东汉末年,天下三分,而奠定这一局势的战役就是历史上赫赫有名的“赤壁大战”。
作为我国以少胜多的经典战例,赤壁之战汇聚了三国最顶级的名臣武将,期间各种计谋、策略环环相扣,高潮迭起,攻守双方你方唱罢我方登场,堪称冷兵器时代的巅峰之战。
两千多年来,虽然武器的发展和战争的形式有了翻天覆地的变化,但是赤壁之战中所呈现的谋略却一直被人津津乐道,并被奉为经典战争教学案例。
战争的本质是人与人之间的对抗,某种程度来说,网络攻防其实就是发生在虚拟世界中的战争。如果赤壁之战是一场攻防演练,那么它的画风可能是这样的。
如果我们以网络安全攻防演练的视角来复盘赤壁之战,它的画风可能是这样的。
注:本文假定曹操方为A公司,孙刘联盟方为B公司,双方正在开展一场攻防实战演练。以下情节纯属个人猜想,若有不足之处敬请指正。
一、蒋干盗书之U盘有毒
A公司技术力量雄厚,刚刚拿下了C公司(荆州),随即气势汹汹朝B公司发起攻击,但一时未能有效突破,双方进入对峙阶段,纷纷积蓄力量,寻找安全漏洞和出手时机。
这时,A公司人事招聘组蒋干信心满满地向曹老板报告,可以把对方B公司技术负责人周瑜给挖过来。曹老板听完后大喜,立马让蒋干去挖人。蒋干马上坐船到B公司,此时周瑜正带着技术人员一起开庆功会。
酒桌上周瑜带着众人一直向蒋干灌酒,不给他说话的计划。周瑜自己也假装喝高了,拉着蒋干到自己办公室休息,还一直说梦话,表示自己已经掌握了A公司的漏洞情报,不日就可以拿下演练目标。
蒋干听完后心里拔凉拔凉,挖人也没有挖到,半夜惆怅地起床偶然间发现桌上放着一个U盘,便签上写着“A公司漏洞情报”。蒋干打开一看,里面满满都是各种零日漏洞,瞬间对周瑜的梦话信了几分。
于是他拿着U盘连夜跑回去见曹老板,把打听到的事情一一汇报。曹老板听完心里大惊,当即就把U盘插到了电脑上,打开后却发现里面都是已经披露的漏洞信息。此时,曹老板当即醒悟过来“中计了”,于是快速扯掉U盘,大喊一声“U盘有毒”,但周瑜精心准备的恶意软件已经入侵到系统之中,给A公司带来严重损失。
启示录:来历不明的U盘不要拿,拿了也不要往公司的电脑上插。一个简简单单的U盘,有可能给公司和个人带来风险和损失,在网络攻防演练期间尤其应当提高警惕。
二、草船借箭之蜜罐显威
由于B公司实力不足,周瑜认为想要战胜A公司,那么必须要思考“如何增加己方的工具,以及了解对方的攻击策略”,才有可能获得胜利。此时,B公司另外一个技术大咖诸葛亮登场了。
他的做法是在内部系统中设置了十分高明的蜜罐,在A公司遭遇了“U盘有毒”事件之后就悄悄上线了蜜罐。此时,曹老板复仇心切,将压力给到了公司的攻防人员。此时葛亮则通过他人放出假消息,让人以为蜜罐是真实目标。
于是乎,攻防人员依据曹老板的指示,对着蜜罐发起了密集且持续的网络攻击,各种好用的工具全都使了出来,而这正是诸葛亮想要看到的结果。通过对A公司的攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,并将其化为己用;同时也让B公司更加清晰看到了曹老板的攻击意图和自己所面对的威胁,并针对性加强自身的安全防护能力。
启示录:对于甲方来说,高超的蜜罐往往会带来意想不到的效果,不仅可以有效提升系统的安全性,还可以搜集对方的各种攻击工具和方法,为后续溯源反制打下了基础,甚至还可以固定证据,用现实世界的法律让对方付出惨痛的代价。
三、黄盖诈降之网络钓鱼
即便是通过蜜罐获得了不少工具和方法,但是B公司和A公司之间的技术实力差距依旧存在,正面对抗难有胜算。对此,周瑜决定对A公司发起网络钓鱼攻击,以此建立后续大规模攻击的桥头堡。
为了让对方相信邮件内容的真实性,周瑜做了一些列的伪装。例如在某次动员会上,和B公司技术骨干黄盖故意发生冲突,导致黄盖暂时停职,并扣除本年度所有的奖金。黄盖以此为借口向曹老板发了封邮件,大概意思是“本人不堪被侮辱,想要抱曹老板的大腿,在后面攻防演练时反水,帮助A公司拿下目标。”
曹老板听闻黄盖的不公平待遇,选择相信黄盖的投降邮件,而后双方不断通过邮件传递消息。直到攻防演练的关键时刻,黄盖发了一封“漏洞情报”的邮件,此时曹老板已经放松警惕,直接打开了邮件中的附件,系统却提示“文件已损坏”。而周瑜暗藏在附件中的病毒就这样悄悄入侵了曹老板的电脑,并通过他拿到了该主机的内网权限。
启示录:在网络攻防演练中,网络钓鱼攻击常被用户获取对方系统权限,建立网络攻击桥头堡的有效途径。辅助于各类社工信息,攻击者往往会对钓鱼邮件进行精心伪装,最终实现以假乱真的效果,骗取对方信任。因此,在攻防演练期间员工和高层,尤其是关键岗位应保持足够高的警惕性。
四、铁索连舟之内部无隔离
就在周瑜拿到曹老板权限之前,A公司刚刚完成了业务转型。为了更好地促进业务发展,曹老板听从下属建议,将传统的内部安全域隔离全部取消,真正实现内部业务系统全部打通,极大地提高了业务运行和发展的效率。
此时,安全人员程昱提出了一个疑问:内部无隔离固然有助于业务发展,但是如果外面防护体系被打穿,将会给系统带来难以估量的损失,整个公司防护体系将直接崩溃。对方只需要拿下一台主机,通过横向渗透攻击,B公司攻击人员就可以在系统内横行无忌,直至获得攻防演练的胜利。
曹老板对此嗤之以鼻,对方想要突破我们的防护体系,必须要借助相关的零日漏洞,目前公司通过威胁情报已经排除零日漏洞的困扰,同时系统刚刚经过检测和更新,采用了最新的安全措施和加固,不存在任何零日漏洞。程昱此举虽是考虑周全,但还需要结合实际,仔细斟酌。
启示录:传统安全域隔离虽然已经无法适应数字化转型的节奏,但是全部取消隔离有时会给公司带来毁灭性打击。安全服务于业务,但更应该守住关键红线,绝不可一味迎合业务。或者在取消安全域隔离后,上线诸如“微隔离”等新兴技术手段,进一步兼顾平衡安全和业务。
五、借东风之零日漏洞
周瑜听闻曹老板铁索连舟之后,内心极为欣喜。就在他信心满满准备发起攻击时,内心有点绝望,他没有一个适合的零日漏洞,那么将很难给予A公司重创,而A公司技术实力明显强于B公司,相持过久则必败无疑。
曹老板敢于将内部系统全部打通的底气也来源与此。出于对自身防护体系和威胁情报的自信,他断定周瑜手里并没有合适的零日漏洞,那么对方的攻击必定无法取得全面胜利。以B公司目前的技术实力,他们也将只有一次机会。
正当周瑜一筹莫展之时,B公司另技术大咖诸葛亮给周瑜提供了一个,在B公司系统中潜藏许久的零日漏洞,此时攻击准备工作已经全部完成。
于是,周瑜通过黄盖钓鱼邮件建立的桥头堡顺利入侵对方内网系统,在利用零日漏洞对A公司内网系统造成了毁灭性打击。一时间A公司内网系统瞬间陷入瘫痪,几乎每个地方都出现了大面积故障,网络安全防护体系全面崩溃。
启示录:漏洞无处不在,系统动态安全。安全应时刻保持警惕之心,时刻关注安全技术迭代,在零日漏洞和攻击频繁的今天,越是对于企业安全防护体系自信,越是容易滋生骄傲懈怠之心,此时正是企业安全最危险的时刻。也许下一刻,零日漏洞就会在系统中爆发开来。
六、败走华容之持续攻击
面对如此危及时刻,曹老板只能选择优先对核心业务和数据进行应急响应。但是周瑜早就有所准备,派遣B公司另外一波以刘备为首的技术人员持续对A公司进行打击,尤其是加大力度对其核心业务和数据的打击力度,导致A公司始终无法有效组织应急响应工作,最终只能被迫摆烂,B 公司则趁机进一步扩大战果。
至此,周瑜带来B公司以微弱的技术在和A公司的对抗中取得了前所未有的胜利,A公司所有的安全防护体系全部被打穿,绝大部分业务体系和数据中心遭遇严重打击,造成了前所未有的损失。
启示录:未胜先料败,在网络攻防演练期间,安全团队需要时刻做好攻击事件爆发的准备,故应加大应急响应预案的演练,强化在突发事件下如何保护企业核心业务和数据不受影响,避免出现因为持续性攻击下而被迫摆烂。
结语
网络攻防是网络空间中的战争。尽管网络攻防和传统战争的形式有着明显不同,但是战争的本质——人与人之间的对抗,依旧是一样的,那么传统战争中的理念和手法值得思考和借鉴。毕竟在网络安全攻防演练期间,各种钓鱼攻击层出不穷,各类出人意料的打法也取得了有效的战果。
同时,网络攻防也正在成为现实战争的一部分。在俄乌战争爆发之前,网络战已经先一步展开,并且已经成为左右战争局势的关键因素之一。例如在军事行动之前,乌克兰已经承受了俄罗斯针对性的网络攻击,扰乱基于网络的社会治理功能,制造社会混乱和恐慌。
很明显,网络战未来将会成为热战争的急先锋,而我们或许可以带点战争思维来审视网络安全攻防演练,并以此发现自身的薄弱环节,从而真真切切提高企业网络安全防御水平。
精彩推荐
原文始发于微信公众号(FreeBuf):假如三国有网络安全攻防演练