线深得我心。


这次的护网行动就告一段落了,继续加油!

2020年,新冠疫情席卷全球,很多传统行业在此期间完成由线下到线上转型。网络及数字化赋能企业,未来企业在线上市场开拓及平台发展形势将越来越好,同时面对错综复杂的网络环境,企业亟需丰富自身应对网络攻击的经验与技能。

企业对网安人才的需求也日益增长,知了堂携手安全领域巨头联手打造强势网络安全课程,结合实战靶场,有效的提高攻防技术。除了专业课程的安排,知了堂还安排了CTF专项练习,学员可以在实验平台上进行日常的自我学习和训练,进行攻防技术实操训练。




本文禁止转载或摘编

-- --
  • 投诉或建议
评论