攻防演练怎么搞？绿盟专家来支招！

攻防演练

攻防演练即企业在一定的规则下，通过多种手段攻击企业关键信息资产，尝试获取服务器的权限。通常思路是利用入侵成功的外网服务器或者办公终端作为跳板，通过尝试安装后控制目标，最终攻击内网的关键服务器获取敏感数据，而安全防护主要是在了解攻击思路的基础上进行的安全防护操作。

02

攻击线路图

信息收集

攻击测试第一步就是信息收集，主要是查看企业对外开放哪些服务器以及服务器开放哪些服务。

漏洞探测

漏洞发现主要查看服务器存在哪些漏洞。在线方式主要通过绿盟漏洞扫描器（RSAS）、绿盟Web漏洞扫描器（WVSS）、AWVS、AppScan、Nessus等进行漏洞扫描，手工测试通过发现的服务版本在Baidu、Google搜索引擎上面查找对应的CVE漏洞，Web漏洞通过Burpsuite、Fiddler、Firefox渗透插件等进行发现。

漏洞利用

漏洞利用主要对扫描结果或测试结果中，发现有可能可以成功利用的漏洞进行验证。

提权攻击

提权攻击是指在漏洞利用过程中，已经得到了一些控制权限，但是对于进一步攻击来说还是不够，需要进权限提升。

后门安装

后门安装通过制作或上传后门文件进行长期远程控制目标服务器。

内网渗透

内网渗透是以当前被攻击的服务器为切入点进一步攻击其他服务器。

03

防护线路谱

漏洞加固

通过绿盟漏洞扫描器（RSAS）、Web漏洞扫描器（WVSS）、渗透测试服务等手段对操作系统、数据库、Web应用等进行漏洞自查。

安全配置

通过绿盟安全配置核查系统（BVS）对操作系统、数据库、中间件、网络设备等进行安全配置进行核查，避免因为配置问题引起安全问题。

设备防护

通过防护类安全设备的部署对网络攻击、系统漏洞、Web漏洞等利用进行安全防护。

• Web应用防护系统（WAF）：主要对Web服务器、插件漏洞、SQL注入、跨站脚本、命令注入、文件上传、非法下载、信息泄露、恶意扫描等Web攻击进行防护。

• 入侵防护系统（IPS）：主要对缓冲区溢出、暴力猜测、扫描探测、非授权访问等攻击进行防护。

• 威胁防护系统（TAC）：主要对勒索病毒、病毒文件中进行检测，通过虚拟执行方式查看进程创建、注册表改写、端口监听、网络访问等异常行为。

• 抗拒绝服务系统（ADS）：主要对SYN Flood、ACK Flood、UDP Flood、ICMP Flood、HTTP get/post flood、慢速攻击等DDoS攻击进行防护。

04

总结

攻防演练的最终目的在于“以攻促防”，在攻防演练过程中，攻击者主要采用渗透性检测方法，通过渗透性测试先于入侵者发现漏洞，尽可能减少入侵者的机会。通过实网攻防演练可以发现大量现实存在的网络安全问题，同时也对于企业网络安全防护工作提供了大量可供参考和借鉴的经验。

附录

常见攻击内容

1、Web服务器及中间件攻击

Web服务器及中间件是最容易被忽视的漏洞，主要由配置不当造成的，受攻击最多的攻击如下：

2、Web框架攻击

Web框架本身也是应用程序的一个组成部分，以下为最常被攻击的Web应用：

3、数据库攻击

安全漏洞是重要的攻击入口点，近三年来公布的数据库漏洞统计如下：

4、常见服务攻击

系统层漏洞主要分布于常见服务中，系统类攻击针对的产品与服务分布如下：

5、DDoS攻击：

DDoS攻击利用大量的请求造成资源过载，导致服务不可用，2017年DDoS攻击类型分布下：

DDoS攻击类型分布

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP