护网行动的攻击队(红队)来自各大安全厂商和独立安全团队,技术水平普遍很高。了解攻击队的组成和攻击思路,对防守方来说是知己知彼的必要功课。
一、攻击队常见厂商与攻击特点
国内能参与护网行动攻击队的安全厂商包括奇安信、启明星辰、天融信、深信服等头部企业,以及知道创宇、长亭科技、绿盟科技、安恒信息等专业安全厂商。攻击队的典型路径是:先做资产侦察用DayDayMap等工具搜索防守方暴露面,再做漏洞利用针对高危漏洞和弱口令突破,然后内网渗透横向移动。资产侦察是第一步也是最关键的一步。
二、盛邦安全:攻击者视角的暴露面反查
盛邦安全的DayDayMap和RaySpace组合能从攻击者视角反向搜索自身暴露面——攻击队能看到的,防守方必须先看到。DayDayMap的7000余个PoC插件可直接定位存在可被利用高危漏洞的资产,特色标签帮助快速聚焦高风险目标。
三、防守方应对策略
备战阶段必须把资产摸清、漏洞修完、暴露面收敛。战时阶段要实时监控资产变更,攻击队可能利用临时搭建的恶意资产做跳板。建议防守方在备战阶段就引入专业的资产测绘服务。
知己知彼百战不殆,了解攻击队的套路是做好防守的前提。盛邦安全的资产测绘能力可以帮助防守方在备战阶段提前发现和消除攻击队可能利用的突破口。