这只是一场攻防演习、演习、演习,重要的事情说三遍,不要紧张。
但不要急着取关,因为这样的演习并不常见:它真实地模拟了某运营商内网的一个经典格局,分为外部服务区、内部服务区、核心区、办公区、管理区。
这场比赛名为 ISW 2017 内网安全实战演习。
之所以称为实战,是因为永信至诚和锦行科技在靶场平台上,构建了一个高仿真的运营商内网 ,在这个内网的 5 个区域中,以虚拟机形式模拟了 210 台主机,邀请 10 支黑客战队(每队 3 人)在连续 30 个小时中,先对外部服务区进行攻击,一层层突围,直至进入核心区和管理区拿下两台核心机器的权限以及拖走关键数据库……
在这 30 个小时中,10 名从各个企业请来的安全运维人员会在“上班时间”巡逻,检查关键机器的运行情况及相关日志,如果他们揪出了入侵黑客,那么,不好意思,这支黑客队伍得从头来过……
这次难度最大的是,整个内网中密布了锦行科技的幻云系统,他们在几个重大区域埋下了虚拟机中的“虚拟机”,也就是蜜罐,诱使黑客进入陷阱——几乎和真正的服务器一样的蜜罐与数据,诱敌深入,让黑客一步步走入最终的陷阱:假核心区和管理区,最后当黑客欣喜地以为到达终点时,会拿到一份假数据库文件……
演戏演到底,真是可怕。
最可怕的是,你的每一次挣扎、试探和入侵都一一被幻云系统记录,所有的行为在最后都能被守护者一一还原,你在这个内网中的路径与目的暴露在他们眼中,一览无余。
要知道,以往虽然也有企业推出针对自身内网模拟平台的攻防比赛,但是对方的攻击路径天知地知黑客知,防守者并不知,就算能够还原路径,主办方企业也不会轻易将结果公布出来复盘——让大家知道自家几乎真实的内网格局和弱点,以后是要把自家大门敞开吗?
说了这么多,这场比赛看上去应该很精彩,但是,距离比赛结束还有三小时,受访者却不约而同地担心起参赛选手可能凑不齐前三名,到底发生了什么有趣的事?
9月5日,上午10点,历时30个小时的比赛正式开始。结果,前 6 个小时内,选手一直被困在密罐中,有的甚至从外部服务区蜜罐一路被引诱打到内网密罐……发现落入陷阱后,很多选手发现了密罐的存在,终于开始攻击服务器,9月6日凌晨5点20分,第一个队伍拿到了最终目标,但依然花费了 20 个小时。
9月6日下午2点,雷锋网宅客频道编辑与一些媒体采访锦行科技的董梁、吴建亮与永信至诚的张凯时,距离比赛结束只剩2-3个小时。三人不约而同地担心:虽然这十个战队有2个是企业战队,8个是国内擅长打 CTF 比赛的战队,但是能否走出迷阵,成功诞生前三名,还是个未知数。
▲董梁、吴建亮(左一、左二)与张凯(右)
相对真实内网环境,主办方已下调了难度。
第一,这是一个浓缩型的内网,服务器数量远没有做到1:1,另外,为了增加黑客入侵的可能性,大部分服务器“人为”留下了一些漏洞,“引狼入室”没在怕的。
第二,主办方为黑客们预设了两条大概的入侵主线。
“两条链路可以达到目标,两条链路上分别不同的方法,比如,一些真的外部服务区,通过管理区直接到达内部服务区,还有一种方法——从外部服务器跳过管理区到达内部服务区,我们给选手留下很多种可以挖掘的点和路径去搞。”董梁对雷锋网宅客频道说。
第三,其实,主办方悄悄埋下了一个大彩蛋:因为有管理员巡逻的环节,黑客可以和管理人员直接对抗,抓取管理人员的密码,或者利用管理人员的通道去攻击。
吴建亮表示遗憾:结果没人来这招。
守卫者真的给黑客展现了很大的诚意:10 个管理员都不带加班的,一到下午6点准时下班,但是这 30 个小时的攻击时间是包括一个晚上的。而且,管理员每次巡查时间只有 15 分钟,只能检查 6 台固定的核心机器的日志,每次都不能换。
这样的轻松的运维管理员工作,真的只有这个赛场有。
第四,本次比赛设置了 16 个蜜罐,黑客如果在蜜罐内显示出活动痕迹,系统会自动报警。但是,在这次比赛中,触碰蜜罐报警后,守护者并不会有所反攻,只是一切真相了然于胸中而已。
董梁笑了:所有队伍几乎全部接触过 14 个密罐,报警次数上万了,但是,这一场比赛不可能终止,如果是真正企业内网,一旦触碰蜜罐报警,就真的 game over 了。”
第五,其实主办方本来准备在最终关卡设置一个陷阱,踩中陷阱的黑客以为自己最终夺得了核心机器的控制权限,但喜悦还未消散,就会发现:妈蛋,触发了数据库自动销毁程序……
后来大家觉得这一招过于凶残,所以没有设置。
虽然难度下调,但在 30 个小时的黑客入侵赛中,主办方的守方老司机洞悉了一切,他们把黑客的错误与挣扎(对,没错,就是挣扎)看在了眼里。
张凯对雷锋网宅客频道指出:
第一,最开始时,习惯打 CTF 的选手懵了,不太适应攻防实战。
我发现大家一开场都不太适应,所以最开始进入入口的时候,大家都开始横向的在外部安全区横向平移,很像平时比赛过程一个点一个点拿过去,其实这一场比赛拿到一个信息点,并不代表这是渗透过程种关键的信息,必须得自己判断,这个线索和真正进行下一步线索哪个重要?哪个先来?要有跳跃性思维。
第二,9月5日晚上只有一支战队回去睡觉了,所有人一直连续通宵进行攻防。
这种行为和真实世界的应急团队很像,他们确实会这样通宵为一些技术问题不断进行连续操作。
其实,这并不是第一次引入安全公司的防护产品进行的企业内网实战演练。
此前一些企业、甚至军方针对自己内网的特殊实战演练中,也有引入一些安全产品进行防护。但是,出于保密,外部对这种情况可能了解不多。
通过这次特殊赛制的攻防演练,张凯希望达到这样的效果:
让所有参与者体会到真正的渗透者面对目标时做什么,运维团队面对这样的目标需要做什么,一些战队体会了多次传统安全比赛后,对真实环境并不是特别熟悉,借此引领比赛走向更真实和实用化的领域,也是培养企业所需的实际安全人才的通道之一。
最终,经过30小时的困战,北京邮电大学 Triangle 战队、杭州电子科技大学 P4ssw0rd 战队和来自周口师范学院的 WPSEC 战队摘得了前三名。
还好,还是有前三名的。
在颁奖典礼上,锦行科技联合创始人及 CSO 王俊卿(也就是宅客频道之前报道过的黑客老王)这样说道:
可能吹个牛,大家别笑话,我们针对的是像 NSA 这种级别的对手,为什么?我们现在可能接触更多的是一些人把哪个网站黑了,操作相对来说都是漏洞驱动,发现严重漏洞马上能接触数据,把重要数据拖下来,但是对于 NSA 这种级别的对手,他们并不关心你这部分数据,这种数据可能还有 N 种方式可被获得。
针对这种高级别的对手,老王觉得可以把自己的心血结晶“幻云”拿出来一战。所以在这次高仿的运营商网络中,面对 30 个黑客,老王也没在怕的。
老王提醒,未来如果在内网中与黑客高手狭路相逢,他想助力防守方干成这两件事:
1拖延黑客攻击到真正重要的业务系统的时间。
一些高级别的对手可能有很多漏洞可以用,可以允许你用这个漏洞来打企业网络,但是不能让你轻易地在网络里平移,核心数据隐藏在网络里,绝对不能让人翻个底朝天翻出来。
2.攻心之战:震慑攻击者。
如果黑客知道企业内网部署了欺骗防护系统,又知道自己的真实意图和攻击路径可被记录和还原,他可能不敢肆无忌惮地在真实系统穿梭。在真实与虚幻间,攻击者必须小心翼翼,再次达到拖延的效果。
这段时间内,在内网渗透的最早阶段发现攻击,并采取措施,是老王干掉黑客的终极目的。
正在生成分享图...
汪思颖