红队眼中的防守弱点
作者:互联网
通过对政府、央企、银行、证券、民生、运营商、互联网等行业的红队实战工作,发现各行业安全防护具备如下特点。
一、 资产混乱、隔离策略不严格
除了大型银行之外,很多行业对自身资产情况比较混乱,没有严格的访问控制(ACL)策略,且办公网和互联网之间大部分相通,可以直接使远程控制程序上线。
除了大型银行与互联网行业外,其他很多行业在DMZ区和办公网之间不做或很少做隔离,网络区域划分也不严格,给了红队很多可乘之机。
此外,几乎所有行业的下级单位和上级单位的业务网都可以互通。而除了大型银行之外,其他很多行业的办公网也大部分完全相通,缺少必要的分区隔离。所以,红队往往可以轻易地实现实施从子公司入侵母公司,从一个部门入侵其他部门的策略。
二、 通用中间件未修复漏洞较多
通过中间件来看,Weblogic、Websphere、Tomcat、Apache、Nginx、IIS都有使用。Weblogic应用比较广泛,因存在反序列化漏洞,所以常常会被作为打点和内网渗透的突破点。所有行业基本上都有对外开放的邮件系统,可以针对邮件系统漏洞,譬如跨站漏洞、XXE漏洞等来针对性开展攻击,也可以通过钓鱼邮件和鱼叉邮件攻击来开展社工工作,均是比较好的突破点。
三、 边界设备成为进入内网的缺口
从边界设备来看,大部分行业都会搭建VPN设备,可以利用VPN设备的一些SQL注入、加账号、远程命令执行等漏洞开展攻击,亦可以采取钓鱼、爆破、弱口令等方式来取得账号权限,最终绕过外网打点环节,直接接入内网实施横向渗透。
四、 内网管理设备成扩大战果突破点
从内网系统和防护设备来看,大部分行业都有堡垒机、自动化运维、虚拟化、邮件系统和域环境,虽然这些是安全防护的集中管理设备,但往往由于缺乏定期的维护升级,反而都可以作为开展权限扩大的突破点。
五、 安全设备自身安全成为新的风险点
“锁”出问题了给防守工作带来极大挑战。每年攻防演习都会爆出某某安全设备自身存在某某漏洞利用、被控制,反映出安全设备厂商自身安全开发和检测能力没有做到位,而作为用户又缺乏必要的安全检测流程及工作的开展,给红队人员留下了“后门”,最终形成新的风险点。
标签:弱点,行业,漏洞,邮件系统,红队,防守,设备,突破点 来源: https://blog.csdn.net/weixin_43977912/article/details/116595413