日韩精品一区二区三区第95,亚洲精品无码日韩国产不卡AV,色搞得,GOGO全球大胆高清人体网站奔

　近年來(lái)，高校正逐漸成為網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的高發(fā)地，面對(duì)錯(cuò)綜復(fù)雜的安全態(tài)勢(shì)，網(wǎng)絡(luò)安全演練恰好成為培養(yǎng)師生安全、技術(shù)素養(yǎng)的有效途徑。一次全面的演練不僅是與外界的一次技術(shù)“碰撞”，更是全員參與的一次“安全行動(dòng)”，有助于摸清安全家底，聚焦典型問(wèn)題，鍛煉人才隊(duì)伍，使各高校的網(wǎng)絡(luò)安全在管理和技術(shù)層面上得以有效提升。

　　迎演理念爭(zhēng)鳴

　　攻防演練中，各參演單位的安全防護(hù)情況伴隨業(yè)務(wù)管理的波動(dòng)也在不斷發(fā)生著變化。面對(duì)凌厲的技術(shù)攻勢(shì)，各單位是大動(dòng)干戈臨時(shí)調(diào)整安全結(jié)構(gòu)，是組織動(dòng)員人力和設(shè)備還手反攻，還是務(wù)實(shí)接受技術(shù)考驗(yàn)，以“打不還手”的最小代價(jià)展示日常工作的成效？對(duì)此，領(lǐng)導(dǎo)決策和技術(shù)研判因視角不同，考量的范圍也會(huì)大相徑庭。

　　其實(shí)，有來(lái)有往的競(jìng)技性攻防與“打不還手”的檢驗(yàn)性參演并無(wú)孰優(yōu)孰劣之分，兩種狀態(tài)在攻防實(shí)踐中相互轉(zhuǎn)換，落腳點(diǎn)都是達(dá)成網(wǎng)絡(luò)安全目標(biāo)?；诖?，在人員編制數(shù)量、經(jīng)費(fèi)預(yù)算等都不富裕的情況下，依靠常態(tài)化防護(hù)體系才是最省時(shí)、省力、省人的參演抉擇。

　　反之，日常的管理體系和技術(shù)規(guī)范存在短板，調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)面臨的技術(shù)風(fēng)險(xiǎn)、運(yùn)行穩(wěn)定性風(fēng)險(xiǎn)都無(wú)限增加；與此同時(shí)，邀請(qǐng)外部安全服務(wù)團(tuán)隊(duì)進(jìn)行技術(shù)支援時(shí)，外部人員的技術(shù)水平參差不齊，且對(duì)本單位安全全局缺乏整體觀，必然會(huì)存在內(nèi)部網(wǎng)絡(luò)安全措施、拓?fù)浣Y(jié)構(gòu)等信息外溢的風(fēng)險(xiǎn)。這些信息即使在演練中做好保密，在演練后相當(dāng)長(zhǎng)的時(shí)間里，都會(huì)成為常態(tài)化安全防護(hù)的潛在風(fēng)險(xiǎn)。

　　綜上所述，迎接一場(chǎng)基于日常技術(shù)防護(hù)標(biāo)準(zhǔn)、不邀請(qǐng)外援且“打不還手”的安全演練既充滿(mǎn)挑戰(zhàn)，也是更好地解構(gòu)網(wǎng)絡(luò)安全工作之難的窗口。

　　演練準(zhǔn)備

　　自接到演練通知到正式演練前，一般有數(shù)天到一周不等的時(shí)間進(jìn)行準(zhǔn)備。所以，在短時(shí)間內(nèi)做全面的安全策略調(diào)整不切實(shí)際，應(yīng)基于已有的防護(hù)體系和措施，針對(duì)可觀測(cè)、可加固的技術(shù)事宜開(kāi)展準(zhǔn)備工作。

　　首先是端口開(kāi)放、業(yè)務(wù)開(kāi)放面的收斂。有備而來(lái)的攻擊方在正式演練前開(kāi)始信息收集，搶時(shí)間窗口收縮端口和業(yè)務(wù)的暴露范圍。這類(lèi)收斂并不影響靶機(jī)和其他正常業(yè)務(wù)的開(kāi)放，重點(diǎn)是對(duì)日常欠規(guī)范環(huán)節(jié)的集中整改。整改事項(xiàng)應(yīng)歸納為清單，如清查防火墻、WAF失效規(guī)則、臨時(shí)白名單等配置項(xiàng)，對(duì)防護(hù)規(guī)則的邏輯性和覆蓋面進(jìn)行復(fù)核性檢查。

　　其次是根據(jù)已有條件做差異性資源補(bǔ)充。策略一是借用兄弟單位技術(shù)人員，同行之間相互借鑒交流易于碰撞出更為靈活的技術(shù)措施，許多經(jīng)驗(yàn)對(duì)技術(shù)加固和日常運(yùn)維都有助益；

　　策略二是防護(hù)設(shè)備功能特性的差異化，組合基于規(guī)則庫(kù)與訪(fǎng)問(wèn)行為的防護(hù)設(shè)備，對(duì)同一個(gè)入流量從規(guī)則和訪(fǎng)問(wèn)行為兩種技術(shù)路線(xiàn)進(jìn)行雙重過(guò)濾防護(hù)，更易于發(fā)現(xiàn)和阻斷可疑的入侵行為和入侵來(lái)源；

　　策略三是構(gòu)建多視角的監(jiān)控措施，結(jié)合傳統(tǒng)的SNMP監(jiān)控，可借用態(tài)勢(shì)感知或搭建蜜罐系統(tǒng)。開(kāi)源的蜜罐可分散到不同網(wǎng)絡(luò)區(qū)域，一旦蜜罐發(fā)生訪(fǎng)問(wèn)命中，則可立即掌握攻擊方已達(dá)到網(wǎng)絡(luò)區(qū)域的動(dòng)態(tài)，這對(duì)防守方采取進(jìn)一步措施非常關(guān)鍵。

　　再次是通過(guò)自動(dòng)或半自動(dòng)腳本提高處置效率。準(zhǔn)備多個(gè)具備自動(dòng)或半自動(dòng)功能的腳本，應(yīng)對(duì)隨時(shí)可能發(fā)生的情況，提高處置效率。

　　以黑名單投送腳本為例，人工將判斷有風(fēng)險(xiǎn)的可疑IP輸入腳本交互界面，腳本自動(dòng)依次登錄所有安全設(shè)備將IP添加至相應(yīng)安全設(shè)備黑名單，實(shí)現(xiàn)攔截上的聯(lián)動(dòng)；日志快查腳本，輸入可疑IP后自動(dòng)登錄各個(gè)安全設(shè)備，在一個(gè)文本界面顯示該IP經(jīng)過(guò)各安全設(shè)備活動(dòng)的信息，實(shí)現(xiàn)更快的信息分析和追溯。

　　最后是重點(diǎn)人員的培訓(xùn)和提醒。對(duì)于具備密碼修改權(quán)限和應(yīng)用賬戶(hù)授權(quán)的工作人員須重點(diǎn)培訓(xùn)和叮囑：一方面，預(yù)防釣魚(yú)等社會(huì)工程學(xué)方法造成相關(guān)人員的賬戶(hù)泄露；另一方面，對(duì)各個(gè)系統(tǒng)的授權(quán)賬戶(hù)進(jìn)行清查，對(duì)達(dá)到一定時(shí)長(zhǎng)未使用的賬戶(hù)進(jìn)行禁用，不合理的權(quán)限配置進(jìn)行調(diào)整。

　　享受過(guò)程

　　演練開(kāi)始，監(jiān)控必不可少。首輪試探更多集中在廣度上，如出現(xiàn)download目錄、admin目錄、tar.gz文件、“.htaccess”文件等針對(duì)性較明顯的URL的掃描，這考驗(yàn)的是攻擊方和防守方對(duì)資產(chǎn)統(tǒng)計(jì)的全面性。

　　作為“打不還手”的防守方，應(yīng)對(duì)這些試探及時(shí)加黑名單，增加滲透的難度。即便如此，還是會(huì)發(fā)現(xiàn)個(gè)別冷門(mén)域名正在被滲透，這些域名是如何被收集？是域名解析配置不當(dāng)，還是其他環(huán)節(jié)疏漏？需要立即自查和加固。

　　統(tǒng)一身份認(rèn)證密碼在演練期間關(guān)系重大，一旦任一用戶(hù)賬號(hào)密碼泄露，眾多系統(tǒng)的登錄權(quán)限將被輕易獲取。以2023年2月湖北省網(wǎng)絡(luò)安全護(hù)網(wǎng)演練為例，演練過(guò)程中，統(tǒng)一身份認(rèn)證日志發(fā)現(xiàn)了異常，同一個(gè)互聯(lián)網(wǎng)源IP在短時(shí)間內(nèi)連續(xù)登錄成功多個(gè)統(tǒng)一身份認(rèn)證賬號(hào)。

　　這種情況下，必須立即溯源。經(jīng)分析，確認(rèn)這是某互聯(lián)網(wǎng)平臺(tái)提供的一項(xiàng)集成功能，用戶(hù)關(guān)注的公眾號(hào)對(duì)內(nèi)部的系統(tǒng)進(jìn)行了偽登錄驗(yàn)證，收集保存了眾多用戶(hù)統(tǒng)一身份認(rèn)證的賬號(hào)密碼。用戶(hù)使用該集成功能能夠獲得更便捷的使用體驗(yàn)，但對(duì)賬號(hào)安全管理構(gòu)成嚴(yán)重威脅，在封禁源IP后會(huì)同業(yè)務(wù)部門(mén)及時(shí)整改。

　　WebVPN和統(tǒng)一身份認(rèn)證都是第一道防線(xiàn)，無(wú)論通過(guò)賬號(hào)還是漏洞登錄WebVPN，防護(hù)和監(jiān)控的難度都會(huì)呈指數(shù)上升。因?yàn)樵赪ebVPN代理訪(fǎng)問(wèn)模式下，要分辨攻擊方和用戶(hù)是較為困難的，但安全問(wèn)題總是越擔(dān)心什么就越會(huì)發(fā)生什么。

　　這次湖北省網(wǎng)絡(luò)安全護(hù)網(wǎng)演練中，防守方安全日志發(fā)現(xiàn)了源IP被WebVPN攔截，于是立即安排技術(shù)人員根據(jù)時(shí)間區(qū)間分析統(tǒng)一身份認(rèn)證的賬號(hào)，將認(rèn)證成功和失敗的狀態(tài)分別統(tǒng)計(jì)，以期縮小可能泄漏的賬號(hào)范圍；隨后圍繞攔截日志的URL進(jìn)行分析，發(fā)現(xiàn)有且只有統(tǒng)一身份認(rèn)證這一個(gè)域名能夠在WebVPN繞過(guò)驗(yàn)證，并基于WebVPN自身源地址對(duì)統(tǒng)一身份認(rèn)證的域名進(jìn)行URL掃描。

　　與WebVPN廠(chǎng)商溝通確認(rèn)后，確定是WebVPN對(duì)統(tǒng)一身份認(rèn)證域名做了白名單，繼而發(fā)生這一訪(fǎng)問(wèn)繞過(guò)問(wèn)題，即不登錄WebVPN也可通過(guò)WebVPN源地址對(duì)統(tǒng)一身份認(rèn)證發(fā)起各種試探，并且WebVPN不會(huì)記錄任何日志，屬于較為嚴(yán)重的機(jī)制缺陷。

　　演練過(guò)程中，統(tǒng)計(jì)認(rèn)證狀態(tài)的技術(shù)小組也有了新的發(fā)現(xiàn)：

　　一個(gè)可疑的賬號(hào)登錄WebVPN后頻繁訪(fǎng)問(wèn)一個(gè)系統(tǒng)歸屬部門(mén)都極少使用的系統(tǒng)，同時(shí)該賬號(hào)使用的源地址與攻擊方所在的網(wǎng)安基地契合。為避免“打草驚蛇”，小組決定在不聯(lián)系用戶(hù)的情況下，強(qiáng)制修改該賬號(hào)密碼，如果是普通用戶(hù)，則會(huì)自助修改；如果是攻擊方的僵尸賬號(hào)，則可終止該賬號(hào)的繼續(xù)訪(fǎng)問(wèn)。

　　最后，演練報(bào)告證明，這一保守做法僥幸阻斷了攻擊方的繼續(xù)滲透。該賬號(hào)用戶(hù)自行編寫(xiě)的程序源碼保存了統(tǒng)一身份認(rèn)證賬號(hào)密碼，以及多個(gè)本單位域名的URL，并將程序上傳到了GitHub托管。在攻擊方輕松獲取統(tǒng)一身份認(rèn)證賬號(hào)后，防守方碰巧在其尚未開(kāi)展深入滲透前阻斷了這一缺口。

　　梳理總結(jié)

　　“打不還手”的演練雖然缺少競(jìng)技比賽的觀賞性和趣味性，但能夠聚焦檢驗(yàn)安全基線(xiàn)，提高應(yīng)急處置能力，既考驗(yàn)了技術(shù)人員對(duì)分內(nèi)職責(zé)的熟悉度，加深其現(xiàn)有技術(shù)體系關(guān)聯(lián)性思考和技術(shù)線(xiàn)索的靈活運(yùn)用，又向真正落實(shí)以練促防的目標(biāo)邁進(jìn)了一小步，簡(jiǎn)要總結(jié)如下：

　　第一，常態(tài)化防護(hù)工作非常重要?；谶吔绶雷o(hù)、數(shù)據(jù)中心防護(hù)、主機(jī)東西向防護(hù)三大層次的防護(hù)體系是一個(gè)日積月累的基礎(chǔ)工作。其中，邊界防護(hù)與身份認(rèn)證賬號(hào)作為第一道防線(xiàn)，所能堅(jiān)守的時(shí)長(zhǎng)直接關(guān)系防守成敗。參演團(tuán)隊(duì)只有堅(jiān)持做好日常安全運(yùn)維，才能減輕演練期間的工作量和復(fù)雜度，也才能在演練期間進(jìn)一步發(fā)現(xiàn)深層次的缺漏。

　　第二，靶機(jī)的選擇通常會(huì)傾向于靜態(tài)頁(yè)面，但演練機(jī)會(huì)難得，應(yīng)自信地檢驗(yàn)防護(hù)體系。因此，可嘗試選用不同認(rèn)證體系的系統(tǒng)作為靶機(jī)，避免因統(tǒng)一身份認(rèn)證賬號(hào)泄漏導(dǎo)致更多的系統(tǒng)獲取權(quán)限，繼而大幅失分。

　　第三，開(kāi)源的蜜罐在演練后可作為安全運(yùn)維工具常態(tài)化運(yùn)行。一方面，日常管理需要發(fā)現(xiàn)園區(qū)網(wǎng)內(nèi)部IP存在的不安定因素，以蜜罐為媒介對(duì)于快速發(fā)現(xiàn)、快速定位增加了管理視角；另一方面，蜜罐的偽頁(yè)面、偽系統(tǒng)平時(shí)也需要進(jìn)行打磨修改，默認(rèn)的頁(yè)面對(duì)于經(jīng)驗(yàn)豐富的攻擊方很容易判別。

　　只有把真滲透困在蜜罐，才能為化解真風(fēng)險(xiǎn)贏得先手，進(jìn)而掌握防守、防護(hù)的主動(dòng)權(quán)。日常管理中查看各監(jiān)控對(duì)象時(shí)，宜養(yǎng)成“過(guò)目不忘”的職業(yè)素養(yǎng)，結(jié)合服務(wù)器負(fù)載、應(yīng)用流量規(guī)律等“印象”經(jīng)驗(yàn)，基于職業(yè)敏感性快速分析、比較研判演練期間各監(jiān)控的指標(biāo)狀態(tài)是否存在特異性變化，由此可提高篩查可疑“陷落”的效率，為阻斷可疑流量贏得先機(jī)。

　　第四，在演練的準(zhǔn)備和進(jìn)行過(guò)程中，每一次微小的技術(shù)調(diào)整都要準(zhǔn)確記錄。這樣，一方面便于演練結(jié)束后做配置方面恢復(fù)，另一方面也有利于做技術(shù)復(fù)盤(pán)，通過(guò)對(duì)過(guò)程的對(duì)照分析找到防護(hù)體系的短板并開(kāi)展優(yōu)化工作。同時(shí)，演練結(jié)束后，借用和臨時(shí)新增的設(shè)備，在下線(xiàn)前務(wù)必清理數(shù)據(jù)和配置，如流量鏡像一類(lèi)的原始數(shù)據(jù)和分析數(shù)據(jù)都要清空，SSL證書(shū)避免留存在設(shè)備中，避免外援人員掌握真實(shí)的拓?fù)?、詳?xì)的資料信息，保持真實(shí)情況與外部掌握信息的不對(duì)稱(chēng)性。

　　作者：高杰欣（中南民族大學(xué)現(xiàn)代教育技術(shù)中心）

　　責(zé)編：陳永杰