攻防演练竟成“翻车现场”，是哪个环节没盯住？

某个平静的早晨,朋友老张正在单位忙于日常会议,却未曾料到,开会也能开出问题。那一天,一个看似微不足道的小疏忽,竟悄然引发一场危机。

老张所在的单位属于金融行业,平时他们已经建立了严密的暴露面管理制度,并且在演练期间部分应用仅在使用时才会开启。然而,在这一次演练中,某应用端口仅短暂开启了半个小时,却给攻击者提供了可乘之机。

演练中攻击队的信息优势

一线攻击队在平时和演练中都会针对靶标单位开展常态化的资产和指纹测绘,时刻在构建一张完整的互联网资产图谱。历史上开放过的系统,都会记入台账,在演练期间利用自动化扫描工具定向开展持续的存活判断。这种对网络资产的测绘在演练期间是十分精细且持续的,即使是短时间暴露某个端口,也会为攻击队提供侦查窗口。一旦发现有存活系统存在漏洞,攻击队就会即刻发起测试,迅速捕捉到初始攻击入口跳板,并开始构建横向移动的攻击链。

除此之外,随着对各项规则解读与理解的不断深入,攻击队在演练场景中对目标单位网络资产的梳理已不仅局限于靶标主体单位本身,而是扩展至基于其股权结构和公开信息分析后符合计分标准的相关网络资产。这就是为什么明明已经做了暴露面管理,却仍然会失分的原因之一。普通暴露面管理的视角和演练中攻击队的视角存在着信息差。

攻击队在掌握了完整的资产图谱后,凭借对资产指纹的精细化测绘,可以快速定位到存在0day漏洞的资产,以及目标单位泄露的各类凭据,这些凭据既包括目标单位直接外泄的身份登录凭据,也可能涉及通过代码泄露而获得的云平台等API密钥(AK/SK)。借助这些手段,攻击者获得了与防守方完全不对等的信息优势,从而对防守方防御系统实施降维打击,而防守方对关键信息掌控的不足,则在演练中显得极其致命。

绿盟攻击行为预测服务

绿盟攻击行为预测服务是一款针对演练场景以攻击队视角交付的专项服务,服务通过对真实一线攻击队行为的凝练,7*24小时动态监控客户资产暴露面,并结合战队的攻击经验和武器库,分析罗列在暴露面中被攻击队利用的可能性。服务深度还原真实攻击者思维模式,可精准预判由资产变更衍生的新型攻击路径,帮助客户在攻防演练中构建以攻击者视角驱动的动态防御体系。

绿盟攻击行为预测服务亮点:

1、攻击队掌握的0day资产发现;

2、攻击队掌握的代码及凭据泄露信息;

3、攻击队视角演练规则下的关联机构和供应链分析;

4、演练期间7*24小时持续提供攻击队级别指纹测绘和资产变动信息;

5、全自动实战化漏洞POC验证告警;

6、本服务使用了攻击队在演练中所使用的一体化武器平台;

7、涵盖大模型、云原生环境等新基建攻击面的风险发现。