HW防守方总结-一所GDKE体系

[toc]


一、背景

2019年护网行动是公安部组织,针对电力、电信、能源、银行、政务等多个行业的多家单位,在真实网络环境下开展的“背靠背”实兵攻防对抗,是继护网2016,护网2017后,护网2018后,第四次举办的国家级安全演习。参演的攻击方包括由公安、机关、军队、国安、网络安全企业、科研院所、高校等组成的多支队伍,多名攻击手,规模和实力大幅高于护网2016和护网2017和护网2018,本次演习攻防目标明确,攻击路径手段多样,将是对参演单位的又一次全面检验。

二、工作内容

在防护前期的主要工作按照由外到内的防护思路,遵循以下6个步骤进行加固。

1.互联网资产摸排
2.公有云G01部署
3.D01内外网资产梳理及漏洞排查整改
4.K01安装部署
5.E01部署
6.私有云G01部署

2.1互联网资产摸排

关于互联网资产梳理我们先是使用DO1公有云利用title法在路局的配合下发现了大量的域名和IP,然后使用脚本和人工复验的方式清洗掉无效域名和IP,最终发现路局暴露在互联网上的IP和域名共计35个。

2.2公有云G01部署

关于安装公有云G01我们分两步走,①安装服务端②开启策略,并将这两个步骤分别以文档的形式,发送给各个科室系统管理员。参照教程完成安装并反馈安装结果登记表,共计安装42台(包含未暴露在互联网中的机器)。

2.3D01内外网资产梳理及漏洞排查整改

关于D01内外网资产梳理,在路局的配合下我们梳理了外部服务网中的资产159个,验证了存在的高危风险41个。(多数为ssh弱口令和mysql弱口令,后已参照《基线安全加固条例》中的要求进行加固);内部服务网共发现资产13244个,验证了存在的高危风险354个(多数为弱口令和weblogic反序列化代码执行漏洞等,并提供技术支持协助路局进行修复)。

2.4K01、E01安装部署

关于K01和E01在路局的配合下,一天就完成了两个设备的上架与调试,功能正常。也在后续的工作中起到至关重要的作用。

2.5私有云G01部署

关于私有云G01的部署,在6月2号我们完成了私有云云中心平台的搭建。于3号开始按照公有云的安装方式,将“安装”与“策略开启”文档通过内网邮件发送给各科室进行安装。通过一周的时间配合各主机管理员完成了G01对内网服务网服务器的大范围覆盖直至10号(演习开始)已完成670余台的服务器的安装与策略开启(演习结束共计安装了745台)。

三、产品优势

此次HW期间,也有不少其他安全厂商参与到防护工作中来。因此在20天的值守过程中也对其他厂商的防护设备有了一些了解。相对与其他安全厂商,我们GDKE在防护过程中还是有诸多的优势。

3.1 外网

3.1.1 K01

在外网这一块,K01毫无疑问站在了防护的最顶层,统揽全局,且得益于全国各地安装了G01服务器贡献的强大黑IP情报库,真真正正实现了一点监测,全网阻断的效果;

3.1.2 D01公有云

其次是我们的D01公有云,相比通过扫描的方式进行互联网资产探测,我们能够在短时间内快速且精准的梳理出用户暴露在互联网上的资产。为后续的精准防护提供台账支撑。

3.2 内网

3.2.1 G01公有云

在内网这一块的防护多是通过对流量进行分析然后联动防火墙对攻击的IP或请求进行封禁。在服务器自身上的防护几乎没有。特别是在同一个网段内发生的攻击行为,数据都是通过相连的交换机进行数据交换,无法通过防火墙进行阻断,但我们G01是部署在服务器上,这些攻击请求在落到服务器上后都可以被拦截,防护的手段下沉得更深。

3.2.2 D01

像铁路局以及电网这种体量相对较大的单位,他们对内网资产的管理相对也是稍微有些模糊的情况存在。因此得益于D01采用的是这种无状态的扫描技术,能够快速扫描出内网当前所有存活的资产,并且对每个存活的IP都能做到精准的协议识别。最终梳理出一份包含资产详情的完整台账,比传统的人工统计效率要高得多。

3.2.3 E01

此次HW期间,路局也采用的迪普的非法外联检测。相较于通过设备主动发包轮循的对所有IP进行检测(4个B段)。E01通过对流量进行检测,对数据包进行注入,被动的监测非法外联情况,不对外联IP在线时间有要求,只要访问内网资源,即可被检测。其次是对非法外联的机器,不仅能记录IP和MAC地址,还能记录到此机器是在访问那个内网资源时进行外联行为,并且能在外联的机器留下取证文件。

四、实操体会

GDKE设备上手部署安装简单粗暴

五、建议与改进

5.1 G01问题

5.1.1WEB云中心问题

1、实时监控TOP没有显示攻击数据。
2、资产列表中的软件应用,例如装了1000台服务器里面有300台MYSQL 点进去就卡死整个页面,要重启API才能解决。
包括其他资产列表也存在这个问题,数量太多就会卡住。
3.实时监控在后台用superadmin 登录角色管理 分配权限的时候没有看到实时监控,新建的业务账号没有绑定服务器的情况下都可以看到实时监控,然后可以直接点击详情查看事件回溯。
4、云中心的实时监控-攻击TOP5不显示内容,后来和开发排查后发现tar包中的sinopec-monitor-api-0.0.1-SNAPSHOT.jar没有selectTop5方法。
5、云中心WEB端-》入侵检测-》安全日志,日志量过大,导致该功能无法使用
6、云中心在实体机(型号:ProLiant DL388 Gen10)上安装后无法进行授权,获取不到机器码。
7、当agent安装数量过多的时候流量可视化打开就会卡住。
8、防护列表里面的数据显示不正确,安装了1500台机器显示2000多条记录,而且里面的防护开启也不正确,有些机器都没有开启操作系统加固但是列表显示打勾了。
9、webshell、二进制后面、基线检查、病毒扫描、漏洞扫描、弱口令存在任务执行了就会卡住在生成报告的状态,一直无法出数据。

5.1.2 后端处理问题

1.云中心的log-analysis-0.0.1-SNAPSHOT.jar处理消息队列时间长后对导致阻塞,加大启动内存同样出现。后设置了定时重启该进程得以解决。
2.云中心的默认日志量太大,不对日志进行过滤很容易占满磁盘空间。(建议在后台可以选择接收的日志)
3.机器数量多了后,用绑定所有机器的账号登陆PC端,出现非常卡的现象,经常把PC端搞崩溃。而且选中部分机器的系统防护都加载不出来。(需要重启connd和route)

  1. PC控制端导出日志效率低、速度慢

5.1.2 建议

1、建议在防护列表增进一个导出功能,方便客户做防护开启的统计。
2、优化事件日志,有太多大量重复的日志,且有时候加白了还是会提示,希望增加白名单后不用全选机器,直接添加这个事件后,其他机器都不会报出这个事件。
3、Web云中心上的服务器资产,希望一个业务账号填写了一些资产信息后其他业务账号也能同步到这个信息,而不用重新填写。
4、风险管理的扫描类型的功能最好能导出报告。

5.2 D01问题

1、机架设备网线接口有点不好用,拔网线的时候十分难搞。
2、扫描中的弱口令扫描,没有全部开启扫描按钮。
3、资产搜索中不能泛搜索,例如10.100.1.25 搜索的时候要输入10.100.1.25 才能搜索出来,不能直接搜10.100.1。

5.3 K01建议

1、建议增加全部日志导出功能。