域名預訂/競價，好“米”不錯過

實戰(zhàn)攻防演練是檢閱政企機構(gòu)安全防護和應急處置能力的有效手段之一。每年舉行的國家級實戰(zhàn)攻防演練，聚集了國內(nèi)多支頂尖攻擊團隊，在攻擊手段和強度上遠遠超過日常安全檢查，防守方都面臨著非常嚴峻的考驗。

今年網(wǎng)絡攻防演練專項行動在即，相信不少的企業(yè)和機構(gòu)早已開始了準備。那么，如何高效應對網(wǎng)絡安全實戰(zhàn)攻防演練?與之前相比，今年的網(wǎng)絡攻防演練又會出現(xiàn)哪些新特點呢?

一、從合規(guī)到實戰(zhàn)，攻防演練呈現(xiàn)五大趨勢

由于目前網(wǎng)絡空間態(tài)勢復雜，如何在攻防對抗環(huán)境中具備實戰(zhàn)能力，已成為所有行業(yè)和政企機構(gòu)網(wǎng)絡安全建設的重要目標。

瑞數(shù)信息首席安全顧問周浩表示，從2016-2020年的攻防演練實踐看，無論從演練規(guī)模還是攻擊技術(shù)上看，都在不斷升級演進升級。

例如：2016年，攻擊方法以傳統(tǒng)應用系統(tǒng)攻擊為主，攻擊手段相對單一;但到了2020年，攻擊范圍進一步擴大，自動化攻擊、武器化攻擊越來越多，大批量0day在演練中使用，并且攻擊范圍也擴展到了安全設備自身，各種高級實戰(zhàn)的攻擊手段也有所使用。

從去年攻防演練的實戰(zhàn)情況，可以看到攻防演練已呈現(xiàn)五大攻擊趨勢：

攻擊手法一：自動化攻擊、武器化攻擊越加明顯

在攻防演練中，紅隊會對開源工具、泄漏工具、定制工具等進行整合，構(gòu)建自己的武器庫。通過武器庫可快速高效的對各類0day、Nday漏洞進行探測利用，在攻擊過程中還可對特征識別、IP封鎖等防護措施進行突破。

除了漏洞探測利用工具外，紅隊還會利用動態(tài)加密Webshell來穿透WAF防護，進行權(quán)限維持和跳板搭建，如哥斯拉、冰蝎等Webshell采用動態(tài)加密方式，通信過程無穩(wěn)定可識別的特征，碾壓市面上所有基于特征匹配的傳統(tǒng)WAF。對于藍隊基于規(guī)則的防護而言，實則是一種降維打擊。

攻擊手法二：人員和管理漏洞探測

除了攻擊應用漏洞之外，紅隊還會探測藍隊在人員和管理上的漏洞，如：弱口令、網(wǎng)絡遺漏備份文件等，尤其是VPN、郵箱、管理平臺等系統(tǒng)，已經(jīng)成為重點攻擊對象。

攻擊手法三：多源低頻攻擊

攻防演練中，封IP是最主要的防護手段之一。實戰(zhàn)過程中，紅隊會通過分布在全國各地的IP代理發(fā)起攻擊，這些IP地址可能來自機房，也可能來自家庭寬帶、手機基站等。貿(mào)然對這些IP進行封堵，可能會造成業(yè)務不可用，甚至達到防火墻IP黑名單的數(shù)量上限。

攻擊手法四：社工釣魚

社工釣魚在實戰(zhàn)中的應用越來越廣泛。紅隊會從人的角度下手，給相應的員工、外包人員發(fā)釣魚郵件，搭建釣魚用的WIFI熱點，甚至雇人混入藍隊，插U盤、中木馬等等。

攻擊手法五：0day攻擊成為常態(tài)

在攻防演練中，0day攻擊已成為常態(tài)，由于0day漏洞能夠穿透現(xiàn)有基于規(guī)則的防護技術(shù)，被視為紅隊最為有效的手段之一。2020年攻防演練中，出現(xiàn)了上百個0day漏洞，這些漏洞中大部分和暴露在互聯(lián)網(wǎng)上的Web應用相關(guān)，直接威脅到核心系統(tǒng)的安全。

總體而言，在實戰(zhàn)化、高級化、常態(tài)化的攻擊趨勢下，攻防演練的力度將空前加大。鑒于今年建黨100周年等重大活動眾多，境外惡勢力攻擊將更加激烈，各類重保活動的時間也會持續(xù)拉長。

二、從人防到技防，瑞數(shù)信息“三板斧”構(gòu)建實戰(zhàn)能力

攻易守難，安全工作者在攻防演練中往往要承受巨大的壓力。由于藍隊處于被動，當發(fā)現(xiàn)攻擊事件、溯源攻擊時，整體已經(jīng)處于滯后狀態(tài)，所以在攻防演練中，藍隊需要投入大量精力做防守，甚至是7*24小時的人工值守，處于非常態(tài)化的安全運營中。

那么，是否能夠通過一些技術(shù)手段來降低藍隊安全人員的工作量，并達到很好的防護效果呢?瑞數(shù)信息首席安全顧問周浩認為，要做到從“人防”到“技防”，可以從攻擊的三個階段入手：

第一階段：自動化攻擊、信息收集

在攻擊前期，紅隊的重點在于以自動化攻擊、信息收集為主，如：資產(chǎn)探測、已知漏洞探測;利用工具發(fā)起批量攻擊;弱口令嗅探、路徑遍歷、批量POC等。

第二階段：手工攻擊、多源低頻、重點突破

信息收集后，紅隊會轉(zhuǎn)向重點系統(tǒng)攻擊，通過人工分析漏洞，發(fā)起定向打擊，同時對現(xiàn)有安全措施進行突破。

第三階段：橫向移動、核心滲透

在紅隊獲得一定權(quán)限后，會對權(quán)限進行提升，并搭建代理跳板，橫向移動，對核心系統(tǒng)靶標進行滲透。拿下靶標時，意味著紅隊的勝利。

針對以上三個階段，周浩建議，藍方可以通過瑞數(shù)信息“三板斧”模式，采用三種不同的防護手段，來做相應的阻攔。

板斧一：攔工具。通過對工具類的探測利用進行攔截，降低紅方攻擊效率。

為了彌補特征識別的缺陷，對于工具的防護可以根據(jù)攻擊工具自身的特點，采用“分級分層、按需對抗”的策略。針對不同級別的工具，采用相應的識別攔截手段：

實現(xiàn)效果：

通用漏掃防護方面，瑞數(shù)信息能夠提供漏洞隱藏功能，將所有的高危、中危漏洞、網(wǎng)頁目錄結(jié)構(gòu)做隱藏，讓紅方掃描器得不到任何有價值的信息。

0day防護方面，通過瑞數(shù)信息獨有的動態(tài)驗證、封裝、混淆、令牌四大動態(tài)安全技術(shù)，能夠?qū)崿F(xiàn)不基于規(guī)則的防護。從0day漏洞利用工具請求的固有屬性出發(fā)，只要識別到是工具行為，那么就可以直接對0day攻擊進行阻斷，從而實現(xiàn)對業(yè)務的動態(tài)保護。

插件掃描和被動漏掃防護方面，基于瑞數(shù)信息特有的“動態(tài)安全”技術(shù)，能夠通過敏感信息隱藏、針對掃描器做重放性檢測、動態(tài)挑戰(zhàn)等方式來進行防護，擺脫傳統(tǒng)封禁IP的繁瑣，讓紅方無法獲取有價值的信息。

密碼破解方面，通過準確的人機識別技術(shù)，可不依賴頻率閾值的情況下對密碼破解攻擊進行攔截，可實現(xiàn)首次破解即被攔截的效果。

同時，瑞數(shù)信息還可以通過指紋溯源關(guān)聯(lián)的形式，對整個攻擊團伙做攻擊畫像，精確定位攻擊者身份，對攻擊者設備指紋直接做封殺。

板斧二：擾人工。對人工滲透行為進行迷惑干擾，提升紅方分析難度。

隨著對抗的升級，基于規(guī)則和特征的傳統(tǒng)安全設備防護效率將越來越低。對于人工攻擊，不妨換個思路，從干擾攻擊行為的角度出發(fā)進行防護。

作為動態(tài)安全技術(shù)的代表廠商，瑞數(shù)信息擁有多種動態(tài)干擾功能：web代碼混淆、JS混淆、前端反調(diào)試、Cookie混淆、中間人檢測等，能夠不基于任何特征、規(guī)則的方式進行有效防護。

例如：瑞數(shù)信息可以將URL動態(tài)變化成亂碼，隱藏鏈接地址，攻擊者無法通過分析代碼，定位攻擊入口;可以通過高強度、動態(tài)混淆機制，保證前端JS代碼不被泄露;可以通過干擾攻擊者調(diào)試分析，防止通過瀏覽器開發(fā)者工具對網(wǎng)站進行調(diào)試分析，獲取業(yè)務流程、接口;可以將Cookie內(nèi)容動態(tài)變化成亂碼，防止攻擊者攔截Cookie，偽造交易報文，進行中間人攻擊等等。

板斧三：斷跳板。對紅方webshell等跳板工具進行阻斷。

Webshell可以說是內(nèi)網(wǎng)穿透利器，只要開放web服務，就有可能被利用搭建代理進行內(nèi)網(wǎng)穿透。

目前，Webshell主要分為兩類：一類是傳統(tǒng)型，具備明顯的通訊特征;另一類是動態(tài)加密型，能夠隱藏攻擊特征，很難防御。

對于動態(tài)加密類的webshell，如：哥斯拉Godzilla、冰蝎等，同樣可以采用瑞數(shù)信息的“動態(tài)安全”技術(shù)，通過令牌等方式判定為非法訪問，并直接進行阻斷，而不依賴于攻擊特征的識別。

總體而言，瑞數(shù)信息徹底轉(zhuǎn)換了傳統(tǒng)防護的思路，通過獨特的動態(tài)安全技術(shù)，以多維度“分級分層”的對抗策略，讓自動化工具和攻擊者無法輕易發(fā)現(xiàn)攻擊入口，大幅提升攻擊難度與成本。同時，通過對終端環(huán)境和設備指紋的多維度畫像，可以有效識別各類惡意自動化工具，并能實時追蹤通過大量跳板隱藏攻擊來源的惡意終端。

對于藍隊而言，基于瑞數(shù)信息的動態(tài)防護體系，能夠有效實現(xiàn)從“人防”到“技防”。無論在攻防演練還是日常運維中，都能將安全人員從安全對抗和值守中釋放出來。

三、從被動到主動，瑞數(shù)信息推出“重保神器”

在如今嚴峻的網(wǎng)絡安全形勢下，動態(tài)防護、主動防御已經(jīng)成為安全建設的趨勢。面對花樣百出的攻擊手段，未知的安全威脅，瑞數(shù)信息已推出多項安全產(chǎn)品，覆蓋Web、移動App、H5、API及IoT應用，從應用防護到業(yè)務透視，建立了從動態(tài)防御到持續(xù)對抗的防護體系。

針對攻防演練、重大活動保障這樣的特殊場景，瑞數(shù)信息也相應推出了“重大活動動態(tài)安全保障”、“網(wǎng)站護盾”等解決方案，助力政企機構(gòu)防護方更高效、靈活地應對復雜攻擊。

目前，瑞數(shù)動態(tài)安全防護系統(tǒng)已應用在政府、金融、能源、運營商等多個行業(yè)中，被眾多行業(yè)客戶防守方作為“重保神器”。從2016到2020年，瑞數(shù)信息參與了上百家單位的攻防演練防守工作，瑞數(shù)動態(tài)安全防護系統(tǒng)對攻擊工具的防護能力，大大提高了攻擊門檻，讓攻擊隊的信息收集、漏洞掃描、0day探測等無法發(fā)起，從而得到了客戶的高度認可。

據(jù)《2020網(wǎng)絡安全行業(yè)研究白皮書》顯示，某政務服務網(wǎng)站盡管已部署了傳統(tǒng)安全防御產(chǎn)品，但系統(tǒng)仍經(jīng)常被攻擊，網(wǎng)頁無法打開，投訴量持續(xù)增加。在緊急上線瑞數(shù)動態(tài)安全產(chǎn)品后，60小時內(nèi)，即識別并攔截了近4500萬次異常訪問請求，異常請求占到向該網(wǎng)站發(fā)起的總請求數(shù)的78%。深入分析后發(fā)現(xiàn)，大多數(shù)爬蟲攻擊工具都采用多源低頻的方式，通過更換大量IP來規(guī)避傳統(tǒng)安全檢測機制，使得溯源難度加大，傳統(tǒng)手段失效。而瑞數(shù)信息運用“動態(tài)安全”技術(shù)進行人機識別，批量防爬蟲，具備獨特優(yōu)勢。

可以看到，基于瑞數(shù)信息的動態(tài)安全技術(shù)和“重保神器”解決方案，能夠有效幫助攻防演練的防守方開展實戰(zhàn)工作，提升用戶網(wǎng)絡安全防御能力，真正實現(xiàn)從人防到技防，從被動到主動。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！