作为攻击工具界的“顶流”,漏洞绝对是红队撕开目标网络,建立据点最爱的方式之一。但如果被攻击的对象是你所在的企业,你想好如何应对了吗?
这次我们从攻防演练中的红队视角出发,来看看不同环节,蓝队或者防守方如何能够将漏洞威胁降到最低,帮助蓝队从对漏洞摸不透、一脸懵到不慌张。
攻防演练之
红队前期漏洞收集
在攻防演练开始之前,红队准备发起攻击,尤其是利用漏洞进行攻击时,首先会收集关于企业不同维度的信息,了解被攻击目标,为发起攻击做准备。在攻击者眼中,企业的组织架构、IT资产、敏感信息泄露、供应商等都属于重要信息。一旦企业的IT资产被发现一个0day漏洞或高危漏洞,企业就非常危险了。
作为防守方,企业应该在红队打探到IT资产存在漏洞前,就进行主动排查与关注:
**已有资产前期漏洞排查。**这一步,企业需要确认现有网络资产,是否存在“存量漏洞”或者“历史漏洞”,不给红队提供直接进入的机会。微步目前已建立漏洞情报库,除采集公开漏洞外,自有产品也可捕获0day漏洞,并拥有可能国内付费最高、影响力最大的漏洞奖励计划,可以检测攻防演练中85%以上的漏洞。微步已将该漏洞情报能力输出到旗下威胁情报管理平台TIP以及威胁情报社区X。
微步X情报社区及威胁情报管理平台TIP不仅支持便捷的漏洞情报查询,能够进行关键字段筛选以及关键词检索,提供完整的情报上下文,也支持漏洞情报API接口,将漏洞信息接入自动化的运维流程,及时获取到微步独家0day漏洞、独家最新漏洞、最近被利用漏洞、公开漏洞等的基础信息,以及漏洞风险评估、PoC、处置建议、补丁等信息,可用于攻防演练或者重保时期批量漏洞查询。(戳蓝字查看《几乎全是RCE,100%有PoC,2024年红队最害怕你知道的50个高危漏洞!》)
攻防演练之
红队开启0day漏洞猛攻
如果很不幸,你没有做前期的存量资产漏洞排查,或者资产太多根本没法全面排查漏洞,也没有工具及时准确提醒“你家里某个资产有高危漏洞”,那你就只能老老实实地应对接下来的“威胁”了,尤其是要面对红队冷不丁的“0day猛攻”。
作为红队最主流,最”爽“的攻击打点方式,国产OA系统、财务系统、邮件、摄像头的0day漏洞,只能是红队储备的基本款,特定行业供应链的0day漏洞,才是红队横向披靡,指哪打哪的“差异化”武器。
此时,蓝队可以做的也很简单:
**新高危漏洞发现与应急。**微步X情报社区及威胁情报管理平台TIP漏洞情报模块,针对企业关注的品牌,提供高风险漏洞(0day漏洞)通知与响应,以及漏洞情报订阅服务,帮助企业在攻防演练前中后期定向关注业务资产相关的高风险漏洞,通过IM、邮件等方式及时提供完整的漏洞技术细节、详细的漏洞情报数据及漏洞深度分析,给出最真实有效的漏洞处置建议。
**漏洞处置与缓解。**碰到最需要修复的漏洞,企业需要基于漏洞信息或者官方修复建议,赶在攻击者利用漏洞之前进行修复或是提供临时缓解方案。微步X情报社区及威胁情报管理平台TIP,拥有更全面的漏洞利用情报信息,提供深度分析报告,包含处置优先级、技术分析、复现过程、检测PoC,修复方案等等,也提供安全事件、APT组织、黑产团伙等威胁情报,能够持续跟踪漏洞在实际网络中的利用情况,梳理出漏洞攻击画像,例如提供攻击者IP等丰富信息,可供企业快速进行封禁,化解威胁。
漏洞的破坏性绝对不容小觑,当越来越多的高危漏洞、0day漏洞出现在企业的日常安全运营、实战对抗当中时,对于企业而言,性价比最高、最稳妥的方式是通过各种手段及时发现、尽快修复,不把自己的漏洞暴露给攻击者。
安全传送门
想在红队之前做个全面&精准漏洞梳理
欢迎体验微步漏洞情报
▼
扫码在线沟通
↓↓↓
点此电话咨询
· END ·