一、利用情报收缩攻击面
1. 背景与目的
在网络攻防的博弈中,攻击者常常依赖于企业的安全疏漏来获取内网访问权限。主要途径包括:利用公开暴露的服务器端口和业务系统的未知漏洞(0day)或已知漏洞(Nday),以及通过社会工程学方法收集敏感信息,如员工个人信息、业务代码、域名、用户名及凭证等,并结合钓鱼邮件或代码审查等手段渗透内网。本技术战术(技战法)的核心目标在于运用外部威胁情报的监控能力及其关联分析,发现并减少企业在互联网上的可见性,特别是那些可能被攻击者利用的服务端口和泄露信息,从而指导安全团队采取措施收缩资产暴露面,并对已泄露的账号密码等进行加固处理。
2. 防守思路
针对上述威胁,企业应采取主动防御措施,利用威胁情报平台和工具,如被动DNS(pDNS)关联分析,发现并记录企业所有的IP地址和域名资产。通过查询威胁情报数据库,了解这些资产对外提供的服务端口和服务详情,包括关联的数字证书信息等。基于此,安全团队可以缩小对外暴露的服务范围,减少潜在的风险入口。此外,通过在公共搜索引擎、专业安全信息检索平台(如FOFA、ZoomEye)以及其他可能泄露信息的地方搜索企业特定标识(如公司名、域名),识别出可能已被泄露的敏感资料(如电子邮件、账户凭证)。同时,利用漏洞披露平台(如WooYun、CVE数据库)查找当前业务系统中存在的安全漏洞。综合以上情报,企业安全团队可对重点系统和账户实施加强监控和防护。
3. 攻防对抗过程
在正式开展网络安全防护演习之前,通常需要预留足够的时间(建议至少提前一至两周),以企业现有的IP地址和资产为基础,借助市场上的威胁情报查询服务或其他内部开发的威胁情报平台,进行全面的资产扫描与威胁情报关联分析。对于发现的非必需但公开在互联网上的服务端口或管理界面,应立即关闭;若因业务需求无法关闭,则需对其进行增强保护,并置于严密监控之下。通过这种方式,在演习期间,大多数易于被攻击者利用的安全缺口都将得到妥善处理,显著降低了被成功入侵的可能性。一旦演习过程中出现针对这些已知脆弱点的攻击行为,安全运维人员将能够迅速响应,及时触发警报,并采取相应的封堵与溯源措施。
自动化安全任务和提高安全防御能力这个接口来源api大全 搜索相关关键词可以搜索到这个接口,使用这个接口可以更好的帮助网安从业者提高效率等。
4、应用效果:
经过本次演习,大多数攻击队都是利用暴露的端口、后台或敏感数据进行攻击,毕竟拥有0Day的攻击队并不多。该技战法可以在演习前全面收缩攻击面,最大程度避免演习中被攻破的几率。
二、通过自动化分析脚本对海量共享情报IP进行封禁
1、背景与目的:
经过综合研究分析,演习中情报共享是蓝队防守人员对抗红队攻击者的一个有效的防护手段,蓝队普遍的防御手段也是通过封禁IP来达到安全的目的,但是共享情报的来源并不是准确的,存在大量的误封现象,导致访问异常,而海量IP封禁也对防护设备是一个考验。面对共享情报中的海量攻击IP,如何有效区分存在威胁的Ip是企业遇到的难题。该技战法是利用某些威胁情报网站对HVV演习IP验证与溯源研判,快速筛选准确演习IP和值得溯源的IP,帮助企业进行有效封禁和针对性溯源。
2、思路:
结合情报白名单、IP关联签名及相关属性,并通过调用情报网站API接口进行自动化查询,自动匹配出存在威胁的IP或者剔除白名单IP、IP等,生成一份高可信的演习攻击IP,企业可以直接将经过自动化处理的IP进行封禁。针对IP是否关联域名、域名是否具备手机号或邮箱等注册信息,进一步对IP进行溯源价值研判分析。
3、攻防对抗过程:
利用情报共享交换群组或者第三方威胁情报厂商快速获取共享情报IP,并导入自动化分析工具。自动化分析工具根据威胁情报网站获取IP相应标签,去除带有CDN、移动基站、等IP。并结合IP关联签名信息,生成筛选后的共享情报IP,进而联动防火墙进行封禁,避免大量误拦或者拦截策略条目过多,导致防火墙过载。针对筛选出的共享情报IP,在进一步关联情报信息,例如IP是否关联域名、域名是否具备注册信息,并结合外部溯源价值验证接口,综合判定溯源价值。企业根据高价值IP进一步获取溯源加分。
4、应用效果:
避免面对海量IP盲目封禁,导致误拦或防火墙过载的风险。演习中,人员有限,面对海量的共享情报IP无法进行一一识别,使用自动化脚本可以初步筛选后再导入,大大减少了IP误封数量,另外分析处置人员资源有限,面对每天上千僵尸网络的攻击,无法进行实时封禁,可通过态势感知或威胁感知设备API接口信息采集,实现自动化封禁,减少安全运维人员的工作压力,可以让更多的人力资源加入到分析溯源工作中去,从而实现溯源得分。
