護(hù)-網(wǎng)HW行動(dòng)，對(duì)攻擊方的專業(yè)要求越來越高，ATT&CK攻擊手段覆蓋率也越來越高，這對(duì)于防守方提出了更高的要求，HW行動(dòng)對(duì)甲方是一把雙刃劍，既推動(dòng)了公司對(duì)信息安全重視程度和投入力量，但對(duì)甲方人員的專業(yè)素質(zhì)有了很大提升要求。


一般大型金融企業(yè)、央企有很全面的安全防護(hù)和安全值守。大部分二級(jí)單位或者中型公司，內(nèi)部可能配備很多安全設(shè)備、大屏展示也很酷炫，但更應(yīng)該將產(chǎn)品和服務(wù)用好，比如資產(chǎn)梳理、防火墻、waf策略優(yōu)化。

一、護(hù)-網(wǎng)HW戰(zhàn)略與戰(zhàn)術(shù)

首先，在HW期間（其實(shí)平時(shí)也需要這樣），都是戰(zhàn)略上藐視敵人、戰(zhàn)術(shù)上重視敵人，敵暗我明，敵眾我寡，這個(gè)現(xiàn)實(shí)是擺在眼前的，而且我方是一定存在漏洞的，這個(gè)也是必然的，兵來將擋水來土掩的方式不再適用于現(xiàn)代化的網(wǎng)絡(luò)戰(zhàn)，基于這樣考慮，我們可以做如下假設(shè)：

?我方是一定存在漏洞的，攻方也一定存在破綻，高手對(duì)決就看誰先露出破綻；
?一次成功的攻擊，背后必定有10次以上的失敗攻擊；
?擁有0day類的核彈、能夠一發(fā)制敵的絕世高手是很少的；
?將敵人由暗轉(zhuǎn)明，只要發(fā)現(xiàn)敵人露出破綻，絕不戀戰(zhàn)，立即封堵ip，殲滅敵人有生力量；
?攻擊者都是有成本的，也都是檢軟柿子捏，打不過一定不會(huì)投入巨大的時(shí)間和人力成本，一定會(huì)換目標(biāo)攻擊。

以上假設(shè)同樣適用于實(shí)際黑客攻擊，尤其是勒索類、病毒木馬類，這類攻擊往往是廣撒網(wǎng)，弱者上鉤，因?yàn)樗麄儾辉诤豕舻氖巧缎袠I(yè)啥客戶，最終的目標(biāo)是經(jīng)濟(jì)利益。


基于這樣的考慮，我們要作出詳細(xì)的戰(zhàn)術(shù)規(guī)劃動(dòng)作：

?知己知彼，誰是我們的朋友，誰是我們的敵人，是HW的首要問題，朋友當(dāng)然指的就是安全設(shè)備、安全體系和安全人員，包括監(jiān)控、分析研判、應(yīng)急等，誰是我們的敵人，就是指我們要第一時(shí)間識(shí)別攻擊者并作出響應(yīng)。這個(gè)方面還要加一條，就是誰是我們要保護(hù)的目標(biāo)，如果我們連自己的資產(chǎn)都不清楚，就談不上保護(hù)，所以資產(chǎn)摸底，互聯(lián)網(wǎng)暴露面收窄，一定是我們要做的第一要?jiǎng)?wù)；互聯(lián)網(wǎng)暴露面大，戰(zhàn)線拉得過長，仗就不好打，這個(gè)道理都懂。

?避敵鋒芒、絕不戀戰(zhàn)，防守方往往要分兵四處防守，而攻擊方只需攻其一處，所以要在有限的時(shí)間和有限的空間內(nèi)反擊，該封堵ip絕不手軟，該下線系統(tǒng)絕不含糊。

?誘敵深入、攻其薄弱，讓攻方露出破綻，立馬出局。攻方不按套路出牌，防守方也不能夠規(guī)規(guī)矩矩作戰(zhàn)，蜜罐使用的好就是一個(gè)非常好用的場景（封IP甚至溯源）；能夠御敵于國門之外最好（決戰(zhàn)于境外），但大多數(shù)場景陣地戰(zhàn)是打不過的，邊界失守時(shí)有發(fā)生，這時(shí)候就靠縱深防御體系來拉鋸戰(zhàn)了。

?穩(wěn)扎穩(wěn)打，有效聯(lián)動(dòng)，快速響應(yīng)，讓自己的各種安全設(shè)備發(fā)揮出最大效能，敵我雙方都有漏洞的情況下，就比誰的的響應(yīng)快誰響應(yīng)快誰就贏。攻方發(fā)現(xiàn)漏洞之后，他們利用漏洞打通一個(gè)通往內(nèi)網(wǎng)的道路也需要時(shí)間，而且即使通向了內(nèi)網(wǎng)進(jìn)行游弋滲透，也一定會(huì)有露出破綻的時(shí)候，所以就需要比響應(yīng)，這個(gè)時(shí)候就要看安全監(jiān)控和值守來發(fā)揮作用。


上面說的可能還是比較虛，下面就詳細(xì)描述一些防御細(xì)節(jié)，首先當(dāng)然是HW設(shè)備套餐，哪些是最基本的，然后將設(shè)備策略優(yōu)化，發(fā)揮到極致，極致的關(guān)鍵就是封IP，而且是自動(dòng)化的封堵，最后就是通過監(jiān)控類策略，人工介入來彌補(bǔ)防御類設(shè)備的不足等等。

二、護(hù)-網(wǎng)HW設(shè)備部署

在HW前，企業(yè)應(yīng)根據(jù)自身?xiàng)l件出發(fā)選擇一個(gè)合適的HW套餐，基礎(chǔ)版包括：防火墻+WAF+蜜罐+威脅監(jiān)測(cè)系統(tǒng)（流量分析回溯或態(tài)勢(shì)感知類）+安全值守（一個(gè)人的信息安全部也得至少7*9小時(shí)值班），這個(gè)我認(rèn)為是所有企業(yè)必須上的；豪華版包括防火墻+WAF+蜜罐+威脅監(jiān)測(cè)系統(tǒng)（流量分析回溯或態(tài)勢(shì)感知類）+威脅情報(bào)+ 主機(jī)HIDS +安全服務(wù)（滲透測(cè)試、安全監(jiān)控組、分析組、處置組、報(bào)告總結(jié)組）等。各企業(yè)可以根據(jù)自己情況，針對(duì)性部署一些設(shè)備，這些設(shè)備和服務(wù)，不只是為了HW臨陣磨槍，而是真的是要常態(tài)化運(yùn)營。

很多企業(yè)設(shè)備部署倒是齊全，最終效果卻并不好，導(dǎo)致老板對(duì)信息安全的看法，會(huì)認(rèn)為信息安全團(tuán)隊(duì)能力不行；實(shí)際上，有了設(shè)備，還需要對(duì)應(yīng)的策略、配置和服務(wù)進(jìn)行運(yùn)營。


三、攔截策略優(yōu)化

對(duì)安全設(shè)備的策略優(yōu)化，是一個(gè)很細(xì)且長期的過程，一般安全設(shè)備商，他們的kpi是賣設(shè)備，讓設(shè)備去上線驗(yàn)收，而甲方的kpi是要防止信息安全事件的發(fā)生，所以這就是一個(gè)矛盾，除非特別有錢的甲方，常駐一個(gè)安全團(tuán)隊(duì)來進(jìn)行運(yùn)營，一般很多公司，都是靠甲方自己去做安全策略的優(yōu)化，下面我們分這幾個(gè)維度來分享一下幾個(gè)經(jīng)驗(yàn)技巧：

?攔截事件分類
?防火墻攔截策略
?Waf攔截策略
?流量監(jiān)控類策略

攔截事件分類這塊，我們一定要有這么三類：阻止會(huì)話、阻止會(huì)話并短暫封堵IP、阻止會(huì)話并長期封堵IP；防火墻是邊界全部防護(hù)，waf則是針對(duì)具體每個(gè)站點(diǎn)來設(shè)置策略，為了誤報(bào)，設(shè)備上線時(shí)候，乙方都推薦不會(huì)用封堵類策略，但是在實(shí)戰(zhàn)場景是一定要有封堵類的策略的，因?yàn)樵贖W中，紅方高手很多，而且可能有很多我們不知道的神兵利器，我們的設(shè)備有可能能夠防住他一招兩式，但是沒法保證說對(duì)方所有絕招能夠攔截，所以我們?cè)诓呗陨弦惨M(jìn)行封堵，發(fā)現(xiàn)敵人破綻就封堵ip立馬讓其下線，敵人要繼續(xù)攻擊就得換個(gè)ip來，這樣抬高了攻擊成本。

一定要自動(dòng)封ip，自動(dòng)封ip，自動(dòng)封ip，能永久封就永久封，重要的事情說三遍。

那么問題來了，如何封堵ip并不產(chǎn)生誤報(bào)了？封堵ip如果是靠人工一個(gè)一個(gè)判斷再操作也是不可取的，所以一定要進(jìn)行策略優(yōu)化，自動(dòng)進(jìn)行封堵操作。我們通過優(yōu)化，每天自動(dòng)化封堵1000個(gè)ip左右（永久封堵），而且基本上無誤報(bào)，如何自動(dòng)化封堵，我們將下一個(gè)文章詳細(xì)介紹。

3.1 防火墻攔截策略

首先在防火墻上，對(duì)來自于互聯(lián)網(wǎng)的以下端口攔截并永久封堵（或長期封堵ip）的策略。

445

端口	策略	封堵
445	攔截	永久封堵
3389	攔截	永久封堵
1433	攔截	永久封堵
6379	攔截	永久封堵
2181	攔截	永久封堵
11211	攔截	永久封堵
27017	攔截	永久封堵
50070	攔截	永久封堵
5900	攔截	永久封堵

以上為高危端口包括遠(yuǎn)程桌面、VNC、常見數(shù)據(jù)庫服務(wù)等端口，以上是攻方必攻之地，對(duì)于這樣的端口，一定要封而且要封堵來源IP。

對(duì)于數(shù)據(jù)中心外聯(lián)互聯(lián)網(wǎng)，一定要采取限制策略，禁止外聯(lián)互聯(lián)網(wǎng)，對(duì)于很多企業(yè)來說，由于歷史原因，可能直接放通了互聯(lián)網(wǎng)的對(duì)外訪問，那么就要仔細(xì)梳理，哪些是必要的訪問，要采用白名單方式。

服務(wù)器外訪，有個(gè)攻方常用的攻擊方式，就是dns回顯式注入，那么就將dnslog.cn等域名加入攔截和監(jiān)控。

3.2 WAF攔截策略

WAF在使用中最大的問題也就是誤報(bào)與漏報(bào),同時(shí)，waf繞過是紅方必然要求的一個(gè)技能，所以在實(shí)戰(zhàn)中，waf是必然會(huì)被繞過，但是不代表waf策略就不需要優(yōu)化，那么waf策略優(yōu)化可以有這么幾點(diǎn)：

3.2.1 user-agent防止掃描器

紅方在踩點(diǎn)過程中，必然要用掃描器，連接高危端口的掃描器方式在上面的防火墻策略已經(jīng)攔截，那么就開始用web應(yīng)用掃描器，常見的掃描器user-agent，策略都是永久封堵。


3.2.2 url參數(shù)中防止高危POC攻擊

很多高危漏洞一出來，針對(duì)該漏洞的poc掃描就非常多，針對(duì)這些poc的掃描攻擊，可以建立一個(gè)url列表來攔截，waf本身策略更新也有這方面的配置，可以攔截，但是由于waf策略本身是需要有通用性，他會(huì)將策略做的更嚴(yán)格，我們自定義策略可以更寬松，比如前段時(shí)間F5的遠(yuǎn)程代碼執(zhí)行漏洞爆發(fā) (CVE-2020-5902) ，那么我們已經(jīng)確定沒有使用F5，或者F5不會(huì)暴露在公網(wǎng)，那么我們可以將url關(guān)鍵字如下進(jìn)行攔截，發(fā)現(xiàn)即封堵。

/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp

常見的poc攻擊url特征清單如下，以下基本上發(fā)現(xiàn)為攻方必然掃描的url，當(dāng)然有一些需要根據(jù)企業(yè)情況分析，比如我們企業(yè)沒有使用php作為開發(fā)語言，那么大量php的漏洞可以直接攔截并封堵，基本上踩點(diǎn)掃描中，如上的地址都是跑不掉的。

/phpmyadmin
/wls-wsat/CoordinatorPortType
/_async/AsyncResponseService
/_async/AsyncResponseServiceSoap12
uddiexplorer/SearchPublicRegistries.jsp
/_async/
bea_wls_deployment_internal
NCFindWeb?service=IPrealertConfigService&filename
action=nc.ui.iufo.release.InfoReleaseAction&method=createBBSRelease&TreeSelectedID=&TableSelectedID=
/uapws/service
.svn/format
WEB-INF/web.xml
/cgi-bin/libagent.cgi
/config.php
fckeditor/editor/filemanager/connectors
/FCKeditor/editor/filemanager/connectors/asp/connector.asp
/FCKeditor/editor/filemanager/browser/default/browser.html
fckeditor/editor/filemanager/connectors/test.html
/secure/ContactAdministrators!default.jspa
/phpinfo.php
/ispirit/interface/gateway.php
/weaver/bsh.servlet.BshServlet
/console/
/wls-wsat
/solr/admin/cores?wt=json
/install.txt
/install.php
/plugins/weathermap/editor.php
/?q=node&destination=node
/hedwig.cgi
/device.rsp?cmd=list&opt=user
/node/?_format=hal_json
/_users/org.couchdb
/mailsms/s?dumpConfig=%2F&func=ADMIN%3AappState
mailsms/s?func=ADMIN:appState&dumpConfig=/
/plus/download.php
/druid/index.html
org.apache.dubbo
/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp

3.2.3http請(qǐng)求中高危特征值字段

還有一類poc，是通過http請(qǐng)求中包含惡意代碼來執(zhí)行的，比如struts2漏洞，比如fastjson漏洞，所以也需要對(duì)類似特征值進(jìn)行防范,比如我們用部分包含特征樣例如下：

part="com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource",part="java.lang.ProcessBuilder",part="command"
part="getRuntime",part="exec",part="java.lang.Runtime"
part="type=java.net.InetSocketAddress"
part="dataSourceName=rmi"
part="#ognlUtil=#container.getInstance(@com.opensymphony.xwork2"
part=".OgnlContext",part="DEFAULT_MEMBER_ACCESS"

3.2.4信息泄露類的掃描

對(duì)于部分掃描，在很多waf產(chǎn)品策略中，可能將其列為低危，或者僅僅攔截而不封堵。
那么我們應(yīng)該自定義一些信息泄露的url，直接攔截并封堵，樣例如下：

/configuration/config.php
/.bash_history
/.git/config
/.htpasswd
/admin.rar
/admin.sql
/backup.gz
/backup.rar
/backup.sh
/backup.sql
/backup.zip
/database.rar
/database.sql
/wwwroot.rar

以上策略都是攔截并封堵ip，這個(gè)在我們實(shí)戰(zhàn)中很有效，基本上能夠封堵大部分的掃描，如果能夠?qū)呙钄r截住，那么就將大部分的低層次的攻擊給攔截了。

3.3 流量監(jiān)控類策略

上面也說到了流量監(jiān)控設(shè)備如流量分析回溯、態(tài)勢(shì)感知、威脅檢測(cè)系統(tǒng)，基本上還是一個(gè)必需品，這些產(chǎn)品主要是流量鏡像方式，那么他們自帶了一些特征庫，可以監(jiān)測(cè)到經(jīng)過了安全設(shè)備之后還遺存的攻擊，所以上面的所有特征庫，依然適用于流量監(jiān)控設(shè)備，當(dāng)流量監(jiān)控設(shè)備上設(shè)置了如上告警特征，依然還存在，那么就要反過來查查防火墻和waf的配置，是不是策略沒配置對(duì)，還是說站點(diǎn)沒配置全等等。

3.3.1 Webshell監(jiān)控

Webshell監(jiān)控是一個(gè)很難的事情，尤其是冰蝎等這類加密而且快速升級(jí)，在流量層面監(jiān)控的確比較復(fù)雜且容易誤報(bào)，而且當(dāng)?shù)搅藈ebshell這個(gè)層面，說明敵人已經(jīng)深入腹地，那么只有主機(jī)安全和流量監(jiān)控系統(tǒng)是最后一道防線。

常見webshell上傳中特征值如下，可以在流量監(jiān)控中進(jìn)行告警。

<%execute request("
<%execute(request("
<%ExecuteGlobal request("
%><%Eval(Request(chr(
<%if(request.getParameter("
=@eval(base64_decode($_POST
class U extends ClassLoader{U(ClassLoader c
System.Text.Encoding.GetEncoding(936).GetString
com.sun.rowset.JdbcRowSetImpl
getClass().forName("java.lang.Runtime").getRuntime().exec
(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_me

當(dāng)我們的流量中出現(xiàn)如上特征的時(shí)候，那么就要小心可能就真的有webshell上傳在嘗試。

其實(shí)流量監(jiān)控和防火墻、waf要形成有益補(bǔ)充，防火墻和waf策略優(yōu)化的好，那么流量監(jiān)控設(shè)備中，告警數(shù)量是非常少的，這樣也方便安全監(jiān)控人員進(jìn)行值守，否則，一天幾千條幾萬條告警，是沒辦法從中找到真實(shí)的蛛絲馬跡的。通過流量監(jiān)控系統(tǒng)反過來優(yōu)化防火墻、waf策略，也是一個(gè)長期要做的事情。每當(dāng)流量監(jiān)控出現(xiàn)一個(gè)告警，而且告警來自于邊界的話，我們就要問問，這個(gè)告警真實(shí)嗎？為何邊界設(shè)備未能攔截？如何優(yōu)化？等等。

四、日志統(tǒng)一收集并自動(dòng)化處置

推薦使用日志收集系統(tǒng)來實(shí)現(xiàn)防火墻、waf、蜜罐等統(tǒng)一的日志收集和分析，并將攻擊ip進(jìn)行統(tǒng)一呈現(xiàn)，我們已經(jīng)使用了graylog來做這個(gè)事情，詳細(xì)可見我的另外一個(gè)文章《利用graylog收集各類安全設(shè)備日志實(shí)現(xiàn)大屏展示》，同時(shí)將攻擊ip統(tǒng)一呈現(xiàn)還有一個(gè)好處，可以實(shí)現(xiàn)自動(dòng)化的永久封堵，我們是通過腳本將攻擊ip入庫，然后腳本調(diào)用防火墻api，每5分鐘實(shí)施黑名單永久封堵。

這樣的好處是顯而易見的，攻擊者在沒有摸清你的家底之前，只有通過不斷的探測(cè)來摸底，但是探測(cè)過程中被你不斷的封堵ip，那么他就知道碰到行家了，按照攻擊隊(duì)找軟柿子捏的慣例，他們是不會(huì)再一個(gè)價(jià)值不高的目標(biāo)花費(fèi)太大的時(shí)間和精力，這個(gè)對(duì)于勒索、黑產(chǎn)團(tuán)隊(duì)也同樣適用，黑產(chǎn)團(tuán)隊(duì)也是廣撒網(wǎng)的方式來攻擊，比如攻擊是有成本的，只有當(dāng)安全達(dá)到一定基線，那么就能夠減少很多不應(yīng)該的信息安全事件。

如上事情優(yōu)化完成之后，就進(jìn)入了安全監(jiān)控、分析階段，這個(gè)時(shí)候需要專家值守，通過全量日志分析系統(tǒng)，提升安全分析效率，輸入第三方HW情報(bào)、自己的HW發(fā)現(xiàn)的問題，及時(shí)共享，聯(lián)動(dòng)處置。

以上為藍(lán)方HW期間經(jīng)驗(yàn)總結(jié)，其實(shí)不只是HW期間，作為常態(tài)化安全運(yùn)營，均需要上述的一些基本優(yōu)化動(dòng)作，做完上述動(dòng)作，基本上HW可以達(dá)到70%的不出事情，剩下的30%，一個(gè)是對(duì)手太強(qiáng)大，0day層出不窮，另外就是我們的應(yīng)用開發(fā)，包括弱口令、運(yùn)維漏洞、釣魚郵件等依然存在，有時(shí)候我們做了大量工作，一個(gè)弱口令，讓我們所有做的工作都?xì)w零。這些漏洞的解決，也不是一朝一夕，也是需要長期的過程。