《完美世界》txt全集,琅琊榜海宴小说,性爱有声小说在线收听

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

萬(wàn)字長(zhǎng)文：盤點(diǎn)2022全球十大數(shù)據(jù)泄漏事件（紅藍(lán)攻防角度）

?本文主要講解3個(gè)方面的內(nèi)容：

簡(jiǎn)單梳理2022年上半年全球最大的10起數(shù)據(jù)泄漏事件；
從紅藍(lán)攻防的角度去分析這些數(shù)據(jù)泄漏事件背后的原因；
從紅藍(lán)攻防的角度為企業(yè)如何保護(hù)好自己的數(shù)據(jù)給出幾點(diǎn)建議。

1.2022年全球10大數(shù)據(jù)泄漏事件

根據(jù)國(guó)內(nèi)知名媒體ZDNet的報(bào)道，今年全球發(fā)生了如下10起數(shù)據(jù)泄漏事件，根據(jù)數(shù)據(jù)泄漏規(guī)模和影響力倒序排列：

NO.10 美國(guó)德克薩斯州圣安東尼奧醫(yī)療中心

受影響的人數(shù)：124萬(wàn)

6月下旬，位于美國(guó)得克薩斯州圣安東尼奧的Baptist Medical Center醫(yī)療中心和德克薩斯州新布朗費(fèi)爾斯的Resolute Health Hospital附屬醫(yī)院發(fā)生了重大的數(shù)據(jù)泄漏事件，該事件是美國(guó)衛(wèi)生與公眾服務(wù)部最近追蹤到的、規(guī)模最大的數(shù)據(jù)泄漏事件之一，其中涉及到未經(jīng)授權(quán)訪問(wèn)高度敏感的患者數(shù)據(jù)。

NO.9 美國(guó)旗星銀行

受影響的人數(shù)：154萬(wàn)

今年6月，位于密歇根州特洛伊的美國(guó)星旗銀行稱在去年底發(fā)生了一次重大數(shù)據(jù)泄漏事件，客戶數(shù)據(jù)被泄漏，這是該銀行發(fā)生的第二次數(shù)據(jù)泄漏事件。

NO.8 美國(guó)得克薩斯州保險(xiǎn)部

受影響的人數(shù)：180萬(wàn)

今年3月，美國(guó)德克薩斯州保險(xiǎn)部的數(shù)據(jù)被泄漏，泄漏的敏感數(shù)據(jù)包括社保號(hào)碼、出生日期等個(gè)人信息。

NO.7 希爾茲醫(yī)療集團(tuán)

受影響的人數(shù)：200萬(wàn)

今年6月，總部位于美國(guó)馬薩諸塞州昆西的希爾茲醫(yī)療集團(tuán)（Shields Health Care Group）數(shù)據(jù)泄漏，可能影響數(shù)十個(gè)地區(qū)醫(yī)療機(jī)構(gòu)約200萬(wàn)人，包括姓名、社保號(hào)碼和保險(xiǎn)信息。

NO.6 Horizon Actuarial Services

受影響的人數(shù)：229萬(wàn)

Horizon Actuarial是一家為美國(guó)很多工會(huì)福利計(jì)劃提供技術(shù)和精算咨詢服務(wù)的公司，黑客攻陷了這家公司內(nèi)部的2臺(tái)服務(wù)器，用戶的姓名、出生日期、社保號(hào)碼和健康計(jì)劃信息遭泄漏，受影響的福利計(jì)劃包括美國(guó)職業(yè)棒球大聯(lián)盟球員福利計(jì)劃、全國(guó)冰球聯(lián)盟球員協(xié)會(huì)健康和福利基金、以及紐約時(shí)報(bào)福利協(xié)會(huì)。

NO.5 Lakeview Loan Servicing

受影響的人數(shù)：257萬(wàn)

位于美國(guó)佛羅里達(dá)州Coral Gables的Lakeview Loan Servicing的數(shù)百萬(wàn)客戶的高度敏感信息遭泄漏，在暗網(wǎng)掛牌銷售，該公司正面臨多起訴訟。

NO.4 Elephant Insurance Services

受影響的人數(shù)：276萬(wàn)

今年5月，總部位于美國(guó)弗吉尼亞州Henrico的Elephant Insurance ServicesDE 數(shù)百萬(wàn)客戶的保單信息被泄漏，包括姓名、駕照號(hào)碼和出生日期等信息。

NO.3 FlexBooker

受影響的人數(shù)：375萬(wàn)

今年1月，總部位于美國(guó)俄亥俄州哥倫布市的公司FlexBooker（企業(yè)網(wǎng)站嵌入在線預(yù)約工具提供商）的AWS服務(wù)器遭到入侵，用戶的信用卡數(shù)據(jù)等信息遭泄漏。

NO.2 Beetle Eye

受影響的人數(shù)：700萬(wàn)

美國(guó)的一家提供在線電子郵件營(yíng)銷工具的公司Beetle Eye發(fā)生重大數(shù)據(jù)泄漏，此次事件是由于AWS S3存儲(chǔ)桶未進(jìn)行任何加密且配置錯(cuò)誤造成的，該漏洞導(dǎo)致Amazon S3存儲(chǔ)桶處于打開(kāi)狀態(tài)，泄漏了大約700萬(wàn)人的敏感數(shù)據(jù)。

NO.1 Cash App Investing

受影響的人數(shù)：820萬(wàn)

今年4月，美國(guó)知名投資公司Cash App Investing的820萬(wàn)客戶數(shù)據(jù)被泄漏，由一名前員工下載了公司內(nèi)部的一份報(bào)告引起，泄漏的信息包含客戶的全名和經(jīng)紀(jì)帳號(hào)等信息。

其實(shí)，最近還有一起數(shù)據(jù)泄漏事件比上面這10起事件還要?jiǎng)疟?，即歐洲某國(guó)領(lǐng)導(dǎo)人與俄羅斯總統(tǒng)普京的通話內(nèi)容被泄漏，原因是該領(lǐng)導(dǎo)人使用的iPhone被植入了偵聽(tīng)軟件。

如果仔細(xì)分析和追查這些數(shù)據(jù)泄漏的背后原因，無(wú)外乎奇安信出版的暢銷書《紅藍(lán)攻防：構(gòu)建實(shí)戰(zhàn)化的網(wǎng)絡(luò)安全防御體系》中總結(jié)的10個(gè)原因。

2.導(dǎo)致數(shù)據(jù)泄漏的10種常見(jiàn)原因

NO.1 互聯(lián)網(wǎng)未知資產(chǎn)/服務(wù)大量存在

在攻防演練中，資產(chǎn)的控制權(quán)和所有權(quán)始終是攻防雙方的爭(zhēng)奪焦點(diǎn)?；ヂ?lián)網(wǎng)暴露面作為流量的入口，是攻擊方重要的攻擊對(duì)象。

資產(chǎn)不清是很多政企單位面臨的現(xiàn)狀。數(shù)字化轉(zhuǎn)型帶來(lái)的互聯(lián)網(wǎng)暴露面不斷擴(kuò)大，政企機(jī)構(gòu)資產(chǎn)范圍不斷外延。除了看得到的“冰面資產(chǎn)”之外，還有大量的冰面之下的資產(chǎn)，包括無(wú)主資產(chǎn)、灰色資產(chǎn)、僵尸資產(chǎn)等。

在實(shí)戰(zhàn)攻防演練中，一些單位存在“年久失修、無(wú)開(kāi)發(fā)維護(hù)保障”的老/舊/僵尸系統(tǒng)，因?yàn)榍謇聿患皶r(shí)，容易成為攻擊者的跳板，構(gòu)成嚴(yán)重的安全隱患。

NO.2 網(wǎng)絡(luò)及子網(wǎng)內(nèi)部安全域之間隔離措施不到位

網(wǎng)絡(luò)內(nèi)部的隔離措施是考驗(yàn)企業(yè)網(wǎng)絡(luò)安全防護(hù)能力的重要環(huán)節(jié)。由于很多機(jī)構(gòu)沒(méi)有嚴(yán)格的訪問(wèn)控制（ACL）策略，在DMZ和辦公網(wǎng)之間不做或很少有網(wǎng)絡(luò)隔離，辦公網(wǎng)和互聯(lián)網(wǎng)相通，網(wǎng)絡(luò)區(qū)域劃分不嚴(yán)格，可以直接使遠(yuǎn)程控制程序上線，令攻擊方可以很輕易地實(shí)現(xiàn)跨區(qū)攻擊。

大中型政企機(jī)構(gòu)還存在“一張網(wǎng)”的情況，習(xí)慣于使用單獨(dú)架設(shè)專用網(wǎng)絡(luò)，來(lái)打通各地區(qū)之間的內(nèi)部網(wǎng)絡(luò)連接，不同區(qū)域內(nèi)網(wǎng)間也缺乏必要的隔離管控措施，缺乏足夠有效的網(wǎng)絡(luò)訪問(wèn)控制。這就導(dǎo)致藍(lán)隊(duì)一旦突破了子公司或分公司的防線，便可以通過(guò)內(nèi)網(wǎng)進(jìn)行橫向滲透，直接攻擊到集團(tuán)總部，或是漫游整個(gè)企業(yè)內(nèi)網(wǎng)，進(jìn)而攻擊任意系統(tǒng)。

NO.3 互聯(lián)網(wǎng)應(yīng)用系統(tǒng)常規(guī)漏洞過(guò)多

在歷年的實(shí)戰(zhàn)攻防演練期間，已知應(yīng)用系統(tǒng)漏洞、中間件漏洞以及因配置問(wèn)題產(chǎn)生的常規(guī)漏洞，是攻擊方發(fā)現(xiàn)的明顯問(wèn)題和主要攻擊渠道。

通過(guò)中間件來(lái)看，Weblogic、Websphere、Tomcat、Apache、Nginx、IIS都有使用。

Weblogic應(yīng)用比較廣泛，因存在反序列化漏洞，所以常常會(huì)被作為打點(diǎn)和內(nèi)網(wǎng)滲透的突破點(diǎn)。所有行業(yè)基本上都有對(duì)外開(kāi)放的郵件系統(tǒng)，可以針對(duì)郵件系統(tǒng)漏洞，譬如跨站漏洞、CoreMail漏洞、XXE漏洞來(lái)針對(duì)性開(kāi)展攻擊，也可以通過(guò)釣魚郵件和魚叉郵件攻擊來(lái)開(kāi)展社工工作，均是比較好的突破點(diǎn)。

NO.4 互聯(lián)網(wǎng)敏感信息泄漏明顯

網(wǎng)絡(luò)拓?fù)?、用戶信息、登錄憑證等敏感信息在互聯(lián)網(wǎng)大量泄漏 , 成為攻擊方突破點(diǎn)。針對(duì)暗網(wǎng)的調(diào)查發(fā)現(xiàn)，與政企機(jī)構(gòu)網(wǎng)絡(luò)登錄憑證等相關(guān)信息的交易正在蓬勃發(fā)展。

2019 年第四季度，暗網(wǎng)市場(chǎng)網(wǎng)絡(luò)憑證數(shù)據(jù)的交易數(shù)量開(kāi)始有所上升，出售的數(shù)量就相當(dāng)于 2018 年全年的總和。2020 年第一季度，暗網(wǎng)市場(chǎng)銷售的網(wǎng)絡(luò)登錄的帖子數(shù)量比上一季度猛增了 69%。暗網(wǎng)出售的網(wǎng)絡(luò)登錄憑據(jù)涉及政府機(jī)構(gòu)、醫(yī)療機(jī)構(gòu)以及其他社會(huì)組織。

實(shí)際上，2020 年是有記錄以來(lái)數(shù)據(jù)泄漏最糟糕的一年。根據(jù)Canalys的最新報(bào)告“網(wǎng)絡(luò)安全的下一步”， 2020年短短12個(gè)月內(nèi)泄漏的記錄比過(guò)去15年的總和還多。大量互聯(lián)網(wǎng)敏感數(shù)據(jù)泄漏，為攻擊者進(jìn)入內(nèi)部網(wǎng)絡(luò)和開(kāi)展攻擊提供了便利。

NO.5 邊界設(shè)備成為進(jìn)入內(nèi)網(wǎng)的缺口

互聯(lián)網(wǎng)出口和應(yīng)用都是攻入內(nèi)部網(wǎng)絡(luò)的入口和途徑。目前政企機(jī)構(gòu)的接入防護(hù)措施良莠不齊，給藍(lán)隊(duì)創(chuàng)造了大量的機(jī)會(huì)。針對(duì) VPN 系統(tǒng)等開(kāi)放于互聯(lián)網(wǎng)邊界的設(shè)備或系統(tǒng)，為了避免影響到員工使用，很多政企機(jī)構(gòu)都沒(méi)有在其傳輸通道上增加更多的防護(hù)手段；再加上此類系統(tǒng)多會(huì)集成統(tǒng)一登錄，一旦獲得了某個(gè)員工的賬號(hào)密碼，藍(lán)隊(duì)可以通過(guò)這些系統(tǒng)突破邊界直接進(jìn)入內(nèi)部網(wǎng)絡(luò)中來(lái)。

此外，防火墻作為重要的網(wǎng)絡(luò)層訪問(wèn)控制設(shè)備，隨著網(wǎng)絡(luò)架構(gòu)與業(yè)務(wù)的增長(zhǎng)與變化，安全策略非常容易混亂，甚至一些政企機(jī)構(gòu)為了解決可用性問(wèn)題，出現(xiàn)了“any to any”的策略。防守單位很難在短時(shí)間內(nèi)梳理和配置幾十個(gè)應(yīng)用、上千個(gè)端口的精細(xì)化訪問(wèn)控制策略。缺乏訪問(wèn)控制策略的防火墻，就如同敞開(kāi)的大門，安全域邊界防護(hù)形同虛設(shè)。

NO.6 內(nèi)網(wǎng)管理設(shè)備成為擴(kuò)大戰(zhàn)果突破點(diǎn)

主機(jī)承載著政企機(jī)構(gòu)關(guān)鍵業(yè)務(wù)應(yīng)用，需重點(diǎn)關(guān)注、重點(diǎn)防護(hù)。但很多機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)的防御機(jī)制脆弱，在實(shí)戰(zhàn)攻防演練期間，經(jīng)常發(fā)現(xiàn)早已披露的陳年漏洞未修復(fù)，特別是內(nèi)部網(wǎng)絡(luò)主機(jī)、服務(wù)器以及相關(guān)應(yīng)用服務(wù)補(bǔ)丁修復(fù)不及時(shí)，成為藍(lán)隊(duì)利用的重要途徑，從而順利拿下內(nèi)部網(wǎng)絡(luò)服務(wù)器及數(shù)據(jù)庫(kù)權(quán)限。

集權(quán)類系統(tǒng)成為攻擊的主要目標(biāo)。在攻防演練過(guò)程中，云管理平臺(tái)、核心網(wǎng)絡(luò)設(shè)備、堡壘機(jī)、SOC 平臺(tái)、VPN 等集權(quán)系統(tǒng)，由于缺乏定期的維護(hù)升級(jí)，已經(jīng)成為擴(kuò)大權(quán)限的突破點(diǎn)。集權(quán)類系統(tǒng)一旦被突破，整個(gè)內(nèi)部的應(yīng)用和系統(tǒng)基本全部突破，可以實(shí)現(xiàn)以點(diǎn)打面，掌握對(duì)其所屬管轄范圍內(nèi)的所有主機(jī)控制權(quán)。

NO.7 安全設(shè)備自身安全成為新的風(fēng)險(xiǎn)點(diǎn)

安全設(shè)備作為政企機(jī)構(gòu)對(duì)抗攻擊者的重要工具，其安全性應(yīng)該相對(duì)較高。但實(shí)際上安全產(chǎn)品自身也無(wú)法避免 0Day 攻擊，安全設(shè)備自身安全成為新的風(fēng)險(xiǎn)點(diǎn)。每年攻防演練都會(huì)爆出某某安全設(shè)備自身存在某某漏洞被利用、被控制，反映出安全設(shè)備廠商自身安全開(kāi)發(fā)和檢測(cè)能力沒(méi)有做到位，給藍(lán)隊(duì)留下了“后門”，形成新的風(fēng)險(xiǎn)點(diǎn)。

2020 年實(shí)戰(zhàn)攻防演練中的一大特點(diǎn)是，安全產(chǎn)品的漏洞挖掘和利用現(xiàn)象非常普遍，多家企業(yè)的多款安全產(chǎn)品被挖掘出新漏洞（0day 漏洞）或存在高危漏洞。

歷年攻防實(shí)戰(zhàn)演練中，被發(fā)現(xiàn)和利用的各類安全產(chǎn)品 0Day 漏洞，主要涉及安全網(wǎng)關(guān)、身份與訪問(wèn)管理、安全管理、終端安全等類型安全產(chǎn)品。這些安全產(chǎn)品的漏洞一旦被利用，可以使藍(lán)隊(duì)突破網(wǎng)絡(luò)邊界，獲取控制權(quán)限進(jìn)入網(wǎng)絡(luò)；獲取用戶賬戶信息，并快速拿下相關(guān)設(shè)備和網(wǎng)絡(luò)的控制權(quán)限。

近兩三年，出現(xiàn)了多起VPN、堡壘機(jī)、終端管理等重要安全設(shè)備被藍(lán)隊(duì)利用重大漏洞突破的案例，這些安全設(shè)備被攻陷，直接造成網(wǎng)絡(luò)邊界防護(hù)失效、大量管理權(quán)限被控制。

NO.8 供應(yīng)鏈攻擊成為攻擊方的重要突破口

在攻防演練過(guò)程中，隨著防守方對(duì)攻擊行為的監(jiān)測(cè)、發(fā)現(xiàn)和溯源能力大幅增強(qiáng)，攻擊隊(duì)開(kāi)始更多地轉(zhuǎn)向供應(yīng)鏈攻擊等新型作戰(zhàn)策略。藍(lán)隊(duì)會(huì)從IT（設(shè)備及軟件）服務(wù)商、安全服務(wù)商、辦公及生產(chǎn)服務(wù)商等供應(yīng)鏈機(jī)構(gòu)入手，尋找軟件、設(shè)備及系統(tǒng)漏洞，發(fā)現(xiàn)人員及管理薄弱點(diǎn)并實(shí)施攻擊。

常見(jiàn)的系統(tǒng)突破口包括：郵件系統(tǒng)、OA系統(tǒng)、安全設(shè)備、社交軟件等；常見(jiàn)的突破方式包括軟件漏洞，管理員弱口令等。

由于攻擊對(duì)象范圍廣、攻擊方式隱蔽，供應(yīng)鏈攻成為攻擊方的重要突破口，給政企安全防護(hù)帶來(lái)了極大的挑戰(zhàn)。從奇安信在 2021 年承接的實(shí)戰(zhàn)攻防演練情況來(lái)看，由于供應(yīng)鏈管控弱，軟件外包、外部服務(wù)提供商等成為迂回攻擊的重要通道。

NO.9 員工安全意識(shí)淡薄是攻擊的突破口

利用人員安全意識(shí)不足或安全能力不足，實(shí)施社會(huì)工程學(xué)攻擊，通過(guò)釣魚郵件或社交平臺(tái)進(jìn)行誘騙，是攻擊方經(jīng)常使用的手法。

釣魚郵件是最經(jīng)常被使用的攻擊手法之一。即便是安全意識(shí)較強(qiáng)的 IT 人員或管理員，也很容易被誘騙點(diǎn)開(kāi)郵件中釣魚鏈接或木馬附件，進(jìn)而導(dǎo)致關(guān)鍵終端被控，甚至整個(gè)網(wǎng)絡(luò)淪陷。在歷年攻防演練過(guò)程中，攻擊隊(duì)通過(guò)郵件釣魚等方式攻擊 IT 運(yùn)維人員辦公用機(jī)并獲取數(shù)據(jù)及內(nèi)網(wǎng)權(quán)限的案例數(shù)不勝數(shù)。

NO.10 內(nèi)網(wǎng)安全檢測(cè)能力不足

攻防演練中, 攻擊方攻擊測(cè)試，對(duì)防守方的檢測(cè)能力要求更高。網(wǎng)絡(luò)安全監(jiān)控設(shè)備的部署、網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)的建設(shè)，是實(shí)現(xiàn)安全可視化、安全可控的基礎(chǔ)。部分企業(yè)采購(gòu)部署了相關(guān)工具，但是每秒上千條報(bào)警，很難從中甄別出實(shí)際攻擊事件。

此外，部分老舊的防護(hù)設(shè)備，策略配置混亂，安全防護(hù)依靠這些系統(tǒng)發(fā)揮中堅(jiān)力量，勢(shì)必力不從心。流量監(jiān)測(cè)及主機(jī)監(jiān)控工具缺失，僅依靠傳統(tǒng)防護(hù)設(shè)備的告警去判斷攻擊、甚至依靠人工去翻閱海量的日志，導(dǎo)致“巧婦難為無(wú)米之炊”。

更重要的是，精于內(nèi)部網(wǎng)絡(luò)隱蔽滲透的攻擊方，在內(nèi)部網(wǎng)絡(luò)進(jìn)行非常謹(jǐn)慎而隱蔽的橫向移動(dòng)，很難被流量監(jiān)測(cè)設(shè)備或態(tài)勢(shì)感知系統(tǒng)檢測(cè)。

3.保障數(shù)據(jù)不被泄漏的8個(gè)常用策略

企業(yè)內(nèi)部的數(shù)據(jù)泄漏，究其原因，總結(jié)起來(lái)大致就以上這10種。對(duì)于企業(yè)或機(jī)構(gòu)（紅隊(duì)：防守方）而言，如何做好防守以保證自己的數(shù)據(jù)不被泄漏呢，奇安信的這本《紅藍(lán)攻防》里也給出了8個(gè)常用策略。

NO.1 信息清理：互聯(lián)網(wǎng)敏感信息

攻擊隊(duì)會(huì)采用社工、工具等多種技術(shù)手段，對(duì)目標(biāo)單位可能暴露在互聯(lián)網(wǎng)上的敏感信息進(jìn)行搜集，為后期攻擊做充分準(zhǔn)備。

防守隊(duì)除了定期對(duì)全員進(jìn)行安全意識(shí)培訓(xùn)，不準(zhǔn)將帶有敏感信息的文件上傳至公共信息平臺(tái)外，針對(duì)漏網(wǎng)之魚還可以通過(guò)定期開(kāi)展敏感信息泄漏搜集服務(wù)，能夠及時(shí)發(fā)現(xiàn)在互聯(lián)網(wǎng)上已暴露的本單位敏感信息，提前采取應(yīng)對(duì)措施，降低本單位敏感信息暴露的風(fēng)險(xiǎn)，增加攻擊隊(duì)搜集敏感信息的時(shí)間成本，為后續(xù)攻擊抬高難度。

NO.2 收縮戰(zhàn)線：縮小攻擊暴露面

攻擊隊(duì)首先會(huì)通過(guò)各種渠道收集目標(biāo)單位的各種信息，收集的情報(bào)越詳細(xì)，攻擊則會(huì)越隱蔽，越快速。此外，攻擊隊(duì)往往不會(huì)正面攻擊防護(hù)較好的系統(tǒng)，而是找一些可能連防守者自己都不知道的薄弱環(huán)節(jié)下手。

這就要求防守者一定要充分了解自己暴露在互聯(lián)網(wǎng)的系統(tǒng)、端口、后臺(tái)管理系統(tǒng)、與外單位互聯(lián)的網(wǎng)絡(luò)路徑等信息。哪方面考慮不到位、哪方面往往就是被攻陷的點(diǎn)?；ヂ?lián)網(wǎng)暴露面越多，越容易被攻擊隊(duì)“聲東擊西”，最終導(dǎo)致防守者顧此失彼，眼看著被攻擊卻無(wú)能為力。結(jié)合多年的防守經(jīng)驗(yàn)，可從如下幾方面收斂互聯(lián)網(wǎng)暴露面。

攻擊路徑梳理
互聯(lián)網(wǎng)攻擊面收斂
外部接入網(wǎng)絡(luò)梳理
隱蔽入口梳理

NO.3 縱深防御：立體防滲透

收縮戰(zhàn)線工作完成后，針對(duì)實(shí)戰(zhàn)攻擊，防守隊(duì)?wèi)?yīng)對(duì)自身安全狀態(tài)開(kāi)展全面體檢，此時(shí)可結(jié)合戰(zhàn)爭(zhēng)中的縱深防御理論來(lái)審視當(dāng)前網(wǎng)絡(luò)安全防護(hù)能力。

從互聯(lián)網(wǎng)端防護(hù)、內(nèi)外部訪問(wèn)控制（安全域間甚至每臺(tái)機(jī)器之間）、主機(jī)層防護(hù)、供應(yīng)鏈安全甚至物理層近源攻擊的防護(hù)，都需要考慮進(jìn)去。通過(guò)層層防護(hù)，盡量拖慢攻擊隊(duì)擴(kuò)大戰(zhàn)果的時(shí)間，將損失降至最小。

資產(chǎn)動(dòng)態(tài)梳理
互聯(lián)網(wǎng)端防護(hù)
訪問(wèn)策略梳理
主機(jī)加固防護(hù)
供應(yīng)鏈安全

NO.4 守護(hù)核心：找到關(guān)鍵點(diǎn)

正式防守工作中，根據(jù)系統(tǒng)的重要性劃分出防守工作重點(diǎn)，找到關(guān)鍵點(diǎn)，集中力量進(jìn)行防守。

根據(jù)實(shí)戰(zhàn)攻防經(jīng)驗(yàn)，核心關(guān)鍵點(diǎn)一般包括：靶標(biāo)系統(tǒng)、集權(quán)類系統(tǒng)、具有重要數(shù)據(jù)的業(yè)務(wù)系統(tǒng)等，在防守前應(yīng)針對(duì)這些重點(diǎn)系統(tǒng)再次進(jìn)行梳理和整改，梳理得越細(xì)越好。必要情況下對(duì)這些系統(tǒng)進(jìn)行單獨(dú)的評(píng)估，充分檢驗(yàn)重點(diǎn)核心系統(tǒng)的安全性。同時(shí)在正式防守工作，對(duì)重點(diǎn)系統(tǒng)的流量、日志進(jìn)行實(shí)時(shí)監(jiān)控和分析。

靶標(biāo)系統(tǒng)
集權(quán)系統(tǒng)
重要業(yè)務(wù)系統(tǒng)

NO.5 協(xié)同作戰(zhàn)：體系化支撐

面對(duì)大規(guī)模有組織的攻擊時(shí)，攻擊手段會(huì)不斷快速變化升級(jí)，防守隊(duì)在現(xiàn)場(chǎng)人員能力無(wú)法應(yīng)對(duì)攻擊的情況下，還應(yīng)該借助后端技術(shù)資源，相互配合協(xié)同作戰(zhàn)，建立體系化支撐，才能有效應(yīng)對(duì)防守工作中面臨的各種挑戰(zhàn)。

產(chǎn)品應(yīng)急支撐
安全事件應(yīng)急支撐
情報(bào)支撐
樣本數(shù)據(jù)分析支撐
追蹤溯源支撐

NO.6 主動(dòng)防御：全方位監(jiān)控

近兩年的紅藍(lán)對(duì)抗，攻擊隊(duì)的手段越來(lái)越隱蔽，越來(lái)越單刀直入，通過(guò)0day、Nday直指系統(tǒng)漏洞，直接獲得系統(tǒng)控制權(quán)限。

紅隊(duì)需擁有完整的系統(tǒng)隔離手段，藍(lán)隊(duì)成功攻擊到內(nèi)網(wǎng)之后，會(huì)對(duì)內(nèi)網(wǎng)進(jìn)行橫向滲透。所以系統(tǒng)與系統(tǒng)之間的隔離，就顯得尤為重要。紅隊(duì)必須清楚哪些系統(tǒng)之間有關(guān)聯(lián)、訪問(wèn)控制措施是什么。在發(fā)生攻擊事件后，應(yīng)當(dāng)立即評(píng)估受害系統(tǒng)范圍和關(guān)聯(lián)的其他系統(tǒng)，并及時(shí)做出應(yīng)對(duì)的訪問(wèn)控制策略，防止內(nèi)部持續(xù)的橫向滲透。

任何攻擊都會(huì)留下痕跡。攻擊隊(duì)會(huì)盡量隱藏痕跡、防止被發(fā)現(xiàn)。而防守者恰好相反，需要盡早發(fā)現(xiàn)攻擊痕跡，并通過(guò)分析攻擊痕跡，調(diào)整防守策略、溯源攻擊路徑、甚至對(duì)可疑攻擊源進(jìn)行反制。建立全方位的安全監(jiān)控體系是防守者最有力的武器，總結(jié)多年實(shí)戰(zhàn)經(jīng)驗(yàn)，有效的安全監(jiān)控體系需在如下幾方面開(kāi)展：

自動(dòng)化的IP封禁
全流量網(wǎng)絡(luò)監(jiān)控
主機(jī)監(jiān)控
日志監(jiān)控
蜜罐誘捕
情報(bào)工作支撐

NO.7 應(yīng)急處突：完備的方案

通過(guò)近幾年的紅藍(lán)對(duì)抗發(fā)展來(lái)看，紅藍(lán)對(duì)抗初期，藍(lán)隊(duì)成員通過(guò)普通攻擊的方式，不使用0day或其他攻擊方式，就能輕松突破紅隊(duì)的防守陣地。

但是，隨著時(shí)間的推移，紅隊(duì)防護(hù)體系早已從只有防火墻做訪問(wèn)控制，發(fā)展到現(xiàn)在逐步完善了WAF、IPS、IDS、EDR等多種防護(hù)設(shè)備，使藍(lán)隊(duì)難以突破，從而逼迫藍(lán)隊(duì)成員通過(guò)使用0day、Nday、現(xiàn)場(chǎng)社工、釣魚等多種方式入侵紅隊(duì)目標(biāo)，呈無(wú)法預(yù)估的特點(diǎn)。

所以應(yīng)急處突是近兩年紅藍(lán)對(duì)抗中發(fā)展的趨勢(shì)，同時(shí)也是整個(gè)紅隊(duì)防守水平的體現(xiàn)之處，不僅考驗(yàn)應(yīng)急處置人員的技術(shù)能力，更檢驗(yàn)多部門（單位）協(xié)同能力，所以制定應(yīng)急預(yù)案應(yīng)當(dāng)從以下幾個(gè)方面進(jìn)行：

完善各級(jí)組織結(jié)構(gòu)，如監(jiān)測(cè)組、研判組、應(yīng)急處置組（網(wǎng)絡(luò)小組、系統(tǒng)運(yùn)維小組、應(yīng)用開(kāi)發(fā)小組、數(shù)據(jù)庫(kù)小組）、協(xié)調(diào)組等。
明確各方人員，在各個(gè)組內(nèi)擔(dān)任的職責(zé)，如監(jiān)測(cè)組的監(jiān)測(cè)人員，負(fù)責(zé)某臺(tái)設(shè)備的監(jiān)測(cè)，并且7×12小時(shí)不得離崗等。
明確各方設(shè)備的能力與作用，如防護(hù)類設(shè)備、流量類設(shè)備、主機(jī)檢測(cè)類設(shè)備等。
制定可能出現(xiàn)的攻擊成功場(chǎng)景，如Web攻擊成功場(chǎng)景、反序列化攻擊成功場(chǎng)景、Webshell上傳成功場(chǎng)景等。
明確突發(fā)事件的處置流程，將攻擊場(chǎng)景規(guī)劃至不同的處置流程：上機(jī)查證類處置流程、非上機(jī)查證類處置流程等。

NO.8 溯源反制：人才是關(guān)鍵

溯源工作一直是安全的重要組成部分，無(wú)論在平常的運(yùn)維工作，還是紅藍(lán)對(duì)抗的特殊時(shí)期，在發(fā)生安全事件后，能有效防止被再次入侵的有效手段，就是溯源工作。

在紅藍(lán)對(duì)抗的特殊時(shí)期，防守隊(duì)中一定要有經(jīng)驗(yàn)豐富、思路清晰的溯源人員，能夠第一時(shí)間進(jìn)行應(yīng)急響應(yīng)，按照應(yīng)急預(yù)案分工，快速理清入侵過(guò)程，并及時(shí)調(diào)整防護(hù)策略，防止再次入侵，同時(shí)也為反制人員提供溯源到的真實(shí)IP，進(jìn)行反制工作。

反制工作是紅隊(duì)反滲透能力的體現(xiàn)，普通的防守隊(duì)員一般也只具備監(jiān)測(cè)、分析、研判的能力，缺少反滲透的實(shí)力。這將使防守隊(duì)一直屬于被動(dòng)的一方，因?yàn)榧t隊(duì)沒(méi)有可反制的固定目標(biāo)，也很難從成千上萬(wàn)的攻擊IP里，確定哪些可能是攻擊隊(duì)的地址，這就要求紅隊(duì)中要有經(jīng)驗(yàn)豐富的反滲透的人員。

經(jīng)驗(yàn)豐富的反滲透人員會(huì)通過(guò)告警日志，分析攻擊IP、攻擊手法等內(nèi)容，對(duì)攻擊IP進(jìn)行端口掃描、IP反查域名、威脅情報(bào)等信息收集類工作，通過(guò)收集到的信息進(jìn)行反滲透。紅隊(duì)還可通過(guò)效仿藍(lán)隊(duì)社工手段，誘導(dǎo)藍(lán)隊(duì)進(jìn)入誘捕陷阱，從而達(dá)到反制的目的，定位藍(lán)隊(duì)自然人身份信息。

限于篇幅，以上8種防守策略的細(xì)節(jié)并沒(méi)有展開(kāi)，只給出了大致的思路，如果你想了解策略的具體內(nèi)容，可以閱讀《紅藍(lán)攻防》這本書。

道高一尺，魔高一丈，網(wǎng)絡(luò)攻防是沒(méi)有硝煙和終局的戰(zhàn)爭(zhēng)，要保障信息的安全，我們應(yīng)該時(shí)刻保持警惕，從策略、技術(shù)、人才等各方面做好準(zhǔn)備。

本文部分內(nèi)容摘編自《紅藍(lán)攻防：構(gòu)建實(shí)戰(zhàn)化網(wǎng)絡(luò)安全防御體系》（ISBN：978-7-111-70640-3），經(jīng)出版方授權(quán)發(fā)布。?

分享文章：萬(wàn)字長(zhǎng)文：盤點(diǎn)2022全球十大數(shù)據(jù)泄漏事件（紅藍(lán)攻防角度）
文章鏈接：http://m.fisionsoft.com.cn/article/coepeeg.html