360集团实网攻防演习圆满成功,真实还原网络攻防“第一战场”!

百家 作者:360安全应急响应中心 2021-03-25 17:37:24

近年来,人工智能、大数据、云计算、物联网等数字技术加速落地应用,网络安全环境也开始变得日趋复杂。每天发生的泄露、攻击事件屡屡见诸报端,全球各大知名公司纷纷上榜。黑客攻击手段日益精进、花样多变是不可否认的现实。

 



近日,一场由中国信息协会信息安全专业委员会指导,360集团主办的网络安全演习行动圆满落下帷幕——360信息安全部在真实的红蓝对抗网络环境下,结合多年来的实网攻防演练经验,以及一套较为成熟的应急响应流程、处置流程、溯源流程等,深入挖掘信息系统可能存在的安全风险,全面检验企业网络安全防御体系的有效性、企业安全人员应急响应、处置流程及协作能力,增强企业人员网络安全意识,完善网络安全保障体系


 


整个防守团队包括360集团信息安全部的全体成员和政企安全服务团队、政企产线安全运营团队。360集团安全运营中心内部分工本身是基于专业领域的专家模式,在本次攻防演习期间将团队成员重新组织按照职能进行分工,整个防守队分成三个组,安全监控组,应急处置组,安全分析组,为了更加高效的进行监测和响应,监控组分成了一线监控组和监控研判组应急处置组会联动360技术中台大团队协同防御,针对复杂的基础架构平台进行快速联动响应。



按照360的安全防御理念,绝对安全不被攻破是不存在的,最重要的是威胁检测和处置的响应时间直接决定延缓攻击队进攻节奏和对抗的有效性,即使突破仍然能够有效止损。


完整回顾整场实战攻防演习,攻守双方还原了酣畅淋漓的动态博弈和战场硝烟:

 

第一轮大规模钓鱼攻击开始攻击方进行前期信息收集,通过社工的手段,拿到安全意识薄弱的员工的权限,登录员工邮箱,制作钓鱼邮件,多个部门被攻击。防守方则施展了超强硬及严密的应对措施,面对攻击队大规模的钓鱼攻击战术,防守方立即从各组抽调几人组成钓鱼处置小组并制定快速响应处置流程,发送全员邮件灌输提高员工安全意识。监控组结合员工反馈和EPP、EDR终端安全产品,快速定位被攻击用户并提取样本;应急响应组基于自动化编排流程,快速提取样本特征,处理中招用户,自动化阻断威胁来源,排查潜在威胁;分析组进行高效安全分析,样本同源归类,溯源追踪,追查攻击者信息。一天下来,防守成果显著,虽然有不少员工点击了钓鱼文档,但面对防守方快速响应,攻击队始终未能拿下有效可利用的用户节点实现进一步攻击。



大规模攻击考验的是防守队员的细心程度以及应急处置的效率和自动化水平,任何一个短暂的撕开的口子都有可能是深入横向的跳板。防守方需要细心的盯紧每一个高危告警并记录失陷的每一个终端的处置情况,做到完全不能出错。


 

攻击方第二轮采取三个策略进行全方位攻击,一是鱼叉攻击获取目标人物权限二是行敏感信息收集,并尝试内网域横向攻击三是找到相关敏感文件下载到本地。防守方相对应地布置了详尽的应急处置预案,在防守边界提前预设了众多蜜罐来诱导攻击者延缓攻击者的进攻并加以溯源。通过部署在邮件系统后端的检测平台,成功地发现了钓鱼邮件,第一时间做好了处置及阻断。


第二天攻击方采用了非常规的攻击手段,完全超出防守方预先设想的攻击路径。一方面伪装客户咨询使用IoT攻击拿下智能门禁云端管理后台,幸运的是在给门禁下发控制指令时不小心触发了门禁故障。防守方在收到员工反馈后第一时间完成了门禁的修复,却没想到攻击方趁着混乱悄悄突破了公司的物理边界。另一方面结合近源攻击已经拿到的目标信息、员工账号凭证,以及登陆堡垒机的手机令牌,攻击方已经获得突破内网核心目标区域的凭证,准备着最后一天的致命一击。


0day漏洞是实战中的大杀器,攻击队同步通过代码审计挖掘到到核心目标系统一个校验不严的0Day漏洞,可绕过登录直接打入目标。攻击方基于第二天获得的凭证,在第三天物理接入内网重新建立核心区域立足点登陆堡垒机,利用该0day漏洞直接打入目标后台虽然在攻击目标的瞬间我们很难感知和捕捉到,但是通过本地安全大脑对日志的关联分析及时地发现攻击者利用的账号的登录异常,有效地拦截了攻击队进一步的攻击行动。



防守方严密的分析研判能力临危不乱的应急响应和危机处置作战能力,构筑起安全的“铜墙铁壁”。防守方以更高的格局、更广的视角、更快的响应,在审视网安全貌的同时,尝试将自身角色转变为对手,以攻方思维视角查验攻击链路可行性,提前构建有针对性的防护措施,最大限度避免安全事故的发生。


本次360实战攻防演习行动总指挥高瀚昭表示:整个网络安全时代发生了一个巨大的变化。我们接下来也希望代表网络安全的国家力量,能够在未来的攻防、在实战中,为我们国家做出自己的使命和贡献我们自己的能力。

 

网络安全讲百遍不如打一遍,实战攻防演练成为检验网络安全综合防御水平的“试金石”。

这是一场真刀实枪的攻防演习战斗,并以纪录片形式完整展现给社会,帮助国家、城市、企业日后开展实战化、持续化、常态化的实网攻防演练,推动自身安全能力不断进化,建立国家级网络安全协同防御新体系。

 

3月22日,360集团大型《实战攻防演习》纪录片在ISC平台正式上线,请点击下方链接或阅读原文,观看完整版视频!

https://isc.360.com/2021/events/huwang.html

实战攻防演练解读(上)

https://isc.360.com/2020/detail.html?vid=1322&id=165

实战攻防演练解读(下)

https://isc.360.com/2020/detail.html?vid=1323&id=165


关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接