EISS对外-攻防对抗场景下零信任最佳实践之路-持安.pdf

1、CHIANSEC攻防对抗场景下零信任最佳实践之路联系持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技攻防对抗演进史01联系持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技关键信息基础设施运营者应“制定网络安全事件应急预案，并定期进行演练”。大型实战攻防演练活动，旨在通过演练活动检验企事业单位关键信息基础设施安全防护能力，提升运营者网络安全事件应急处置能力，完善应急处置流程和工作机制，提升网络安全运营综合能力水平。网络空间战已成为大国竞争主战场国际竞争形式愈演愈烈，中美贸易摩擦、俄乌军事冲突事件中，国家关键信息基础设施遭受高强度黑客

2、组织攻击；黑产链条成熟致使经济犯罪猖獗黑客技术及各类工具广泛传播，商业领域雇佣黑客对竞争对手进行恶意攻击，或黑客敲诈勒索已经成为常态；APT工具平民化泛攻击事件频发APT攻击以往为针对高价值目标的高成本低频次攻击，如今门槛大幅降低呈现泛滥趋势，中小规模安全事件频发；大型实战化攻防演练的背景联系持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技“网络安全的本质是对抗，对抗的本质是攻防两端能力的较量”。防守之困攻防双方不对等隔离易失效业务服务器特征无法穷尽业务服务器处置成本高厂商更新服务器难以溯源威胁IP：xx.xx.xx.xx联系持安科技持安科技持安科技持安科技持安

3、科技持安科技持安科技持安科技持安科技持安科技战技分析和防守挑战02联系持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技外网突破主要路径：n VPN设备漏洞：VPN等边界设备存在漏洞导致外网被突破。n 存在漏洞的办公业务系统暴露：办公OA、移动OA、CRM、老旧办公应用暴露。n 0day未知风险入侵：利用未公布的风险攻击业务，获取系统权限n 业务管理后台弱口令：利用社工等方式通过弱口令攻击系统，获取权限得分n 未知资产暴露且被攻击：未知资产暴露在公网，且被攻击者攻击利用。可信人员攻击者来自内/外网的请求，都可直接访问务系统互联网扫描，资产探测利用未知/已知漏洞入侵

4、业务内网主机渗透外网应用漏洞突破联系持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技办公网突破主要路径：n 口令盗用：社工或入侵方式盗取内网用户口令，口令可复用多个系统，获取权限得分n 钓鱼攻击：针对业务人员、运维、IT、人事、财务等人员发动的钓鱼攻击屡试不爽。n 内网重要集权系统入侵：利用钓鱼/内部渗透等行为获取内部AD、堡垒机、跳板机等核心集权系统，获得权限得分办公内网失陷联系持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技弱口令攻击主要路径：n 暴力破解系统：为了方便运营维护，企业内部系统经常会在一些高级别管理账号，这类账号

5、大多是研发或者运营人员为了方便留存n 老旧系统未知风险入侵：攻击者利用老旧系统存在的0day或已知风险入侵，并在里面建立隐蔽账号用于长期入侵内网n 盗取可信人员账号：在攻防演习期间，入侵者会利用各类方式盗取可信人员的账号伪装入侵系统弱口令攻击攻击者口令字典利用字典爆破系统的管理员口令0day武器可信人员口令盗取，登录系统后台，植入木马可信人员业务访问联系持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技持安科技常见防守难点原因弱口令/密码泄露员工安全意识培训是最困难的一个方面，因为业务人员没有计算机的概念，无法理解其中的利害关系，即使有相关制度的要求，业务因为效率和懒惰问

6、题导致账号密码设置简单，或者随意存放无法穷尽的0day漏洞研发开发业务系统时主要关注业务逻辑和功能的实现方式，很少会去过多考虑代码安全问题，虽然有代码规范要求限制，但是也只能覆盖一少部分，0day漏洞是无法避免的老旧资产、测试系统清理不及时企业信息化的建设内部难免会存在很多早期建设的业务系统，研发团队早已经不在或者无法维护，而这些系统又承载着企业的关键业务，及时有漏洞也无法修复，因此往往成为攻击者的入侵途径办公网钓鱼攻击很多企业认为做好了隔离而忽略了内网的防御，就很容易出现一旦有机器在公网暴露就会被轻松攻破。敏感信息泄漏严重企业数字化资产分散，数字资产未明确分类分级，缺乏相应的数据安全保密制度