网络安全攻防演练-产品介绍

什么是网络安全攻防演练？
网络攻防演练是新形势下网络安全保障工作的重要组成部分，演练通常是以实际运行的信息系统为保障目标（靶标），在保障业务系统稳定运行的前提下，在既定规则内，采用“不限攻击路径，不限攻击手段”，贴合实战的方式尽可能模拟真实的网络攻击，以此来校验信息系统实际安全性和运维保障实际有效性，提高网络安全的综合防控能力。

参与网络安全攻防演练的团队一般有三个：

• 红队：攻击队，通过模拟攻击实现系统提权，控制业务获取数据等，以及发现系统的薄弱环节。通过这些攻击性的实验来综合提升系统安全性。

• 蓝队：防守队，一般是以参演单位的网络防护体系为基础，在演练期间组成的防守队伍。

• 紫队：组织方，作为攻防演练活动的组织者，负责活动过程的监控指导及应急保障等工作，并在最后做出演练总结，提出优化建议。

8种常见的红队攻击方式

我们可以以攻击者入侵目标系统所凭借的手法，将常见的红队攻击划分为以下8种类型：

• 互联网边界渗透。几乎所有企业都有部分开放于互联网的设备或系统，比如邮件、官网等。红队会以这些设备或系统的开放性特点，将其作为入侵的切入点。

• 通用产品组件漏洞利用。 信息化 产品虽然提高了企业的运行效率，但其自身的安全漏洞也给企业带来了很多潜在隐患。红队在攻防演练中就经常通过利用产品组件的漏洞来达成攻击目标，比如：OA漏洞、中间件漏洞、 数据库 漏洞等。

• 0day攻击。在攻防演练中，0day攻击已成为常态，由于0day漏洞能够穿透现有基于规则的防护技术，被视为红队最为有效的手段之一。2021年演习期间，红队不断爆出各类0day漏洞，这些漏洞大部分和暴露在互联网上的Web应用相关，直接威胁到核心系统的安全。

• 弱密码。除了系统、应用等漏洞以外，红队还会探测目标企业在人员和管理上的漏洞，最典型的方法就是弱密码，包括弱强度密码、默认密码、通用密码、已泄露密码等不同类型。在攻防演练中，红队通过弱密码获得访问权限的比例高达90%。

• 供应链攻击。这是一种典型的迂回攻击方式。攻击者将目光聚集在目标企业的上下游供应商，比如IT供应商、安全供应商等，从这些上下游企业中找到软件或系统、管理上的漏洞，进而攻进目标企业内部。

• 相关单位攻击。这个方法与供应链攻击类似，都是采用迂回战术。一般来说，参与演练的企业总部的安全防护比较严格，很难正面攻破，而其下属单位的防护相比之下则弱很多。此外，一个集团内部各个分公司之间的内网的隔离并不彻底，很容易从一个公司的内网，进入同一集团下另一个公司的内网。

• 多点潜伏。攻防演练中，红队为避免在短时间内被发现、查杀，通常会在多个据点开展渗透工作，比如采取不同的Webshell、利用不同的后门和协议建立不同特征的据点。这种情况下，如果目标企业的安全人员不对告警设备做完整的攻击链梳理，而只是处理告警IP的服务器，那么他们就无法将所有攻击点及时清除。

• 社工钓鱼。社工钓鱼在实战中的应用越来越广泛。红队会从人的角度下手，给相应的员工、外包人员发钓鱼邮件，搭建钓鱼用的WiFi热点，插U盘、植入木马等等。

面对以上逐渐 自动化 、武器化的红队攻击，很多企业的防护依旧以老式的“人海战术”为主，不管对方用什么高科技，都用“堆人头”的方案来解决，他们深信只要自己人足够多，对方就没法轻易攻进来。但这种方式人力成本高、负荷大，难以常态化、持续化，对提高企业安全防护能力没有任何借鉴意义，因此并不可取。

要想实现更高效的防护，从“人防”转变为“技防”是企业的必然选择。蓝队要根据红队攻击手段的进步，而不断从技术角度更新防护手段，提升自动化水平，实现在攻防演练和平时的安全防护过程中，都能让防守不再被动、响应不再滞后，兼顾安全防护水平与效率。

如何搭建有效的蓝队安全技术体系？
那么，蓝队如何实现“人海战术”到“高精尖”技术型防护的转变呢？这需要基于Gartner自适应保护模型构建覆盖预测（P）、防御（P）、检测（D）、响应（R）四个阶段的PDCA安全防御闭环，将“应急响应式”的被动防御转变为覆盖“事前+事中+事后”全链路的主动防御，以期达到纵深防御的安全效果。

PPDR自适应攻击保护架构四个阶段分别要求蓝队具备以下能力：

• 预测：资产清点、安全评估、威胁建模、安全基线

• 防御：风险发现、 安全加固 、安全培训

• 检测：入侵检测、调查确认

• 响应：响应处置、策略优化