【2023安天攻防演練廟算記】回顧

?

【攻防演練廟算記一】五事具足

?

【攻防演練廟算記二】十處必救必守

?

【攻防演練廟算記三】情報(bào)先行

《孫子兵法·九地篇》中提到的“是故政舉之日，夷關(guān)折符，無(wú)通其使”。也就是說(shuō)，在決定戰(zhàn)爭(zhēng)方略的時(shí)候，就要封鎖關(guān)口，廢除通行符證，不充許敵方通過(guò)往來(lái)。

?

郵件系統(tǒng)作為內(nèi)外網(wǎng)間信息傳遞的重要渠道，擁有防守客戶(hù)單位重要的敏感數(shù)據(jù)。員工郵箱賬號(hào)作為經(jīng)常需要暴露的重要信息，就不可避免的容易被攻擊方獲取并進(jìn)行有針對(duì)性的社工攻擊，進(jìn)而成為攻擊方的內(nèi)網(wǎng)橋頭堡，因此在實(shí)戰(zhàn)攻防演練對(duì)抗場(chǎng)景中，防守方的郵件系統(tǒng)在一開(kāi)始就需要嚴(yán)防死守重點(diǎn)保障，杜絕一切攻擊方可利用為攻擊入口的機(jī)會(huì)。

?

本期為【2023安天攻防演練廟算記】第四章：郵件安全。

?

無(wú)論是常態(tài)的網(wǎng)絡(luò)攻擊，還是攻防演練對(duì)抗期間，攻擊方均將社工郵件作為重要的攻擊手法，挑戰(zhàn)著防守方的防御水平。郵件攻擊的形態(tài)也逐漸從單純的含惡意附件、鏈接等傳統(tǒng)社工攻擊手法的基礎(chǔ)上，逐漸迭代出了加密、混淆、二維碼、網(wǎng)盤(pán)等多種形態(tài)的攻擊手段。由于防守客戶(hù)單位郵件系統(tǒng)承載的數(shù)據(jù)價(jià)值遠(yuǎn)高于其公網(wǎng)暴露的數(shù)據(jù)，同時(shí)又部署在服務(wù)器之上，并且一般是面向互聯(lián)網(wǎng)開(kāi)放的，所以，在實(shí)戰(zhàn)攻防演練對(duì)抗場(chǎng)景中，防守方將面臨復(fù)雜多樣的攻擊，如郵件應(yīng)用漏洞、操作系統(tǒng)漏洞、弱口令暴力破解、泄露口令登錄等。

?

綜上所述，在實(shí)戰(zhàn)攻防演練活動(dòng)期間，強(qiáng)化郵件系統(tǒng)安全防護(hù)，實(shí)現(xiàn)郵件服務(wù)器安全防護(hù)、郵件信件監(jiān)測(cè)、郵件登錄監(jiān)測(cè)、郵件異常發(fā)現(xiàn)、郵件漏洞檢測(cè)、異常IP阻斷等能力，致使攻擊方無(wú)法將郵件作為攻擊入口，至關(guān)重要。

安天實(shí)戰(zhàn)攻防演練郵件安全防護(hù)服務(wù)，可以有效幫助防守客戶(hù)單位提升網(wǎng)絡(luò)防御能力，達(dá)成以下目標(biāo)：

?

在準(zhǔn)備階段：開(kāi)展開(kāi)源渠道賬戶(hù)收集，發(fā)現(xiàn)網(wǎng)內(nèi)重點(diǎn)被攻擊對(duì)象。

?

進(jìn)入對(duì)抗時(shí)：通過(guò)郵件安全防護(hù)服務(wù)，發(fā)現(xiàn)社工郵件、發(fā)現(xiàn)網(wǎng)絡(luò)入侵、處置已獲得橋頭堡、追溯攻擊方攻擊；通過(guò)部署的安全工具發(fā)現(xiàn)惡意郵件，安全專(zhuān)家深度分析樣本，形成分析報(bào)告，提供確鑿證據(jù)與詳細(xì)分析報(bào)告（包含發(fā)送時(shí)間、IP、詳細(xì)內(nèi)容、處置結(jié)果等），協(xié)助上報(bào)攻防演練指揮部，獲得加分；對(duì)于已發(fā)現(xiàn)成功入侵的系統(tǒng)，協(xié)助應(yīng)急處置，獲得處置得分；結(jié)合樣本IP，聯(lián)合安天威脅情報(bào)中心，溯源攻擊方，獲得溯源加分。

演練結(jié)束后：提供總結(jié)報(bào)告，協(xié)助完成總結(jié)工作。

01啟動(dòng)階段：設(shè)計(jì)方案，制定預(yù)案

安天將深入了解防守客戶(hù)單位業(yè)務(wù)系統(tǒng)，盡可能多的搜集被攻擊目標(biāo)信息，完成資產(chǎn)管理、配置管理、漏洞管理、身份管理等，做到知己知彼，直擊最脆弱的地方。

?

1.? 業(yè)務(wù)現(xiàn)狀：了解郵件系統(tǒng)部署方式、架構(gòu)、目標(biāo)用戶(hù)、規(guī)模，涉及到的關(guān)鍵技術(shù)等；

?

2.? 資產(chǎn)管理：梳理郵件系統(tǒng)承載的系統(tǒng)軟硬件信息，軟件及補(bǔ)丁更新升級(jí)情況；

?

3.? 配置管理：梳理郵件系統(tǒng)存在的管理員、用戶(hù)、資產(chǎn)配置信息；

?

4.? 漏洞管理：梳理郵件系統(tǒng)存在的安全漏洞，漏洞修補(bǔ)情況等；

?

5.? 身份管理：梳理互聯(lián)網(wǎng)公開(kāi)的郵件賬戶(hù)信息；

?

6.? 安全管理：梳理郵件系統(tǒng)安全策略：口令復(fù)雜度要求、口令更換周期、郵件加密策略、簽名證書(shū)策略、郵件內(nèi)容審查策略、賬戶(hù)定期清理策略等。

?

在掌握郵件系統(tǒng)現(xiàn)狀基礎(chǔ)上，梳理郵件安全防護(hù)方案，并根據(jù)在演練中可能發(fā)生的各種情形，制定響應(yīng)預(yù)案。防護(hù)方案?jìng)?cè)重于對(duì)郵件系統(tǒng)進(jìn)行安全評(píng)估、檢測(cè)和加固；響應(yīng)預(yù)案則是對(duì)在演練中可能遭遇的相關(guān)的攻擊類(lèi)事件，如掃描事件、爆破事件、釣魚(yú)事件、高危漏洞利用事件、木馬事件等做好事前防御；與此同時(shí)，針對(duì)期間所有發(fā)現(xiàn)的安全問(wèn)題，都及時(shí)組織技術(shù)專(zhuān)家與監(jiān)測(cè)分析組進(jìn)行同步處置，并實(shí)時(shí)上報(bào)現(xiàn)場(chǎng)指揮組。

?

02備戰(zhàn)階段：安全加固，有備無(wú)患

安天將在郵件系統(tǒng)前部署郵件安全防護(hù)系統(tǒng)，部署工作包括：設(shè)備上架、軟件安裝、網(wǎng)絡(luò)/系統(tǒng)聯(lián)調(diào)、安全策略配置和調(diào)優(yōu)、綜合測(cè)試、安全防護(hù)效果驗(yàn)證。實(shí)現(xiàn)對(duì)郵件來(lái)源、登錄操作、郵件附件、郵件鏈接，以及可疑訪問(wèn)、暴力破解、異常二維碼、異常圖片等進(jìn)行實(shí)時(shí)安全檢測(cè)。

?

同時(shí)，基于啟動(dòng)階段發(fā)現(xiàn)的防守客戶(hù)單位網(wǎng)絡(luò)和郵件系統(tǒng)中的存在安全隱患，設(shè)計(jì)有針對(duì)性的安全加固方案，并協(xié)助落實(shí)安全加固措施；制定加固設(shè)備需求清單，收斂暴露面；在郵件服務(wù)器開(kāi)放誘餌郵箱，在網(wǎng)絡(luò)中設(shè)置誘捕信息，并重點(diǎn)監(jiān)控誘餌郵箱威脅事件，及時(shí)發(fā)現(xiàn)并阻斷任何具有威脅性網(wǎng)絡(luò)連接、郵件通信的IP通信。

?

在此期間，安天還將為客戶(hù)開(kāi)展攻防預(yù)演服務(wù)，以實(shí)戰(zhàn)化、專(zhuān)業(yè)級(jí)的能力和不對(duì)實(shí)際目標(biāo)系統(tǒng)進(jìn)行破壞攻擊為底線(xiàn)，進(jìn)行針對(duì)社工郵件、釣魚(yú)郵件、暴力破解郵件賬戶(hù)等場(chǎng)景的實(shí)戰(zhàn)攻防對(duì)抗演練，檢驗(yàn)客戶(hù)協(xié)同處置等方面的綜合防護(hù)能力。進(jìn)而從安全技術(shù)、管理和運(yùn)營(yíng)等多個(gè)維度著手，進(jìn)一步發(fā)現(xiàn)防守客戶(hù)單位存在的安全防御能力問(wèn)題和缺陷，并幫助客戶(hù)完善安全體系的建設(shè)，提升網(wǎng)絡(luò)安全保障能力。

?

最后，安天將進(jìn)行郵件安全培訓(xùn)，強(qiáng)化防守客戶(hù)單位的安全管理和員工安全意識(shí)。

?

03迎戰(zhàn)階段：監(jiān)測(cè)分析，事件處置

進(jìn)入實(shí)戰(zhàn)攻防演練正式對(duì)抗期間，安天將為防守客戶(hù)單位郵件系統(tǒng)提供7*24小時(shí)值守和監(jiān)測(cè)服務(wù)。

?

結(jié)合客戶(hù)業(yè)務(wù)場(chǎng)景部署安全產(chǎn)品，全面監(jiān)測(cè)發(fā)現(xiàn)威脅與攻擊行為，檢測(cè)內(nèi)部失陷的主機(jī)、內(nèi)外部存在的攻擊、誘餌郵箱，及時(shí)發(fā)現(xiàn)安全風(fēng)險(xiǎn)，清除威脅，并針對(duì)發(fā)現(xiàn)的威脅進(jìn)行分析研判。郵件安全防護(hù)設(shè)備通過(guò)串行部署，實(shí)現(xiàn)社工郵件威脅實(shí)時(shí)捕獲和檢測(cè)，定位威脅源頭并監(jiān)控各種攻擊行為；通過(guò)對(duì)郵件數(shù)據(jù)、IP信息、安全事件、運(yùn)行狀態(tài)、審計(jì)日志、威脅情報(bào)等信息的全要素、細(xì)粒度的記錄，提升對(duì)定向攻擊、高級(jí)威脅的發(fā)現(xiàn)和溯源能力，從而達(dá)到對(duì)潛在威脅、未知威脅的持續(xù)安全監(jiān)測(cè)效果。安全專(zhuān)家結(jié)合SaaS平臺(tái)對(duì)可疑文件采用動(dòng)靜態(tài)結(jié)合的深度分析方式，有效發(fā)現(xiàn)未知威脅，全面揭示分析對(duì)象的可疑行為，發(fā)現(xiàn)郵件安全事件及隱患。

?

1. 對(duì)安全監(jiān)測(cè)設(shè)備上報(bào)的事件進(jìn)行取證分析

?

1) 安全事件上報(bào)：郵件安全防護(hù)系統(tǒng)在發(fā)現(xiàn)威脅、異常事件后，將關(guān)聯(lián)日志與惡意數(shù)據(jù)上報(bào)SaaS服務(wù)平臺(tái)，交由二線(xiàn)安全服務(wù)專(zhuān)家，深度研判。

?

2) 事件證據(jù)收集：對(duì)海量數(shù)據(jù)排查結(jié)果并提供可疑線(xiàn)索；對(duì)事件的分析預(yù)判，對(duì)客戶(hù)系統(tǒng)的具體問(wèn)題郵件及入侵主機(jī)進(jìn)行定位，對(duì)問(wèn)題主機(jī)的關(guān)鍵信息進(jìn)行取證，包括郵件取證、網(wǎng)絡(luò)取證、樣本取證、日志取證、進(jìn)程取證、內(nèi)存取證等。

?

3) 事件證據(jù)生成：預(yù)處理后的事件樣本，最后經(jīng)過(guò)客戶(hù)同意，將相應(yīng)事件取證內(nèi)容提交云服務(wù)平臺(tái)，進(jìn)行后續(xù)的人工事件分析等。

?

2. 事件感染態(tài)勢(shì)研判與惡意樣本確認(rèn)

?

基于事件前期取證分析的基礎(chǔ)上，根據(jù)當(dāng)前態(tài)勢(shì)，對(duì)潛在威脅進(jìn)行預(yù)估分析，預(yù)判感染數(shù)量、感染范圍等情況。

?

3. 事件樣本人工深度分析

?

安全專(zhuān)家全面針對(duì)包括下載、啟動(dòng)、解密、加密、后門(mén)、遠(yuǎn)程控制、信息竊取、注入、劫持、替換、Hook等功能在內(nèi)的惡意代碼進(jìn)行語(yǔ)義分析、反匯編等靜態(tài)分析，并結(jié)合系統(tǒng)監(jiān)控、脫殼分析等動(dòng)態(tài)分析，提取出樣本中豐富的動(dòng)靜態(tài)信息，進(jìn)而提供更加專(zhuān)業(yè)高效的處置處理方案。

?

4. 事件溯源分析

?

基于事件深度分析的基礎(chǔ)之上，利用安天海量病毒數(shù)據(jù)庫(kù)和社會(huì)工程學(xué)、威脅情報(bào)分析、海量信息挖掘等手段對(duì)樣本深度分析的結(jié)果進(jìn)行關(guān)聯(lián)分析，對(duì)關(guān)鍵信息進(jìn)行搜索排查，針對(duì)威脅事件進(jìn)行定位、追溯，并與其他事件進(jìn)行關(guān)聯(lián)分析，最終確認(rèn)攻擊鏈（攻擊發(fā)起者、攻擊對(duì)象、攻擊時(shí)間、攻擊表現(xiàn)形式、攻擊方法等）。

?

5. 事件威脅評(píng)估

?

在溯源分析的基礎(chǔ)之上，對(duì)當(dāng)前防守客戶(hù)單位系統(tǒng)可能或者已經(jīng)遭受的威脅進(jìn)行說(shuō)明，明確當(dāng)前系統(tǒng)已經(jīng)遭受到的威脅情況，并給出處置方法；同時(shí)，也對(duì)當(dāng)前可能面臨的潛在威脅進(jìn)行預(yù)判分析。另外，基于網(wǎng)絡(luò)威脅事件深度分析的基礎(chǔ)之上，針對(duì)被攻擊者的身份、職責(zé)以及其他特別因素，結(jié)合樣本功能和被竊信息以及攻擊手法，分析攻擊方的攻擊動(dòng)機(jī)，并提供防護(hù)方案。

?

事件處置與體系優(yōu)化建議是基于事件深度分析基礎(chǔ)之上，結(jié)合事件威脅評(píng)估，對(duì)當(dāng)前客戶(hù)系統(tǒng)給出相應(yīng)的威脅處置方案與預(yù)防方案，包括手動(dòng)對(duì)威脅事件的清除方案，如有必要可進(jìn)場(chǎng)清除惡意事件。事件解決方案是事件深入分析中的最后步驟，也是關(guān)鍵的步驟，能為客戶(hù)構(gòu)筑良好的郵件應(yīng)用環(huán)境打下堅(jiān)實(shí)的基礎(chǔ)。

?

04總結(jié)階段：總結(jié)復(fù)盤(pán)，全面加固

安天將根據(jù)演練整體工作情況進(jìn)行總結(jié)，針對(duì)演練過(guò)程中防守客戶(hù)單位的郵件系統(tǒng)暴露出的各種問(wèn)題進(jìn)行復(fù)盤(pán)，并制定優(yōu)化工作目標(biāo)和工作計(jì)劃，輸出郵件系統(tǒng)安全加固建議。

郵件安全防護(hù)服務(wù)價(jià)值

在整個(gè)攻防演練過(guò)程中，郵件安全防護(hù)服務(wù)可全方位對(duì)郵件系統(tǒng)進(jìn)行安全防護(hù)和監(jiān)測(cè)，確保實(shí)時(shí)對(duì)郵件來(lái)源、登錄操作、郵件附件、郵件鏈接，以及可疑訪問(wèn)、暴力破解、異常二維碼、異常圖片等進(jìn)行安全檢測(cè)，并及時(shí)處置相關(guān)事件，進(jìn)而全面提升郵件安全防御能力，有效抵御攻擊威脅。

?

同時(shí)，郵件安全防護(hù)服務(wù)，可配合安天探海威脅檢測(cè)系統(tǒng)與安天追影威脅分析系統(tǒng)交叉部署在攻擊方的必經(jīng)之路上，全方位采集流量，在威脅抵達(dá)目標(biāo)的路徑上增加關(guān)隘進(jìn)行智能化威脅響應(yīng)，做到“關(guān)口前移，防患于未然”，讓攻擊方無(wú)所遁形、無(wú)處可逃、無(wú)計(jì)可施；期間，探海還可聯(lián)動(dòng)追影將還原的文件載荷進(jìn)行深度分析，實(shí)現(xiàn)漏洞觸發(fā)、細(xì)粒度行為揭示和威脅情報(bào)的輸出，有效提升對(duì)未知威脅的發(fā)現(xiàn)、監(jiān)測(cè)、阻斷能力；最終，幫助客戶(hù)構(gòu)筑動(dòng)態(tài)綜合的網(wǎng)絡(luò)安全縱深防御體系。

?

在2022年大型實(shí)戰(zhàn)攻防演練活動(dòng)中，安天郵件安全防護(hù)服務(wù)為某客戶(hù)單位監(jiān)測(cè)分析釣魚(yú)郵件攻擊事件10余起，溯源加分720分。

?

附錄：關(guān)鍵產(chǎn)品價(jià)值簡(jiǎn)介

?

下期預(yù)告

下期為【2023安天攻防演練廟算記】第五章：網(wǎng)站防護(hù)。

?

將分享安天的網(wǎng)站安全監(jiān)測(cè)服務(wù)，在攻防演練活動(dòng)期間如何顯著提高客戶(hù)網(wǎng)站的安全防護(hù)水平，并在對(duì)抗中極大降低失分風(fēng)險(xiǎn)的同時(shí)獲得加分。

?