演练前:看似平静,实则暗流涌动
很多公司在搞网络攻防演练之前,总觉得自己的系统挺稳的。防火墙开着,杀毒软件更新了,员工也签了保密协议,看起来万无一失。可实际情况呢?内网里一堆老旧系统没人管,有的服务器还跑着Windows Server 2008,补丁三年没打。更离谱的是,测试账号密码居然写在共享文档里,标题就叫‘临时登录信息’。
某次演练前的内部自查,发现一个开发用的测试接口直接暴露在公网,没有鉴权,能查到全公司员工的姓名、工号甚至身份证后四位。问起原因,说是“临时开放几天”,结果这一开就是两年。这种问题,在没经历实战攻击前,谁也不会当真。
演练中:红蓝对抗,漏洞现形
攻防演练一开始,红队(攻击方)通常不会硬碰硬。他们先从社工入手——发个伪装成行政通知的钓鱼邮件,内容是‘年度体检安排查看’,附件带个宏Excel。不到两小时,就有十几个员工打开并启用宏,本地凭证被自动回传。
接着利用某个未修复的Apache Shiro反序列化漏洞,拿下一台内网应用服务器,再横向移动,找到数据库配置文件。整个过程就像逛自家客厅,没人拦,也没告警。
蓝队(防守方)这时候才慌了。监控大屏上突然跳出几十条异常登录,但日志分散在不同系统,关联分析要靠人工翻。等反应过来,核心数据已经被打包准备外传。
演练后:痛定思痛,安全升级
演练结束后的复盘会上,没人再觉得这是“走形式”。原来以为坚固的防线,其实处处漏风。接下来的动作变得实在多了:
所有外网暴露面重新梳理,非必要服务全部下线;统一日志平台上线,把防火墙、EDR、堡垒机的日志集中分析;关键系统开启多因素认证;每个月做一次自动化漏洞扫描。
最明显的变化是响应速度。以前出事要层层上报,现在SOC团队有权限直接封IP、禁账号。有一次模拟攻击刚尝试爆破SSH,30秒内账户就被锁定,同时安全人员收到告警短信。
技术层面的具体改进
比如在主机防护上,增加了基于行为的检测规则。下面是一个简单的Sysmon配置示例,用于监控可疑的PowerShell执行:
<Sysmon schemaversion="4.1">
<EventFiltering>
<ProcessCreate onmatch="include">
<Image condition="end with">\\powershell.exe</Image>
<CommandLine condition="contains">-enc</CommandLine>
</ProcessCreate>
</EventFiltering>
</Sysmon>这条规则会记录所有带“-enc”参数的PowerShell调用,这是常见的恶意脚本编码执行方式。
人的意识也在变
以前IT部门推双因子认证,员工抱怨“太麻烦”。演练后,同一个功能上线,大家主动问“什么时候开通”。还有人开始留意邮件发件人地址的小差异,比如把admin@company.com写成admin@company.ltd(用了全角字符)。
最典型的例子是财务部。过去有人冒充老板发邮件要求紧急打款,真有人照做。现在哪怕语气像,只要流程不合,立马打电话确认。这种警惕性,光靠培训做不到,得经历过一次“被攻陷”的震撼教育。