日韩精品一区二区三区第95,超碰97人人模人人爽人人爱,天堂俺去俺来也www色官网,被老头玩弄邻居人妻中文字幕

　近年來，高校正逐漸成為網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的高發(fā)地，面對錯綜復(fù)雜的安全態(tài)勢，網(wǎng)絡(luò)安全演練恰好成為培養(yǎng)師生安全、技術(shù)素養(yǎng)的有效途徑。一次全面的演練不僅是與外界的一次技術(shù)“碰撞”，更是全員參與的一次“安全行動”，有助于摸清安全家底，聚焦典型問題，鍛煉人才隊(duì)伍，使各高校的網(wǎng)絡(luò)安全在管理和技術(shù)層面上得以有效提升。

　　迎演理念爭鳴

　　攻防演練中，各參演單位的安全防護(hù)情況伴隨業(yè)務(wù)管理的波動也在不斷發(fā)生著變化。面對凌厲的技術(shù)攻勢，各單位是大動干戈臨時(shí)調(diào)整安全結(jié)構(gòu)，是組織動員人力和設(shè)備還手反攻，還是務(wù)實(shí)接受技術(shù)考驗(yàn)，以“打不還手”的最小代價(jià)展示日常工作的成效？對此，領(lǐng)導(dǎo)決策和技術(shù)研判因視角不同，考量的范圍也會大相徑庭。

　　其實(shí)，有來有往的競技性攻防與“打不還手”的檢驗(yàn)性參演并無孰優(yōu)孰劣之分，兩種狀態(tài)在攻防實(shí)踐中相互轉(zhuǎn)換，落腳點(diǎn)都是達(dá)成網(wǎng)絡(luò)安全目標(biāo)?；诖耍谌藛T編制數(shù)量、經(jīng)費(fèi)預(yù)算等都不富裕的情況下，依靠常態(tài)化防護(hù)體系才是最省時(shí)、省力、省人的參演抉擇。

　　反之，日常的管理體系和技術(shù)規(guī)范存在短板，調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)面臨的技術(shù)風(fēng)險(xiǎn)、運(yùn)行穩(wěn)定性風(fēng)險(xiǎn)都無限增加；與此同時(shí)，邀請外部安全服務(wù)團(tuán)隊(duì)進(jìn)行技術(shù)支援時(shí)，外部人員的技術(shù)水平參差不齊，且對本單位安全全局缺乏整體觀，必然會存在內(nèi)部網(wǎng)絡(luò)安全措施、拓?fù)浣Y(jié)構(gòu)等信息外溢的風(fēng)險(xiǎn)。這些信息即使在演練中做好保密，在演練后相當(dāng)長的時(shí)間里，都會成為常態(tài)化安全防護(hù)的潛在風(fēng)險(xiǎn)。

　　綜上所述，迎接一場基于日常技術(shù)防護(hù)標(biāo)準(zhǔn)、不邀請外援且“打不還手”的安全演練既充滿挑戰(zhàn)，也是更好地解構(gòu)網(wǎng)絡(luò)安全工作之難的窗口。

　　演練準(zhǔn)備

　　自接到演練通知到正式演練前，一般有數(shù)天到一周不等的時(shí)間進(jìn)行準(zhǔn)備。所以，在短時(shí)間內(nèi)做全面的安全策略調(diào)整不切實(shí)際，應(yīng)基于已有的防護(hù)體系和措施，針對可觀測、可加固的技術(shù)事宜開展準(zhǔn)備工作。

　　首先是端口開放、業(yè)務(wù)開放面的收斂。有備而來的攻擊方在正式演練前開始信息收集，搶時(shí)間窗口收縮端口和業(yè)務(wù)的暴露范圍。這類收斂并不影響靶機(jī)和其他正常業(yè)務(wù)的開放，重點(diǎn)是對日常欠規(guī)范環(huán)節(jié)的集中整改。整改事項(xiàng)應(yīng)歸納為清單，如清查防火墻、WAF失效規(guī)則、臨時(shí)白名單等配置項(xiàng)，對防護(hù)規(guī)則的邏輯性和覆蓋面進(jìn)行復(fù)核性檢查。

　　其次是根據(jù)已有條件做差異性資源補(bǔ)充。策略一是借用兄弟單位技術(shù)人員，同行之間相互借鑒交流易于碰撞出更為靈活的技術(shù)措施，許多經(jīng)驗(yàn)對技術(shù)加固和日常運(yùn)維都有助益；

　　策略二是防護(hù)設(shè)備功能特性的差異化，組合基于規(guī)則庫與訪問行為的防護(hù)設(shè)備，對同一個入流量從規(guī)則和訪問行為兩種技術(shù)路線進(jìn)行雙重過濾防護(hù)，更易于發(fā)現(xiàn)和阻斷可疑的入侵行為和入侵來源；

　　策略三是構(gòu)建多視角的監(jiān)控措施，結(jié)合傳統(tǒng)的SNMP監(jiān)控，可借用態(tài)勢感知或搭建蜜罐系統(tǒng)。開源的蜜罐可分散到不同網(wǎng)絡(luò)區(qū)域，一旦蜜罐發(fā)生訪問命中，則可立即掌握攻擊方已達(dá)到網(wǎng)絡(luò)區(qū)域的動態(tài)，這對防守方采取進(jìn)一步措施非常關(guān)鍵。

　　再次是通過自動或半自動腳本提高處置效率。準(zhǔn)備多個具備自動或半自動功能的腳本，應(yīng)對隨時(shí)可能發(fā)生的情況，提高處置效率。

　　以黑名單投送腳本為例，人工將判斷有風(fēng)險(xiǎn)的可疑IP輸入腳本交互界面，腳本自動依次登錄所有安全設(shè)備將IP添加至相應(yīng)安全設(shè)備黑名單，實(shí)現(xiàn)攔截上的聯(lián)動；日志快查腳本，輸入可疑IP后自動登錄各個安全設(shè)備，在一個文本界面顯示該IP經(jīng)過各安全設(shè)備活動的信息，實(shí)現(xiàn)更快的信息分析和追溯。

　　最后是重點(diǎn)人員的培訓(xùn)和提醒。對于具備密碼修改權(quán)限和應(yīng)用賬戶授權(quán)的工作人員須重點(diǎn)培訓(xùn)和叮囑：一方面，預(yù)防釣魚等社會工程學(xué)方法造成相關(guān)人員的賬戶泄露；另一方面，對各個系統(tǒng)的授權(quán)賬戶進(jìn)行清查，對達(dá)到一定時(shí)長未使用的賬戶進(jìn)行禁用，不合理的權(quán)限配置進(jìn)行調(diào)整。

　　享受過程

　　演練開始，監(jiān)控必不可少。首輪試探更多集中在廣度上，如出現(xiàn)download目錄、admin目錄、tar.gz文件、“.htaccess”文件等針對性較明顯的URL的掃描，這考驗(yàn)的是攻擊方和防守方對資產(chǎn)統(tǒng)計(jì)的全面性。

　　作為“打不還手”的防守方，應(yīng)對這些試探及時(shí)加黑名單，增加滲透的難度。即便如此，還是會發(fā)現(xiàn)個別冷門域名正在被滲透，這些域名是如何被收集？是域名解析配置不當(dāng)，還是其他環(huán)節(jié)疏漏？需要立即自查和加固。

　　統(tǒng)一身份認(rèn)證密碼在演練期間關(guān)系重大，一旦任一用戶賬號密碼泄露，眾多系統(tǒng)的登錄權(quán)限將被輕易獲取。以2023年2月湖北省網(wǎng)絡(luò)安全護(hù)網(wǎng)演練為例，演練過程中，統(tǒng)一身份認(rèn)證日志發(fā)現(xiàn)了異常，同一個互聯(lián)網(wǎng)源IP在短時(shí)間內(nèi)連續(xù)登錄成功多個統(tǒng)一身份認(rèn)證賬號。

　　這種情況下，必須立即溯源。經(jīng)分析，確認(rèn)這是某互聯(lián)網(wǎng)平臺提供的一項(xiàng)集成功能，用戶關(guān)注的公眾號對內(nèi)部的系統(tǒng)進(jìn)行了偽登錄驗(yàn)證，收集保存了眾多用戶統(tǒng)一身份認(rèn)證的賬號密碼。用戶使用該集成功能能夠獲得更便捷的使用體驗(yàn)，但對賬號安全管理構(gòu)成嚴(yán)重威脅，在封禁源IP后會同業(yè)務(wù)部門及時(shí)整改。

　　WebVPN和統(tǒng)一身份認(rèn)證都是第一道防線，無論通過賬號還是漏洞登錄WebVPN，防護(hù)和監(jiān)控的難度都會呈指數(shù)上升。因?yàn)樵赪ebVPN代理訪問模式下，要分辨攻擊方和用戶是較為困難的，但安全問題總是越擔(dān)心什么就越會發(fā)生什么。

　　這次湖北省網(wǎng)絡(luò)安全護(hù)網(wǎng)演練中，防守方安全日志發(fā)現(xiàn)了源IP被WebVPN攔截，于是立即安排技術(shù)人員根據(jù)時(shí)間區(qū)間分析統(tǒng)一身份認(rèn)證的賬號，將認(rèn)證成功和失敗的狀態(tài)分別統(tǒng)計(jì)，以期縮小可能泄漏的賬號范圍；隨后圍繞攔截日志的URL進(jìn)行分析，發(fā)現(xiàn)有且只有統(tǒng)一身份認(rèn)證這一個域名能夠在WebVPN繞過驗(yàn)證，并基于WebVPN自身源地址對統(tǒng)一身份認(rèn)證的域名進(jìn)行URL掃描。

　　與WebVPN廠商溝通確認(rèn)后，確定是WebVPN對統(tǒng)一身份認(rèn)證域名做了白名單，繼而發(fā)生這一訪問繞過問題，即不登錄WebVPN也可通過WebVPN源地址對統(tǒng)一身份認(rèn)證發(fā)起各種試探，并且WebVPN不會記錄任何日志，屬于較為嚴(yán)重的機(jī)制缺陷。

　　演練過程中，統(tǒng)計(jì)認(rèn)證狀態(tài)的技術(shù)小組也有了新的發(fā)現(xiàn)：

　　一個可疑的賬號登錄WebVPN后頻繁訪問一個系統(tǒng)歸屬部門都極少使用的系統(tǒng)，同時(shí)該賬號使用的源地址與攻擊方所在的網(wǎng)安基地契合。為避免“打草驚蛇”，小組決定在不聯(lián)系用戶的情況下，強(qiáng)制修改該賬號密碼，如果是普通用戶，則會自助修改；如果是攻擊方的僵尸賬號，則可終止該賬號的繼續(xù)訪問。

　　最后，演練報(bào)告證明，這一保守做法僥幸阻斷了攻擊方的繼續(xù)滲透。該賬號用戶自行編寫的程序源碼保存了統(tǒng)一身份認(rèn)證賬號密碼，以及多個本單位域名的URL，并將程序上傳到了GitHub托管。在攻擊方輕松獲取統(tǒng)一身份認(rèn)證賬號后，防守方碰巧在其尚未開展深入滲透前阻斷了這一缺口。

　　梳理總結(jié)

　　“打不還手”的演練雖然缺少競技比賽的觀賞性和趣味性，但能夠聚焦檢驗(yàn)安全基線，提高應(yīng)急處置能力，既考驗(yàn)了技術(shù)人員對分內(nèi)職責(zé)的熟悉度，加深其現(xiàn)有技術(shù)體系關(guān)聯(lián)性思考和技術(shù)線索的靈活運(yùn)用，又向真正落實(shí)以練促防的目標(biāo)邁進(jìn)了一小步，簡要總結(jié)如下：

　　第一，常態(tài)化防護(hù)工作非常重要?；谶吔绶雷o(hù)、數(shù)據(jù)中心防護(hù)、主機(jī)東西向防護(hù)三大層次的防護(hù)體系是一個日積月累的基礎(chǔ)工作。其中，邊界防護(hù)與身份認(rèn)證賬號作為第一道防線，所能堅(jiān)守的時(shí)長直接關(guān)系防守成敗。參演團(tuán)隊(duì)只有堅(jiān)持做好日常安全運(yùn)維，才能減輕演練期間的工作量和復(fù)雜度，也才能在演練期間進(jìn)一步發(fā)現(xiàn)深層次的缺漏。

　　第二，靶機(jī)的選擇通常會傾向于靜態(tài)頁面，但演練機(jī)會難得，應(yīng)自信地檢驗(yàn)防護(hù)體系。因此，可嘗試選用不同認(rèn)證體系的系統(tǒng)作為靶機(jī)，避免因統(tǒng)一身份認(rèn)證賬號泄漏導(dǎo)致更多的系統(tǒng)獲取權(quán)限，繼而大幅失分。

　　第三，開源的蜜罐在演練后可作為安全運(yùn)維工具常態(tài)化運(yùn)行。一方面，日常管理需要發(fā)現(xiàn)園區(qū)網(wǎng)內(nèi)部IP存在的不安定因素，以蜜罐為媒介對于快速發(fā)現(xiàn)、快速定位增加了管理視角；另一方面，蜜罐的偽頁面、偽系統(tǒng)平時(shí)也需要進(jìn)行打磨修改，默認(rèn)的頁面對于經(jīng)驗(yàn)豐富的攻擊方很容易判別。

　　只有把真滲透困在蜜罐，才能為化解真風(fēng)險(xiǎn)贏得先手，進(jìn)而掌握防守、防護(hù)的主動權(quán)。日常管理中查看各監(jiān)控對象時(shí)，宜養(yǎng)成“過目不忘”的職業(yè)素養(yǎng)，結(jié)合服務(wù)器負(fù)載、應(yīng)用流量規(guī)律等“印象”經(jīng)驗(yàn)，基于職業(yè)敏感性快速分析、比較研判演練期間各監(jiān)控的指標(biāo)狀態(tài)是否存在特異性變化，由此可提高篩查可疑“陷落”的效率，為阻斷可疑流量贏得先機(jī)。

　　第四，在演練的準(zhǔn)備和進(jìn)行過程中，每一次微小的技術(shù)調(diào)整都要準(zhǔn)確記錄。這樣，一方面便于演練結(jié)束后做配置方面恢復(fù)，另一方面也有利于做技術(shù)復(fù)盤，通過對過程的對照分析找到防護(hù)體系的短板并開展優(yōu)化工作。同時(shí)，演練結(jié)束后，借用和臨時(shí)新增的設(shè)備，在下線前務(wù)必清理數(shù)據(jù)和配置，如流量鏡像一類的原始數(shù)據(jù)和分析數(shù)據(jù)都要清空，SSL證書避免留存在設(shè)備中，避免外援人員掌握真實(shí)的拓?fù)洹⒃敿?xì)的資料信息，保持真實(shí)情況與外部掌握信息的不對稱性。

　　作者：高杰欣（中南民族大學(xué)現(xiàn)代教育技術(shù)中心）

　　責(zé)編：陳永杰