攻防實戰中暴露的高校網絡安全問題

今年8月份一過，紅方攻擊隊終于歇了口氣。

從7月份國家攻防演習到8月份的省級、行業攻防演習，攻擊隊一刻也未停歇。大家都想趕在重大節日之前，通過攻防演習盡可能地提前發現問題、解決問題，確保重保期間不出現重大的業務故障和數據泄露問題。

在此期間，深信服分別以進攻方、防守方、組織方、裁判等多個角色，深度參與了多個省教育廳、高校組織的攻防演習，并結合今年5月份教育部組織的攻防演習，總結出了教育用戶存在的三類共性網絡安全問題：系統安全漏洞、弱口令和人員安全意識薄弱。以上問題也常常被攻擊者作為入侵突破口。

這里，列舉幾個共性問題中需要引起重視的幾個點。

01.虛擬化平臺的安全問題

在演習中發現多所高校的VMware平臺存在vCenter任意文件上傳漏洞（CVE-2021-22005），通過該漏洞可以在數據庫文件中提取Cookie，進而在瀏覽器中替換Cookie，從而獲取vCenter Web權限，最終導致數據中心信息系統大面積的淪陷。今年VMware不斷被推上風口浪尖，3月對俄停服，5月被博通收購，后又陷入裁員風波，上任僅9個月的大中華區總裁原欣也在8月份突然離職。結合當前復雜的國際形勢和國產化進程，高校用戶也需要考慮替換方案。當然替換的原因除了技術層面，網絡安全、數據安全和售后服務也是重要因素。

02.VPN弱口令問題

很多高校通過VPN來發布圖書館資源、信息門戶、教務、學工、OA等系統，供師生訪問。在帶來校外訪問校內資源便利的同時，很多高校也因為弱口令問題，被輕松獲取到VPN賬號和密碼信息，進而入侵到內網。近年來火爆的零信任架構被認為是解決該問題的最佳方式。

03.SaaS供應商的供應鏈問題

很多高校都采購了SaaS應用，這些應用和學校數據中心存在接口連接，有些應用甚至保留了大量的師生數據。如果SaaS廠商出現了安全問題，那么使用這家廠商SaaS應用的所有高校都有可能受到攻擊。SaaS廠商本身安全意識和安全防護都比較薄弱，因此教育系統SaaS廠商也成為攻擊者入侵高校的一個薄弱突破口。建議學校在選擇供應商時，要做好應用的安全防護和廠商人員的安全管理。

04.數據安全的問題

隨著數據安全成為近幾年的焦點話題，教育系統的網絡安全防護重點開始從網站安全轉移到數據安全。重保時期的關鍵要求之一是確保不發生重大的數據泄露事件。然而，在攻防演習中經常發現高校的數據存在很大問題。一是數據共享沒有脫敏，沒有對API接口進行防護，很容易通過API接口入侵到數據中臺。二是學校存在較多采集和保留數據的系統，且這些數據都沒有進行加密處理。

高校在進行自身安全建設規劃時，大多基于合規需求和防守視角，并參考了各種安全架構模型。但是，基于此設計的安全規劃就能在攻防常態化的情況下，有效防御和檢測內外部攻擊，避免出現數據泄露、系統癱瘓等問題嗎？其實，很多教育用戶心里也沒譜。

本期，深信服從實戰攻防的角度，通過深入分析進攻方的技戰術，幫助教育用戶更好地了解對手，并基于高校的業務現狀，給出適合高校的重保防守體系建設建議。

攻防態勢對比--不平等的戰爭

近年來，網絡空間攻擊態勢發生了深刻的變化。當前的網絡攻擊不僅是攻擊者肆意妄為的個人行為，也摻雜了越來越多的國家級力量，網絡空間已成為各國角逐的新戰場。

教育興則國家興，教育強則國家強。教育是民族振興、社會進步的重要基石。高校不僅承載著教書育人的重任，還承擔著大量的科研任務，對引領我國未來經濟發展起到了重大作用，也因此成為眾多境外APT攻擊的目標對象。

攻擊組織的主要攻擊目標是對高校的網絡系統進行長期隱蔽控制，從而在重要活動期間對網頁進行篡改、傳播反動信息，獲取重要的師生和科研數據，以及破壞核心業務等。

相比于傳統的個人攻擊者行為，攻擊組織主要有如下幾點變化：

• 針對高校的攻擊力量更龐大：攻擊組織的背后有情報分析人員、漏洞挖掘團隊、武器制作團隊以及教育行業專家為其出謀劃策和提供“彈藥”。
• 更注重對高校的情報收集：關注學校脆弱的暴露面、可訪問的攻擊路徑、人員情況、業務信息、防御手段等。
• 攻擊的裝備更齊全：利用0day漏洞、賬號和釣魚郵件等方式，突破高校的內部網絡，進入內網后通過強對抗的木馬、隱蔽隧道等完成后續操作。

高校作為防守方相對于攻擊方，現有的防守力量和裝備都比較薄弱，可以說這是一場不平等的網絡戰爭。具體表現在以下幾點：

• 防守團隊薄弱：高校由于人員編制等客觀原因，實戰安全人員較少，現有團隊成員偏運維和管理，缺少預警監測、分析研判的團隊成員。
• 暴露面大，可突破入口多：隨著教育數字化建設邁入深水區，高校有大量的業務系統暴露在互聯網；高校人員結構復雜，有學生、教職員工、家屬和第三方人員；現有的分校、分院、分支機構等都可能成為進入校園內網的突破口。
• 缺少屏障，無險可守：高校缺乏縱深防御體系，基本上被攻擊者突破邊界后，進入內網便是暢通無阻。
• 難以監測全局安全態勢：高校由于終端數量多、流量大，往往成為攻擊者釣魚的目標。加之，很多高校沒有強制要求師生安裝安全客戶端，二級學院各自為政，難以有效地監測全校網絡和終端的安全情況。

進攻篇：擇其弱、攻其親、破其盾、毀其糧

正所謂知己知彼，百戰不殆。防守方需要從攻擊者角度去站位思考，分析總結攻方會采取的方法和手段，從而更加有針對性的制定“反制”措施。

攻擊者的攻擊謀略可歸納為12個字——“擇其弱、攻其親、破其盾、毀其糧”

1.擇其弱：選擇防守方薄弱的邊界作為突破口；

2.攻其親：順著可訪問到核心系統的路徑一步步進攻滲透；

3.破其盾：對抗防守方的防御和檢測設備，進而拿下核心系統權限；

4.毀其糧：最終造成數據泄露、業務癱瘓等實質性破壞。

基于攻擊謀略，技戰術可拆解成如下圖：

情報收集：尋找脆弱、隱蔽的從邊界到靶標的訪問路徑

情報收集貫穿整個攻擊過程，主要有三個目的：首先，尋找進入校園網的脆弱突破口。其次，尋找從突破口到達核心系統的路徑。最后，了解攻擊路徑上的防護和檢測設備便于后期選擇適合的武器裝備繞過防御和檢測。

邊界突破：通過脆弱的突破口進到校園網，并建立長期隱蔽的控制隧道

完成情報收集工作后，攻擊者就會利用手上的武器裝備嘗試突破校園內網，并在這個過程中逐步提權，最終達到長期隱蔽控制的效果，將其作為通過互聯網控制核心系統的跳板機。系統漏洞、弱口令、網絡釣魚是三種最常用的邊界突破方式。

內網滲透：找到核心系統的訪問路徑，并最終拿下核心系統權限

進到內網后，通過信息收集和橫向滲透，找到訪問核心系統的路徑，并利用漏洞拿下核心系統權限。

造成破壞：業務停擺、數據泄露，甚至造成不良社會影響

對高校網絡安全層面的破壞主要分為三個層面：

• 破壞核心系統和數據，造成業務不能正常運行，影響日常教學；
• 竊取師生個人信息及科研數據/成果，造成重大數據泄露事故；
• 對學校網站進行篡改從而傳播不良信息，或者通過網頁掛馬對師生進行詐騙，二者都會對學校形象造成極大的負面影響。

綜上所述，尋找脆弱的邊界突破口進入校園網是成功攻擊的關鍵。攻擊者常用的攻擊路徑可以歸類為以下十條：

1、利用聯網的系統漏洞突破，進入校園內網進而橫移滲透拿下核心系統權限；

2、通過購買或弱口令暴破拿到合法的VPN賬號、統一身份認證賬號等登錄進入校園內網，進而橫向滲透拿下核心系統權限；

3、通過釣魚控制師生的終端，突破進入校園內網，進而橫移滲透拿下核心系統權限；

4、通過供應鏈軟件更新投毒獲取系統權限，突破進入校園內網，進而橫移滲透拿下核心系統權限；

5、通過分校/醫院/機構薄弱點，控制進入校園內網，進而橫移滲透拿下核心系統權限；

6、通過泄露的管理員賬號/弱口令訪問核心系統，進而提權，拿下權限；

7、通過運維人員賬號/控制運維人員終端訪問核心系統，進而提權拿下權限；

8、通過攝像頭、POS機等物聯網接入，內網漫游找到雙網卡主機，突破校園內網進而橫移滲透，拿下核心系統權限；

9、無線投毒控制校園網終端，進而橫向滲透拿下核心系統權限；

10、利用校級APP漏洞，突破進入校園內網，橫向滲透拿下核心系統權限。

防守篇：堅壁清野、嚴陣以待、高壘伏銳、反客為主

面對攻擊方的進攻，高校作為防守方應該如何應對？

高校用戶可以記住16字口訣：——“堅壁清野、嚴陣以待、高壘伏銳、反客為主”。

1.堅壁清野：收縮暴露面，減少攻擊者可利用的突破口；

2.嚴陣以待：在邊界部署安全設備，對入口嚴防死守；

3.高壘伏銳：順著黑客進攻的路徑，在攻擊影響到核心系統之前進行縱深防御和縱深檢測，第一時間發現攻擊的蛛絲馬跡，實現快速發現和快速處置；

4.反客為主：對攻擊者進行溯源反制，收回攻擊終端權限，實現反客為主。

暴露面管理--消減攻擊者可利用的脆弱點

人始終是最大的安全隱患，從歷年情況來看，師生被釣魚的事件層出不窮。因此，各高校單位既要通過培訓和宣講不斷地提高師生及軟硬件供應商的網絡安全意識，又需要找到并清除或整改已泄露的敏感信息。如弱口令、特權賬號等。同時，需要及時修補系統漏洞，增強網絡和設備的安全配置，避免被攻擊者利用。

攻擊入口的全方位安全防御

高校常被攻擊的入口有很多，其中系統漏洞、賬號、終端是最常見的三種入口，針對以上三個入口的防御思路如下：

（一）系統漏洞防護

系統漏洞防護流程可參考下圖：

1. 在校園網入口處部署防火墻

當攻擊者使用自動化掃描工具掃描學校系統，確認是否有可利用的漏洞接口時，通過防火墻可以主動發起JS交互，生成工具指紋。當攻擊者使用高級工具進行攻擊時，防火墻的工具指紋會匹配指紋庫進行風險攔截。而當攻擊者使用python等非瀏覽器工具進行攻擊時，由于沒有回傳相應的指紋，此種情況下則會被防火墻直接攔截。通過上述方式，可以有效阻止攻擊者通過掃描工具檢測系統的可利用漏洞，迫使攻擊者手動校驗，提高漏洞利用難度。

2. 通過零信任網關對內部應用進行隱藏收縮

當攻擊者使用瀏覽器進行正常訪問時，防火墻不會進行攔截限制。此種情況下，借助零信任網關，對外僅暴露零信任網關IP和端口，可以有效避免被攻擊者在互聯網直接訪問，從而收斂應用服務的網絡暴露面。攻擊者只能找到公眾聯網系統的漏洞，以及誘捕蜜罐特意留下的漏洞，無法找到內網漏洞。

3. 通過WAF識別并阻止漏洞利用

當攻擊者找到公眾聯網系統的漏洞接口后，下一步就會嘗試漏洞利用。此時，通過防火墻的WAF智能語義引擎可以還原攻擊語法，識別危險特征，并進行攔截。

4. 通過蜜罐繼續攻擊誘捕

當攻擊者對蜜罐的漏洞接口進行漏洞利用時，防火墻會直接放行，從而誤導攻擊者。攻擊者花費大量的精力拿下誘捕蜜罐的權限，過程中卻被防火墻捕獲整個攻擊指紋。后續若匹配到相同指紋，防火墻會直接進行封堵。

（二）賬號入口防御

1、提前排查互聯網泄露的賬號密碼，并做整改。

2、啟用強密碼規則，避免被弱口令暴破。

3、使用零信任網關替換VPN，增強業務訪問安全管控，在出現賬號登錄異常時，啟用二次驗證，并要求進行雙因素認證。

4、VPN訪問，按需最小化控制權限范圍。

5、零信任替換VPN，增強設備防護能力，避免設備因漏洞被拿下。

（三）終端入口防御

1、終端漏洞管理，更新最新系統版本，及時打補丁，不易打補丁的，可通過虛擬補丁防護，避免存在可利用的漏洞；

2、加強師生安全意識，避免被釣魚，不輕易點擊非信任的鏈接和附件，避免終端失陷；

3、安裝殺毒軟件、EDR，對攻擊者的工具、木馬、遠程漏洞利用等進行識別防御，避免被當作跳板入侵內網。

對攻擊路徑進行縱深防御

縱深防御的核心就是給攻擊者層層設卡，讓攻擊者寸步難行，即使突破了邊界，也不能輕易地訪問到靶標進而拿下權限；在此過程中讓攻擊者留下更多攻擊痕跡，便于后續的高效檢測。

縱深防御有四個維度：

網絡訪問控制

嚴格做好不同業務區域的網絡分區，不同分區間使用防火墻進行訪問控制和安全防護，避免從邊界直接訪問到核心系統。

資源的訪問控制

通過堡壘機、零信任、數據庫安全運維審計、虛擬桌面等，使攻擊者無法隨意訪問服務器、數據庫、網絡設備。同時，結合雙因素認證管理等措施，確保失陷主機無法直接訪問業務資源。

應用訪問控制

如果攻擊者突破了層層防守訪問到了核心系統，需要依賴于系統自身的安全性，這也是最后的防線。具體包括SDL開發安全、上線代碼檢測、認證授權、加密通信、漏洞管理、系統的主機安全防護等，通過上述措施提升應用系統的健壯性，避免系統權限被拿下、數據信息被竊取。

高效運營閉環

如若在任何階段發現問題，需要第一時間將問題設備隔離排查處置，避免影響范圍擴大。在日常工作中，高校信息中心可以通過建立工單流程拉通二級學院進行事件協同處置，引入SOAR自動化處置技術提高處置效率，引入安全工作績效評價體系等，提高安全運營效率，助力事件的快速閉環處置。

縱深檢測，還原攻擊鏈

攻擊者在攻擊路線上會留下痕跡，如果我們能全方位地監測到這些痕跡，提早發現問題，就可以在攻擊者拿下靶標前快速閉環處置。

1、網絡全流量采集：針對高帶寬的互聯網出口，可以使用出口防火墻或者上網審計設備作為探針?；诜阑饓蛯徲嬙O備在出口可以獲取到整個出口流量數據；在數據中心出口部署流量探針，就可以采集到上網場景和數據中心場景的流量；針對二級學院到數據中心或者其他區域的東西向流量，通過二級學院出口的邊界防火墻去做相應的采集。

2、終端日志采集：首先，提供可自行下載的正版EDR軟件。其次，在服務器和重要崗位工作人員（運維、開發、科研、財務）的電腦上率先安裝EDR設備進行防護和檢測。最后，循序漸進地在全校范圍內進行推廣。

3、攻擊鏈分析：通常而言，進行縱深檢測后，安全設備會產生大量的告警和日志，嚴重干擾安全運維人員的視線。這就需要把這些終端和網絡上產生的告警日志歸因成事件，并且把一個個孤立的事件基于攻擊的目的、時間、IP等串成一個完整的攻擊鏈條，進而有效地進行事件的處置。

這里需要依賴平臺的機器學習、端點+網絡的關聯引擎、IOC情報和IOA行為分析引擎能力等，這也是XDR技術目前的優勢。同時，建議配合安全專家的能力進行研判。

溯源反制

最后是溯源反制。

溯源反制分為三步：還原攻擊鏈，包括TTPS，IOC等；其次，溯源定位攻擊者的網絡和真實身份；最后，反制到攻擊者的攻擊裝備。

總結

高校作為眾多境外APT攻擊的目標對象，在重保期間勢必會面臨更嚴重的網絡安全威脅，只有做好“備戰”才能更好的“勝戰”。本文希望通過梳理攻擊方的技戰術及防守戰術，以期讓廣大教育用戶了解當前攻防雙方的力量差距，幫助高校更好進行安全建設整體規劃。