1. 首页
  2. 红队技术

基于办公OA系统的防护HVV技战法

【推荐学习】暗月渗透测试培训 十多年渗透经验,体系化培训渗透测试 、高效学习渗透测试,欢迎添加微信好友aptimeok 咨询。

实践背景:

近期,由XXX组织的攻习正开始。为深入贯彻落实网络安全法,保障审计业务及IT基础设施安全稳定运行,网络安全建设内容,审计署针对本次攻防演习做了大量准备工作,在演习前后开展了安全隐患排查、主机漏洞修复、制定应急预案等工作。
在演习过程中,对于社工攻击的防御是至关重要的一环。稍有不慎就会成为攻击方的致命突破口,而办公OA系统一旦沦陷,随之会出现更精准更具迷惑性的社会工程学攻击。
战术思想
1、确保办公OA系统遭遇攻击时及时做出有效反应,调查攻击所暴露的相关业务,及时开展应急工作,保证社会工程学防护方案有效性、重要性、及时性。
2、在实施社会工程学防护各项措施方案的同时,必须优先考虑业务的秩序开展,保障业务的运作正常,不宜因实施社会工程学防范方案而临时修改正常业务制度、公司章程等。在保证业务正常开展的大前提下,制定防范方案。
3、在防守期间,所执行遵守的社会工程学防护方案需落实到、精确到每一个相关人员,确保方案实施全覆盖,缩小社会工程学攻击面,以达到方案实施最优效果。
战术方法
1.办公OA系统的提前预防
  • 部署安全设备
    • 部署安全设备提高系统防护并实时动态监测通信内容、网络行为和网络流量,发现和捕获各种敏感信息、违规行为,实时报警响应,全面记录网络系统中的各种会话和事件,实现对网络信息的智能关联分析、评估及安全事件的准确定位
    • 渗透测试加固系统
      • 进行黑盒测试和白盒测试以加固系统本身的安全性
    • 备份数据
      • 数据及时备份,当办公系统沦陷时能及时恢复业务正常运作
      • 员工安全意识培训、完善制度
  • 组织人员安全意识培训会议,讲解常见社会工程学攻击手段与途径、遭受攻击后果严重性。内容包括当心来路不明的服务供应商等人的电子邮件、即时简讯以及电话、缓慢并认真地浏览电子邮件和短信中的细节、永远不要点击来自未知发送者的电子邮件中的嵌入链接、永远不要在未知发送者的电子邮件中下载附件、拒绝来自陌生人的在线电脑技术帮助、关注网站的URL、不要幻想不劳而获等。提高整体安全意识,提高个体责任意识。
  • 组织钓鱼邮件演习,以公司内部违规人员通报邮件为主题,携带演习用外联木马附件,模拟社会工程学钓鱼邮件攻击场景,检验公司人员安全意识水平,加强网络安全意识教育。记录邮箱附件上线主机信息,联系相关个体并加强个体意识水平,讲解识别规避钓鱼邮件相关方法。
2.沦陷后的办公OA系统社会工程学攻击及防范
沦陷后的办公OA系统通信不可信
      • 冒充公司职员身份进行社工 。当办公OA系统沦陷,红队有足够权限冒充包括上下级和同事身份并且模拟出十分真实的身份,使之办公OA系统内部通信功能有可能被红队利用来进行钓鱼攻击(如对实习生发offer,员工涨薪通知,辞退通知等等),因此此时沦陷的OA系统内部通信不可信任,应当告诉员工冷静甄别。
      • 伪造公告发布恶意链接、文件进行社工钓鱼。当办公OA系统沦陷,
      • 红队有足够权限发布公告信息,这种手法能够短时间攻击所有员工,危害巨大,因此此时沦陷的OA系统内部通信不可信任。

沦陷后的办公OA系统文件不可信

      • 对于任何文件都有可能包含病毒木马,应当沙盒内使用或者排除病毒后使用

沦陷后的办公OA系统链接不可信

      • 特别是公告里的链接和内部通信里的链接
 

基于办公OA系统的防护HVV技战法

四、成效总结:

通过利用外部威胁情报监控能力与威胁情报关联的上下文信息,以及针对演习中的告警流量分析得出关联情报,对我司受影响业务加固整改。

演习期间,共发现XX起攻击事件,通过此技战法,演习前修复XX个漏洞,演习中溯源到家攻击队X个、威胁家族X个,为溯源工作提供了可靠的举证。最终,该技战法使我司化被动为主动,数据安全得到保障,更完善我司网络安全防控体系建设。

原创文章,作者:mOon,如若转载,请注明出处:https://www.moonsec.com/8688.html

联系我们

400-800-8888

在线咨询:点击这里给我发消息

邮件:admin@example.com

工作时间:周一至周五,9:30-18:30,节假日休息