HW期间，为防范钓鱼，即日起FreeBuf将取消投稿文章的一切外部链接。给您带来的不便，敬请谅解~

前言

上一篇《独生子女的“安全部”》对将近一年的建设工作做了介绍，又是一年演习时，本篇将以“演习前准备”为主题，对演习前准备工作思路做介绍，也算是经历多次演习的总结。

目录

0x01.个人观点

0x02.识别攻击路径

0x03.识别边界

0x04.边界安全能力评估

0x05.边界加固

0x01.个人观点

演习前的准备涉及到日常安全工作的方方面面，若安全建设成熟高，演习前的准备也就是扫扫门前雪，迎接新宾客般操作；若是安全建设成熟度不高，演习前的准备就犹如兵临城门下，兵荒马乱。我经历了后者的情况，个人的理解就是要慌中不乱，了解攻击方攻击思路，捋清攻击方可攻击路径，在攻击路径上堵截，避免被渗透入侵。这里的另外一个经验就是切忌在安全建设成熟度不高的情况下，全面铺开做准备，这样会顾此失彼，错失重点防护部位。下面会分识别攻击路径、识别边界、边界安全能力评估及边界加固作介绍。

0x02.识别攻击路径

结合往年演习的案例分析，排除近源攻击的手法，攻击方主要依托于互联网作为攻击发起点。因此，根据单位现状分析，以下是我梳理出来的主要攻击发起点：

一是互联网应用存在漏洞、弱口令；

二是VPN存在漏洞或弱口令；

三是钓鱼邮件；

透过上述三个攻击发起点，突破进入内网，建立内网据点和隐蔽通道，进一步在内网横向移动获取靶标系统控制权限。

0x03.识别边界

经过梳理和总结发现，攻击方攻击的起点主要是单位的边界。由此，在安全建设成熟度不高的情况下，对单位的互联网边界做重点加固，能有效堵截攻击方的攻击。实践中，我总结了单位互联网边界有如下：

1.单位的互联网出入口

2.互联网应用，包括业务应用、VPN、邮箱、小程序、app等

3.人和办公终端

0x04.边界安全能力评估

边界范围还是比较大，资源有限的情况下，我思考的问题是如何做重点部位加固？我采用的方法对边界开展安全能力评估，识别脆弱部位，推动重点加固。

a.互联网出入口方面。

一是评估互联网出入口是否统一；

二是评估出入口安全设备部署情况，比如入口是否部署了防火墙、WAF、邮件网关、入侵检测等，出口是否部署了防护墙、入侵检测等；

三是评估安全设备的配置情况，一方面梳理入口的防火墙策略有没有对外开通22、3389、3306等敏感端口和出口有没有违规映射一些内网终端在互联网上方便运维等。这里除了梳理策略，也采用了nmap、goby等工具对收集的互联网ip进行检查，避免梳理的遗漏；另外一方面是安全防护策略是否已经更新到最新的规则库，防护策略是否已经覆盖到所有配置的策略上等。

b.互联网应用方面。

一是评估互联网业务系统数量，建立资产清单，梳理是否有老旧、废弃的系统没有清理下线。这里主要用到subDomainsBrute、Teemo、Sublist3r等开源脚本工具对收集到的一级域名进行子域名爆破，收集开放互联网的资产；

二是评估系统架构部署的安全性，比如系统有没有采用前端、应用端、数据库端分区域部署且执行严格访问控制，数据库系统是否部署在DMZ区域，系统具有高危漏洞且无法修复，是否直接暴露在互联网等；

三是综合运用漏洞扫描、渗透测试、互联网资产敏感路径检查的方式对业务系统的安全性进行评估。漏洞扫描方面，不追求全面，主要对Weblogic、apache tomcat、Strute2、fastjson、shiro、windows等远程命令执行漏洞、反序列化、文件上传等漏洞进行重点测试发现；渗透测试发面，重点要求测试人员以攻击方视角对系统进行渗透，比如：应用漏洞挖掘、app反编译分析等；互联网资产敏感路径检查方面，主要采用了类似Breacher、webdirdig、DirBrute开源脚本工具检查管理后台等敏感路径是否暴露在互联网。

这部分的评估我重点关注远程执行命令、权限提升、越权、SSRF、绕过、敏感路径暴露等可直接造成获取权限和数据的漏洞，其他一些漏洞建议先放一放，不是不重要，而是攻击队找到了没法进一步利用获取靶标。

四是评估系统安全功能，比如系统是否具备双因素认证、账号登录限制、错误限制、密码复杂性要求等措施。

c.人和办公终端方面。

一是评估防病毒软件是否覆盖所有终端且病毒库是否为最新版本；

二是评估终端补丁修复情况，是否存在MS17-010、CVE-2019-0708等可利用提权或获取控制权限的漏洞存在。

三是透过钓鱼邮件测试，评估单位人员对钓鱼邮件的识别和处置能力。

0x04.边界加固

经过上述评估后，在边界加固方面，主要开展了下面几项工作：

a.收敛攻击面

一是清理下线老旧、废弃的系统；关闭所有暴露在互联网上的管理后台及其他敏感路径；关闭开放在互联网访问敏感端口。

二是做好互联网资产的漏洞修复。

三是调整系统部署架构，比如：将原来直接互联网访问的邮箱系统，调整为经VPN登录之后才允许访问。

四是调整安全设备策略或应用安全功能配置，一方面是互联网访问或映射的策略，均需配置入侵检测策略和防病毒策略；另一方面是VPN登录启用双因素认证及应用系统登录必须启用登录次数限制、锁定时长和密码必须满足复杂度要求等。

b.加强终端防护

一是加强互联网出口防护能力，优化访问控制策略，升级入侵检测特征库为最新版本。

二是终端安装防病毒软件，确保防病毒软件覆盖全部终端及病毒特征库升级为最新版本。

三是更新终端补丁为最新版本，确保高危漏洞的修复。

c.人员安全意识培训

开展防范钓鱼邮件意识专项培训且进行测验。

总结：

1.独生子女扛起演习防守的大旗，实属不易，从评估到推动整改，尽尝酸甜苦辣。

2.如果面面俱到准备，时间不允许，资源不允许，这时候善分析、抓重点，才能有事半功倍的成效。当然，祈祷也是必要的。