實(shí)戰(zhàn)攻防演練是檢閱政企機(jī)構(gòu)安全防護(hù)和應(yīng)急處置能力的有效手段之一。每年舉行的國(guó)家級(jí)實(shí)戰(zhàn)攻防演練，聚集了國(guó)內(nèi)多支頂尖攻擊團(tuán)隊(duì)，在攻擊手段和強(qiáng)度上遠(yuǎn)遠(yuǎn)超過日常安全檢查，防守方都面臨著非常嚴(yán)峻的考驗(yàn)。

　　今年網(wǎng)絡(luò)攻防演練專項(xiàng)行動(dòng)在即，相信不少的企業(yè)和機(jī)構(gòu)早已開始了準(zhǔn)備。那么，如何高效應(yīng)對(duì)網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防演練?與之前相比，今年的網(wǎng)絡(luò)攻防演練又會(huì)出現(xiàn)哪些新特點(diǎn)呢?

　　一、從合規(guī)到實(shí)戰(zhàn)，攻防演練呈現(xiàn)五大趨勢(shì)

　　由于目前網(wǎng)絡(luò)空間態(tài)勢(shì)復(fù)雜，如何在攻防對(duì)抗環(huán)境中具備實(shí)戰(zhàn)能力，已成為所有行業(yè)和政企機(jī)構(gòu)網(wǎng)絡(luò)安全建設(shè)的重要目標(biāo)。

　　瑞數(shù)信息首席安全顧問周浩表示，從2016-2020年的攻防演練實(shí)踐看，無論從演練規(guī)模還是攻擊技術(shù)上看，都在不斷升級(jí)演進(jìn)升級(jí)。

　　例如：2016年，攻擊方法以傳統(tǒng)應(yīng)用系統(tǒng)攻擊為主，攻擊手段相對(duì)單一;但到了2020年，攻擊范圍進(jìn)一步擴(kuò)大，自動(dòng)化攻擊、武器化攻擊越來越多，大批量0day在演練中使用，并且攻擊范圍也擴(kuò)展到了安全設(shè)備自身，各種高級(jí)實(shí)戰(zhàn)的攻擊手段也有所使用。

　　從去年攻防演練的實(shí)戰(zhàn)情況，可以看到攻防演練已呈現(xiàn)五大攻擊趨勢(shì)：

　　? 攻擊手法一：自動(dòng)化攻擊、武器化攻擊越加明顯

　　在攻防演練中，紅隊(duì)會(huì)對(duì)開源工具、泄漏工具、定制工具等進(jìn)行整合，構(gòu)建自己的武器庫(kù)。通過武器庫(kù)可快速高效的對(duì)各類0day、Nday漏洞進(jìn)行探測(cè)利用，在攻擊過程中還可對(duì)特征識(shí)別、IP封鎖等防護(hù)措施進(jìn)行突破。

　　除了漏洞探測(cè)利用工具外，紅隊(duì)還會(huì)利用動(dòng)態(tài)加密Webshell來穿透WAF防護(hù)，進(jìn)行權(quán)限維持和跳板搭建，如哥斯拉、冰蝎等Webshell采用動(dòng)態(tài)加密方式，通信過程無穩(wěn)定可識(shí)別的特征，碾壓市面上所有基于特征匹配的傳統(tǒng)WAF。對(duì)于藍(lán)隊(duì)基于規(guī)則的防護(hù)而言，實(shí)則是一種降維打擊。

　　? 攻擊手法二：人員和管理漏洞探測(cè)

　　除了攻擊應(yīng)用漏洞之外，紅隊(duì)還會(huì)探測(cè)藍(lán)隊(duì)在人員和管理上的漏洞，如：弱口令、網(wǎng)絡(luò)遺漏備份文件等，尤其是VPN、郵箱、管理平臺(tái)等系統(tǒng)，已經(jīng)成為重點(diǎn)攻擊對(duì)象。

　　? 攻擊手法三：多源低頻攻擊

　　攻防演練中，封IP是最主要的防護(hù)手段之一。實(shí)戰(zhàn)過程中，紅隊(duì)會(huì)通過分布在全國(guó)各地的IP代理發(fā)起攻擊，這些IP地址可能來自機(jī)房，也可能來自家庭寬帶、手機(jī)基站等。貿(mào)然對(duì)這些IP進(jìn)行封堵，可能會(huì)造成業(yè)務(wù)不可用，甚至達(dá)到防火墻IP黑名單的數(shù)量上限。

　　? 攻擊手法四：社工釣魚

　　社工釣魚在實(shí)戰(zhàn)中的應(yīng)用越來越廣泛。紅隊(duì)會(huì)從人的角度下手，給相應(yīng)的員工、外包人員發(fā)釣魚郵件，搭建釣魚用的WIFI熱點(diǎn)，甚至雇人混入藍(lán)隊(duì)，插U盤、中木馬等等。

　　? 攻擊手法五：0day攻擊成為常態(tài)

　　在攻防演練中，0day攻擊已成為常態(tài)，由于0day漏洞能夠穿透現(xiàn)有基于規(guī)則的防護(hù)技術(shù)，被視為紅隊(duì)最為有效的手段之一。2020年攻防演練中，出現(xiàn)了上百個(gè)0day漏洞，這些漏洞中大部分和暴露在互聯(lián)網(wǎng)上的Web應(yīng)用相關(guān)，直接威脅到核心系統(tǒng)的安全。

　　總體而言，在實(shí)戰(zhàn)化、高級(jí)化、常態(tài)化的攻擊趨勢(shì)下，攻防演練的力度將空前加大。鑒于今年建黨100周年等重大活動(dòng)眾多，境外惡勢(shì)力攻擊將更加激烈，各類重保活動(dòng)的時(shí)間也會(huì)持續(xù)拉長(zhǎng)。

　　二、從人防到技防，瑞數(shù)信息“三板斧”構(gòu)建實(shí)戰(zhàn)能力

　　攻易守難，安全工作者在攻防演練中往往要承受巨大的壓力。由于藍(lán)隊(duì)處于被動(dòng)，當(dāng)發(fā)現(xiàn)攻擊事件、溯源攻擊時(shí)，整體已經(jīng)處于滯后狀態(tài)，所以在攻防演練中，藍(lán)隊(duì)需要投入大量精力做防守，甚至是7*24小時(shí)的人工值守，處于非常態(tài)化的安全運(yùn)營(yíng)中。

　　那么，是否能夠通過一些技術(shù)手段來降低藍(lán)隊(duì)安全人員的工作量，并達(dá)到很好的防護(hù)效果呢?瑞數(shù)信息首席安全顧問周浩認(rèn)為，要做到從“人防”到“技防”，可以從攻擊的三個(gè)階段入手：

　　? 第一階段：自動(dòng)化攻擊、信息收集

　　在攻擊前期，紅隊(duì)的重點(diǎn)在于以自動(dòng)化攻擊、信息收集為主，如：資產(chǎn)探測(cè)、已知漏洞探測(cè);利用工具發(fā)起批量攻擊;弱口令嗅探、路徑遍歷、批量POC等。

　　? 第二階段：手工攻擊、多源低頻、重點(diǎn)突破

　　信息收集后，紅隊(duì)會(huì)轉(zhuǎn)向重點(diǎn)系統(tǒng)攻擊，通過人工分析漏洞，發(fā)起定向打擊，同時(shí)對(duì)現(xiàn)有安全措施進(jìn)行突破。

　　? 第三階段：橫向移動(dòng)、核心滲透

　　在紅隊(duì)獲得一定權(quán)限后，會(huì)對(duì)權(quán)限進(jìn)行提升，并搭建代理跳板，橫向移動(dòng)，對(duì)核心系統(tǒng)靶標(biāo)進(jìn)行滲透。拿下靶標(biāo)時(shí)，意味著紅隊(duì)的勝利。

　　針對(duì)以上三個(gè)階段，周浩建議，藍(lán)方可以通過瑞數(shù)信息“三板斧”模式，采用三種不同的防護(hù)手段，來做相應(yīng)的阻攔。

　　? 板斧一：攔工具。通過對(duì)工具類的探測(cè)利用進(jìn)行攔截，降低紅方攻擊效率。

　　為了彌補(bǔ)特征識(shí)別的缺陷，對(duì)于工具的防護(hù)可以根據(jù)攻擊工具自身的特點(diǎn)，采用“分級(jí)分層、按需對(duì)抗”的策略。針對(duì)不同級(jí)別的工具，采用相應(yīng)的識(shí)別攔截手段：

　　實(shí)現(xiàn)效果：

　　通用漏掃防護(hù)方面，瑞數(shù)信息能夠提供漏洞隱藏功能，將所有的高危、中危漏洞、網(wǎng)頁目錄結(jié)構(gòu)做隱藏，讓紅方掃描器得不到任何有價(jià)值的信息。

　　0day防護(hù)方面，通過瑞數(shù)信息獨(dú)有的動(dòng)態(tài)驗(yàn)證、封裝、混淆、令牌四大動(dòng)態(tài)安全技術(shù)，能夠?qū)崿F(xiàn)不基于規(guī)則的防護(hù)。從0day漏洞利用工具請(qǐng)求的固有屬性出發(fā)，只要識(shí)別到是工具行為，那么就可以直接對(duì)0day攻擊進(jìn)行阻斷，從而實(shí)現(xiàn)對(duì)業(yè)務(wù)的動(dòng)態(tài)保護(hù)。

　　插件掃描和被動(dòng)漏掃防護(hù)方面，基于瑞數(shù)信息特有的“動(dòng)態(tài)安全”技術(shù)，能夠通過敏感信息隱藏、針對(duì)掃描器做重放性檢測(cè)、動(dòng)態(tài)挑戰(zhàn)等方式來進(jìn)行防護(hù)，擺脫傳統(tǒng)封禁IP的繁瑣，讓紅方無法獲取有價(jià)值的信息。

　　密碼破解方面，通過準(zhǔn)確的人機(jī)識(shí)別技術(shù)，可不依賴頻率閾值的情況下對(duì)密碼破解攻擊進(jìn)行攔截，可實(shí)現(xiàn)首次破解即被攔截的效果。

　　同時(shí)，瑞數(shù)信息還可以通過指紋溯源關(guān)聯(lián)的形式，對(duì)整個(gè)攻擊團(tuán)伙做攻擊畫像，精確定位攻擊者身份，對(duì)攻擊者設(shè)備指紋直接做封殺。

　　? 板斧二：擾人工。對(duì)人工滲透行為進(jìn)行迷惑干擾，提升紅方分析難度。

　　隨著對(duì)抗的升級(jí)，基于規(guī)則和特征的傳統(tǒng)安全設(shè)備防護(hù)效率將越來越低。對(duì)于人工攻擊，不妨換個(gè)思路，從干擾攻擊行為的角度出發(fā)進(jìn)行防護(hù)。

　　作為動(dòng)態(tài)安全技術(shù)的代表廠商，瑞數(shù)信息擁有多種動(dòng)態(tài)干擾功能：web代碼混淆、JS混淆、前端反調(diào)試、Cookie混淆、中間人檢測(cè)等，能夠不基于任何特征、規(guī)則的方式進(jìn)行有效防護(hù)。

　　例如：瑞數(shù)信息可以將URL動(dòng)態(tài)變化成亂碼，隱藏鏈接地址，攻擊者無法通過分析代碼，定位攻擊入口;可以通過高強(qiáng)度、動(dòng)態(tài)混淆機(jī)制，保證前端JS代碼不被泄露;可以通過干擾攻擊者調(diào)試分析，防止通過瀏覽器開發(fā)者工具對(duì)網(wǎng)站進(jìn)行調(diào)試分析，獲取業(yè)務(wù)流程、接口;可以將Cookie內(nèi)容動(dòng)態(tài)變化成亂碼，防止攻擊者攔截Cookie，偽造交易報(bào)文，進(jìn)行中間人攻擊等等。

　　? 板斧三：斷跳板。對(duì)紅方webshell等跳板工具進(jìn)行阻斷。

　　Webshell可以說是內(nèi)網(wǎng)穿透利器，只要開放web服務(wù)，就有可能被利用搭建代理進(jìn)行內(nèi)網(wǎng)穿透。

　　目前，Webshell主要分為兩類：一類是傳統(tǒng)型，具備明顯的通訊特征;另一類是動(dòng)態(tài)加密型，能夠隱藏攻擊特征，很難防御。

　　對(duì)于動(dòng)態(tài)加密類的webshell，如：哥斯拉Godzilla、冰蝎等，同樣可以采用瑞數(shù)信息的“動(dòng)態(tài)安全”技術(shù)，通過令牌等方式判定為非法訪問，并直接進(jìn)行阻斷，而不依賴于攻擊特征的識(shí)別。

　　總體而言，瑞數(shù)信息徹底轉(zhuǎn)換了傳統(tǒng)防護(hù)的思路，通過獨(dú)特的動(dòng)態(tài)安全技術(shù)，以多維度“分級(jí)分層”的對(duì)抗策略，讓自動(dòng)化工具和攻擊者無法輕易發(fā)現(xiàn)攻擊入口，大幅提升攻擊難度與成本。同時(shí)，通過對(duì)終端環(huán)境和設(shè)備指紋的多維度畫像，可以有效識(shí)別各類惡意自動(dòng)化工具，并能實(shí)時(shí)追蹤通過大量跳板隱藏攻擊來源的惡意終端。

　　對(duì)于藍(lán)隊(duì)而言，基于瑞數(shù)信息的動(dòng)態(tài)防護(hù)體系，能夠有效實(shí)現(xiàn)從“人防”到“技防”。無論在攻防演練還是日常運(yùn)維中，都能將安全人員從安全對(duì)抗和值守中釋放出來。

　　三、從被動(dòng)到主動(dòng)，瑞數(shù)信息推出“重保神器”

　　在如今嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)下，動(dòng)態(tài)防護(hù)、主動(dòng)防御已經(jīng)成為安全建設(shè)的趨勢(shì)。面對(duì)花樣百出的攻擊手段，未知的安全威脅，瑞數(shù)信息已推出多項(xiàng)安全產(chǎn)品，覆蓋Web、移動(dòng)App、H5、API及IoT應(yīng)用，從應(yīng)用防護(hù)到業(yè)務(wù)透視，建立了從動(dòng)態(tài)防御到持續(xù)對(duì)抗的防護(hù)體系。

　　針對(duì)攻防演練、重大活動(dòng)保障這樣的特殊場(chǎng)景，瑞數(shù)信息也相應(yīng)推出了“重大活動(dòng)動(dòng)態(tài)安全保障”、“網(wǎng)站護(hù)盾”等解決方案，助力政企機(jī)構(gòu)防護(hù)方更高效、靈活地應(yīng)對(duì)復(fù)雜攻擊。

　　目前，瑞數(shù)動(dòng)態(tài)安全防護(hù)系統(tǒng)已應(yīng)用在政府、金融、能源、運(yùn)營(yíng)商等多個(gè)行業(yè)中，被眾多行業(yè)客戶防守方作為“重保神器”。從2016到2020年，瑞數(shù)信息參與了上百家單位的攻防演練防守工作，瑞數(shù)動(dòng)態(tài)安全防護(hù)系統(tǒng)對(duì)攻擊工具的防護(hù)能力，大大提高了攻擊門檻，讓攻擊隊(duì)的信息收集、漏洞掃描、0day探測(cè)等無法發(fā)起，從而得到了客戶的高度認(rèn)可。

　　據(jù)《2020網(wǎng)絡(luò)安全行業(yè)研究白皮書》顯示，某政務(wù)服務(wù)網(wǎng)站盡管已部署了傳統(tǒng)安全防御產(chǎn)品，但系統(tǒng)仍經(jīng)常被攻擊，網(wǎng)頁無法打開，投訴量持續(xù)增加。在緊急上線瑞數(shù)動(dòng)態(tài)安全產(chǎn)品后，60小時(shí)內(nèi)，即識(shí)別并攔截了近4500萬次異常訪問請(qǐng)求，異常請(qǐng)求占到向該網(wǎng)站發(fā)起的總請(qǐng)求數(shù)的78%。深入分析后發(fā)現(xiàn)，大多數(shù)爬蟲攻擊工具都采用多源低頻的方式，通過更換大量IP來規(guī)避傳統(tǒng)安全檢測(cè)機(jī)制，使得溯源難度加大，傳統(tǒng)手段失效。而瑞數(shù)信息運(yùn)用“動(dòng)態(tài)安全”技術(shù)進(jìn)行人機(jī)識(shí)別，批量防爬蟲，具備獨(dú)特優(yōu)勢(shì)。

　　可以看到，基于瑞數(shù)信息的動(dòng)態(tài)安全技術(shù)和“重保神器”解決方案，能夠有效幫助攻防演練的防守方開展實(shí)戰(zhàn)工作，提升用戶網(wǎng)絡(luò)安全防御能力，真正實(shí)現(xiàn)從人防到技防，從被動(dòng)到主動(dòng)。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。