攻防演練竟成“翻車現(xiàn)場”，是哪個(gè)環(huán)節(jié)沒盯��？

某個(gè)平靜的早晨,朋友老張正在單位忙于日常會議,卻未曾料到,開會也能開出問題。那一天,一個(gè)看似微不足道的小疏忽,竟悄然引發(fā)一場危機(jī)。

老張所在的單位屬于金融行業(yè),平時(shí)他們已經(jīng)建立了嚴(yán)密的暴露面管理制度,并且在演練期間部分應(yīng)用僅在使用時(shí)才會開啟。然而,在這一次演練中,某應(yīng)用端口僅短暫開啟了半個(gè)小時(shí),卻給攻擊者提供了可乘之機(jī)。

演練中攻擊隊(duì)的信息優(yōu)勢

一線攻擊隊(duì)在平時(shí)和演練中都會針對靶標(biāo)單位開展常態(tài)化的資產(chǎn)和指紋測繪,時(shí)刻在構(gòu)建一張完整的互聯(lián)網(wǎng)資產(chǎn)圖譜。歷史上開放過的系統(tǒng),都會記入臺賬,在演練期間利用自動化掃描工具定向開展持續(xù)的存活判斷。這種對網(wǎng)絡(luò)資產(chǎn)的測繪在演練期間是十分精細(xì)且持續(xù)的,即使是短時(shí)間暴露某個(gè)端口,也會為攻擊隊(duì)提供偵查窗口。一旦發(fā)現(xiàn)有存活系統(tǒng)存在漏洞,攻擊隊(duì)就會即刻發(fā)起測試,迅速捕捉到初始攻擊入口跳板,并開始構(gòu)建橫向移動的攻擊鏈。

除此之外,隨著對各項(xiàng)規(guī)則解讀與理解的不斷深入,攻擊隊(duì)在演練場景中對目標(biāo)單位網(wǎng)絡(luò)資產(chǎn)的梳理已不僅局限于靶標(biāo)主體單位本身,而是擴(kuò)展至基于其股權(quán)結(jié)構(gòu)和公開信息分析后符合計(jì)分標(biāo)準(zhǔn)的相關(guān)網(wǎng)絡(luò)資產(chǎn)。這就是為什么明明已經(jīng)做了暴露面管理,卻仍然會失分的原因之一。普通暴露面管理的視角和演練中攻擊隊(duì)的視角存在著信息差。

攻擊隊(duì)在掌握了完整的資產(chǎn)圖譜后,憑借對資產(chǎn)指紋的精細(xì)化測繪,可以快速定位到存在0day漏洞的資產(chǎn),以及目標(biāo)單位泄露的各類憑據(jù),這些憑據(jù)既包括目標(biāo)單位直接外泄的身份登錄憑據(jù),也可能涉及通過代碼泄露而獲得的云平臺等API密鑰(AK/SK)。借助這些手段,攻擊者獲得了與防守方完全不對等的信息優(yōu)勢,從而對防守方防御系統(tǒng)實(shí)施降維打擊,而防守方對關(guān)鍵信息掌控的不足,則在演練中顯得極其致命。

綠盟攻擊行為預(yù)測服務(wù)

綠盟攻擊行為預(yù)測服務(wù)是一款針對演練場景以攻擊隊(duì)視角交付的專項(xiàng)服務(wù),服務(wù)通過對真實(shí)一線攻擊隊(duì)行為的凝練,7*24小時(shí)動態(tài)監(jiān)控客戶資產(chǎn)暴露面,并結(jié)合戰(zhàn)隊(duì)的攻擊經(jīng)驗(yàn)和武器庫,分析羅列在暴露面中被攻擊隊(duì)利用的可能性。服務(wù)深度還原真實(shí)攻擊者思維模式,可精準(zhǔn)預(yù)判由資產(chǎn)變更衍生的新型攻擊路徑,幫助客戶在攻防演練中構(gòu)建以攻擊者視角驅(qū)動的動態(tài)防御體系。

綠盟攻擊行為預(yù)測服務(wù)亮點(diǎn):

1、攻擊隊(duì)掌握的0day資產(chǎn)發(fā)現(xiàn);

2、攻擊隊(duì)掌握的代碼及憑據(jù)泄露信息;

3、攻擊隊(duì)視角演練規(guī)則下的關(guān)聯(lián)機(jī)構(gòu)和供應(yīng)鏈分析;

4、演練期間7*24小時(shí)持續(xù)提供攻擊隊(duì)級別指紋測繪和資產(chǎn)變動信息;

5、全自動實(shí)戰(zhàn)化漏洞POC驗(yàn)證告警;

6、本服務(wù)使用了攻擊隊(duì)在演練中所使用的一體化武器平臺;

7、涵蓋大模型、云原生環(huán)境等新基建攻擊面的風(fēng)險(xiǎn)發(fā)現(xiàn)。