关于国家级实战攻防演习的一点技术总结 – 作者:riversecurity

针对关键信息基础设施的国家级实战攻防演习,关系到国计民生的关键信息基础设施单位、重要行业和产业的工业企业。自开展以来,便成为促进和推动国家关键信息基础设施安全防护工作的重点之一。

每年举行的国家级实战攻防演习,聚集了国内多支顶尖攻击团队,在攻击手段和强度上远远超过日常安全检查和攻防演练,防守方都面临着非常严峻的考验:

– 攻击方为了在规定时间内破解防护方严密的防守策略,必须使用更为高效、隐秘的攻击手段;

– 演习期间大量自动化工具、多源低频等高级攻击手段的使用给防守方带来很大的压力;

– 大量 0day 漏洞和利用工具的快速传播给防守方带来极大的挑战。

本次国家级实战攻防演习中,瑞数信息的动态防护系统为数十家国家关键基础设施用户提供安全防护,总体取得了良好的防护效果。以下是我们发现今年攻防演习所呈现出的几个趋势:

image.png由于今年待攻击目标数据巨大,攻击方需要提升攻击效率,在有限的时间内尽可能多地拿下目标,于是自动化攻击工具就成了不二选择。

根据瑞数动态防护系统的检测,本次演习中大量的安全漏洞扫描工具、攻击脚本、爆破工具、批量漏洞利用等工具被频繁使用。尤其是在演习开始的第一周内,工具类的扫描、嗅探、暴力破解、高级工具的请求占比超过80%,系统一旦被工具发现存在漏洞,攻击者接下来就会进行手工渗透。

image.png

image.png

本次演习期间曝出 Web 相关的 0day 漏洞达到6个,平均每周2个 0day ,漏洞涵盖了中间件、CMS、OA、邮箱、VPN等几乎所有日常工作相关的系统,给系统带来极大威胁。与此同时,由于传统安全设备需要更新规则和特征才可以防护 0day 漏洞,这就给防护带来了空窗期,很多失分单位或者被攻击方拿下的系统都是受困于 0day 漏洞防护不及时或者无法识别 0day 漏洞攻击。

瑞数动态防护技术可以防御各种工具的攻击行为的优势便在此时尤为凸显。0day 漏洞爆发后,攻击者为了快速利用 0day 漏洞和快速拿下更多客户,编写了许多 0day 漏洞探测脚本和利用工具批量运行,都被瑞数动态安全防护系统拦截。

通过对瑞数动态防护系统的拦截日志进行复盘分析,可以看到动态防护系统拦截到了大量的 0day 攻击,同时相比其他的 0day 攻击,本轮攻击还有以下几个特征:

1)工具快速传播

个漏洞公布之后,迅速在所有用户系统上被尝试,几乎所有漏洞利用会在1天之内就被广泛传播利用。

2)攻击时间早于漏洞公布时间

部分漏洞攻击在演习开始之前就已经被利用,也就是说在漏洞被正式披露之前,已经有组织提前获取漏洞详情,并进行了攻击测试。

image.png3)全家桶式打击

几乎在所有用户处,都发现了这批共6个 0day 漏洞攻击的身影,甚至还有很多其他的 Nday 攻击,因此企业稍有不慎就会被黑。

image.png
image.png

本次演习期间,防守方非常谨慎,对于稍微有些蛛丝马迹的异常IP就直接进行边界封堵,因此传统的高频攻击很容易被发现。作为应对,攻击方便采用了多源低频的攻击方式进行绕过。

通过瑞数动态防护系统的指纹追踪和协同攻击分析模块,发现大量的多源低频攻击被使用的,例如某攻击者使用IP达6386个,请求量达578,806次,平均每个IP仅请求90次:

image.png

本次演习行动中,瑞数信息作为用户安全防护体系的最后一道防线,为用户提供动态安全防护,避免演习期间用户系统被入侵。

未来,随着网络安全形势的严峻发展,攻击者的攻击手段也会借助自动化工具、AI、大数据等新技术不断升级,此类针对关键信息基础设施的实战攻防演习会呈现出更加常态化的趋势。瑞数信息将一如既往地不断凭借企业的技术创新和技术实力,为用户提供涵盖预防、检测、响应、回溯的智能联动式动态安全防护,全力助力企业高效应对安全威胁!

来源:freebuf.com 2019-07-11 16:46:18 by: riversecurity

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论