近日,一场黑客渗透与反黑客攻击为内容的攻防大战,在我省展开,12家单位因为关键信息基础设施目标系统存在重大网络安全隐患,瞬间沦陷。
不要急。
攻防大战中的黑客,并非现实生活中的真实黑客,他们全是从我省各市州网安部门抽调来的技术骨干人员,以及由亚信安全、360安全等企业的技术人员组成。
黑客虽是假的,但干的全是真黑客的事。据介绍,这次参加“平安2017”关键信息基础设施攻防演练,被攻击的对象全是真实的单位,如省电力、审计、卫计委等25个省、市关键信息基础设施单位政府网站,参演人员达90余人。
真实攻防
演练发现某省级系统多个重大安全隐患
此次演练在确保安全的前提下,攻防双方在真实网络环境下“背靠背”进行实兵对抗,及时发现并整改重点保卫单位网络安全深层次问题和隐患,检验并提高安全监测、日志留存、应急处置等网络安全防御能力和水平。
展开全文
“平安2017”攻防演练启动以来,攻防双方你来我往、实兵对抗,攻守之间,成果初显。演练中,某攻击团队通过扫描、渗透等多种手段,最终成功突破防线,发现某省级目标系统的多个重大安全隐患。
该目标系统某场景式服务管理系统存在弱口令、未授权访问、敏感信息泄露、验证码不失效、文件上传等5处漏洞。
通过管理后台存在的账号弱口令漏洞,可成功进入系统后台,实现对网站内容、用户权限的修改等管理操作;部分页面未添加用户验证机制,导致泄露用户账号信息等敏感数据,未授权用户可直接查看页面内容;利用管理后台登录界面验证码过期不失效漏洞,可进行账号暴力破解;网站未对Webservices接口做验证,攻击者可利用此接口上传webshell。
演练裁判组随即将此次攻击成果向某省级部门进行了通报,并组织技术及专家指导开展安全隐患的整改修复工作,全力以赴保障网络安全。
强化安全事件监测
审计厅拦截3000余次攻方人员扫描
省审计厅互联网门户网站是此次参演防守目标系统之一。审计厅高度重视“平安2017”关键信息基础设施攻防演练工作,以实战演练为契机,组织信息中心、安全运维团队及系统责任部门网络安全人员全程参与,要求以日常安全防护为基准,坚持实事求是、不怕问题,避免过度防御,对目标系统网络安全实际状况进行检验。
演练开展以来,省审计厅运用自建的“域名防护系统”和“云WAF安全平台”,成功识别和拦截了3000余次参演攻方人员扫描、探测及攻击尝试等信息,并组织安全运维人员加强监测、分类梳理,对网络安全威胁态势进行分析研判,构建形成了行之有效的综合防御体系。
在“平安2017”关键信息基础设施攻防演练工作中,攻方团队密切协作,以“发现漏洞、堵塞隐患为指导,共发现广元、德阳、甘孜等12个关键信息基础设施目标系统存在重大网络安全隐患。漏洞情况已通报属地网安,督促防守单位组织力量进行核查整改,坚决防止产生现实危害。
发布于 2022-07-20 00:19:01 回复
发布于 2022-07-20 06:48:48 回复