护网HW安全

名词解释:

HW是以攻防实战为手段来提升重保和关键信息基础设施单位的安全建设和运维能力。

互联网飞速发展与数字化赋能带来社会转型发展的同时，网络攻击也趋于多样化，黑灰产日益猖獗。在日益复杂严峻的网络安全态势大背景下，每年各级部门组织开展攻防演练专项行动，发挥了积极作用。

但是，在实践过程中，我们也发现了不少漏洞和问题，反映出演练的不足，经常发现的大量安全问题包括:短信炸弹漏洞、短信伪造漏洞、越权漏洞、官网存在SQL注入、VPN系统存在任意文件读取、弱口令大量存在、邮箱系统存在信息泄露、反序列号漏洞、任意文件上传漏洞等。

基于护网的实践经验，我们对防守方提出以下建议：

1.边界部署防御设备

目前各企业均已部署了各类WAF、流量检测设备以及防火墙等安全防护设备，所以算是老生常谈，不做过多解释。

2.终端检测和防御

①安全软件主控端的安全加固

目前国内企业对于终端防御主要依赖安全软件，然而，安全软件并不安全，一定要对安全软件的主控端加强防护，国内某安全软件的推送功能对推送文件没有任何检验，可以直接推送恶意软件，使用这个功能可以直接打穿内网。之前也爆出过赛门铁克管理端远程代码执行之类的漏洞，一定要多加注意，不要因为安全软件自身导致内网被渗透。

②横向移动检测与阻止

这个目前安全软件能检测和阻止一部分，但是不全面，而且新的攻击方法总在不停出现。总体而言需要重点关注危险端口的访问，采取关闭一切不必要端口的安全策略，实行最小权限，终端零信任访问。

横向移动就那几个主要的方法，目的无外乎获取高级权限的账户口令，因此一定要加强对账户口令的防护，消除弱口令等安全隐患。阻断外部远程接入，或终端入侵的路径，采用网络分段隔离技术，禁用终端上传下载文件传输，禁用终端剪贴板复制粘贴，敏感数据，核心代码，账号口令不落本地终端设备，浏览器，工具软件不自动保存账号口令。

③安全日志分析

这个前提是企业内部已经有SIEM或SOC系统，要重点分析一些红队所使用的横向移动技术会触发的安全日志或应用日志，另外还要关注敏感账户的登录和变更日志，敏感用户的任何异常行为都不要放过，定期修改账号口令，确保账号密码安全合规。

④进程白名单

这个需要对业务系统非常熟悉，才能确定业务服务器上的白名单程序列表，稍有不慎会导致业务系统不可用。

⑤双因素认证

双因素认证能够有效的防御密码暴力破解，同时就算员工的密码是弱口令或者被撞库成功，红队也无法成功登录，这能在很大程度上影响红队的进攻脚步。重要的业务系统、远程办公系统(vpn、远程桌面、OA等)、堡垒机、单点登录认证系统等都应该加上双因素认证。

但是通过双因素认证的B/S访问也是可以通过钓鱼网站方式，获取登录token，从而被绕行，因此，有必要将重要系统做安全加固，增加应用安全网关，将所有应用隐藏在网关内部，对外仅开放私有协议端口访问，业务系统做到“隐身”，可以有效地抵御红队的进攻。视频流与操作流隔离，阻断红队入侵的路径。异常IP登录，异常时间登录的日志第一时间上报SOC，进行甄别和阻断。

从HW最终结果分析，红队的攻击主要分两大类：

一类是大量攻击web服务得分的，发现漏洞，并渗透入侵，队伍成员有很强的web攻击能力，可以绕开大多数厂商的WAF防护策略攻击互联网的web服务。

另一类是精通内网渗透的，通过钓鱼，社工，发现终端漏洞，获取终端权限，以终端设备为跳板，进行隐蔽的横向移动，这样的攻击行为很难被流量检测或态势感知系统发现，蜜等系统也很难发现此类攻击行为。

要想从根本上提高安全防护能力，需要从终端零信任安全入手，阻断终端到数据中心内部的路径，实行最小权限，精细化授权管理，高危命令访问控制，限制横向移动，定期修改账号口令，账号口令安全合规，同时对业务系统进行单点安全建设，缩小攻击面，实现业务系统安全加固和“隐身”。

“防护前移，安全纵贯“

睿甲科技的HW安全解决方案通过促进用户终端安全、接入安全、访问控制安全、账号口令安全合规、数据安全等多方面提升，助力实现潜在风险的“早预防、早发现、早响应"，实现数据的“看得到，摸不着，拿不走”，为客户HW全阶段信息系统安全保驾护航。