“烤鸡翅膀,我最爱吃!”——不对,唱错了,我不是《大话西游》里的至尊宝,我是要参加今年攻防实战演练行动的红队成员,我应该唱的是“供应链OA,我的最爱!”
为啥会这么唱,因为每当靶机防护很严密的时候,转身去看看靶机供应链/分支机构里的OA,往往会有惊喜发现哦!
当“无所不能”的红队遇到阻碍时我们这样做
话说作为红队成员,这几年的攻防实战演练行动和蓝队频繁交手,双方的实战经验、专业技能都有着飞速的成长。
遥想当年,蓝队的靶机目标总会被红队频繁攻破。那时,许多蓝队单位的防护意识都非常薄弱,虽然也会部署一些网络安全产品,但由于专业安全运维人员的缺乏,所部署的网络安全产品往往无法发挥应有的作用,有时甚至就是一件“摆设”。这使得蓝队的安全防线破绽百出,攻击面几乎处处皆有。
然而,随着几届攻防实战演练行动下来,现在的蓝队与往昔明显不可同日而语,无论是行动开始前的准备,还是行动过程中越来越有板有眼的攻防对抗,都在变得更具专业性。特别是某些不惜重金投入的蓝队大户,防线部署的那叫一个严密。记得那是在2019年,我身为红队成员与红队的几位小伙伴们一起对某蓝队靶机轮番攻击4、5天,十八般兵器几乎用了个遍,可蓝队防线却一直巍然不动。我和小伙伴们N眼相对——“咋办”?本着“瞎猫碰死耗子”——锲而不舍的精神,我提议,“要不咱们去他们下面的单位溜达看看”?
我的“臭主意”——好建议果然起了作用,在目标的一个地市级的分支机构里,我们发现了不设防的OA系统、财务系统。由于该分支机构没有参加当年的攻防实战演练行动,所以该分支机构并没有对其系统进行严密的安全检查,更是除了防火墙外没有采取其他的安全防护措施。宾果!果然是“踏破铁鞋无觅处得来全不费工夫”。一番常规操作,轻松进入内网系统,横向移动先把分支机构溜达一番,继续逆向攻击,顺利从分支机构渗透进入蓝队靶机。“拍照留念”,啊,又说错了,是取证留档,任务完成!
安全防线孱弱的分支机构/供应链
为何分支机构/供应链总是安全问题频出?为何对分支机构/供应链的攻击总会轻松得手?这与网络空间里的信息化建设规律、网络安全建设规律息息相关。可以说,在当前时期内,分支机构/供应链安全防护孱弱是必然的现象,加上安全资源的短缺与不均衡等问题,更使得分支机构/供应链的安全建设工作不能一蹴而就的予以彻底解决。而这就意味着其中必然会有潜在攻击面的存在,红队只要细心挖掘,很大几率会获得意外的惊喜。
OA——最受红队欢迎的攻击目标
分支机构和供应链往往不会被纳入到攻防实战演练行动中,所以他们也不会对承载重要业务运行的OA、ERP等系统通过停机的方式来提升这些机构自身的整体安全性。另外,分支机构和供应链自身安全建设大多比较滞后,且非常缺乏专业的网络安全运维人员。所以,当红队直接围攻靶机无果后,必然会尝试从其分支机构和供应链下手,找寻间接渗透侵入渠道。对外攻击面暴露更多且在攻防实战演练行动期间也会正常运行的OA、ERP等业务系统,自然会成为红队的首选最佳攻击目标。而既往的实战也多次验证,分支机构和供应链的OA是最容易被突破的一类节点。
蓝队,今年你可以这样做
在今年的攻防实战演练行动中,分支机构和供应链必然还会成为红队攻击的焦点之一,其中的OA类应用系统更会成为红队攻击的重中之重。对于蓝队而言,在自身安全防护体系已经准备充足的情况下,可以考虑协助分支机构和供应链从如下角度增强其安全防御能力。
(1)协助分支机构和供应链对其OA等重点防护目标快速部署适合的安全防护产品,考虑到时间等因素,该过程最好能够远程、自动化完成。
(2)部署的安全产品要能够贴合OA等系统的安全特性,尽量实现紧耦合的安全防护。
(3)部署的安全产品必须要能够降低运维压力,甚至在某些情况下可以无需专业运维人员的介入。由此实现在增强分支机构和供应链安全防护能力的同时,还不给总部增添额外的安全资源消耗压力。
中云网安的AI Web Defender是以人工智能为核心驱动紧贴应用层的新型人工智能应用安全产品,AI Web Defender可以远程实现自动化部署,能够贴合OA为其生成专属安全防护模型,让分支机构/供应链的OA、ERP等业务应用系统可以享受最符合其安全特性的保护。而且,AI Web Defender从部署到运行都几乎无需专业安全运维人员的介入,可以在攻防实战演练行动期间极大节省安全资源消耗。
蓝队同学,今年的攻防实战演练行动即将拉开帷幕,请警惕红队攻击你的分支机构/供应链OA、ERP等业务应用系统。
来源:freebuf.com 2021-04-07 18:53:58 by: zyaiprotect
请登录后发表评论
注册