域名預(yù)訂/競價，好“米”不錯過

實(shí)戰(zhàn)攻防演練是檢閱政企機(jī)構(gòu)安全防護(hù)和應(yīng)急處置能力的有效手段之一。每年舉行的國家級實(shí)戰(zhàn)攻防演練，聚集了國內(nèi)多支頂尖攻擊團(tuán)隊(duì)，在攻擊手段和強(qiáng)度上遠(yuǎn)遠(yuǎn)超過日常安全檢查，防守方都面臨著非常嚴(yán)峻的考驗(yàn)。

今年網(wǎng)絡(luò)攻防演練專項(xiàng)行動在即，相信不少的企業(yè)和機(jī)構(gòu)早已開始了準(zhǔn)備。那么，如何高效應(yīng)對網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防演練?與之前相比，今年的網(wǎng)絡(luò)攻防演練又會出現(xiàn)哪些新特點(diǎn)呢?

一、從合規(guī)到實(shí)戰(zhàn)，攻防演練呈現(xiàn)五大趨勢

由于目前網(wǎng)絡(luò)空間態(tài)勢復(fù)雜，如何在攻防對抗環(huán)境中具備實(shí)戰(zhàn)能力，已成為所有行業(yè)和政企機(jī)構(gòu)網(wǎng)絡(luò)安全建設(shè)的重要目標(biāo)。

瑞數(shù)信息首席安全顧問周浩表示，從2016-2020年的攻防演練實(shí)踐看，無論從演練規(guī)模還是攻擊技術(shù)上看，都在不斷升級演進(jìn)升級。

例如：2016年，攻擊方法以傳統(tǒng)應(yīng)用系統(tǒng)攻擊為主，攻擊手段相對單一;但到了2020年，攻擊范圍進(jìn)一步擴(kuò)大，自動化攻擊、武器化攻擊越來越多，大批量0day在演練中使用，并且攻擊范圍也擴(kuò)展到了安全設(shè)備自身，各種高級實(shí)戰(zhàn)的攻擊手段也有所使用。

從去年攻防演練的實(shí)戰(zhàn)情況，可以看到攻防演練已呈現(xiàn)五大攻擊趨勢：

攻擊手法一：自動化攻擊、武器化攻擊越加明顯

在攻防演練中，紅隊(duì)會對開源工具、泄漏工具、定制工具等進(jìn)行整合，構(gòu)建自己的武器庫。通過武器庫可快速高效的對各類0day、Nday漏洞進(jìn)行探測利用，在攻擊過程中還可對特征識別、IP封鎖等防護(hù)措施進(jìn)行突破。

除了漏洞探測利用工具外，紅隊(duì)還會利用動態(tài)加密Webshell來穿透WAF防護(hù)，進(jìn)行權(quán)限維持和跳板搭建，如哥斯拉、冰蝎等Webshell采用動態(tài)加密方式，通信過程無穩(wěn)定可識別的特征，碾壓市面上所有基于特征匹配的傳統(tǒng)WAF。對于藍(lán)隊(duì)基于規(guī)則的防護(hù)而言，實(shí)則是一種降維打擊。

攻擊手法二：人員和管理漏洞探測

除了攻擊應(yīng)用漏洞之外，紅隊(duì)還會探測藍(lán)隊(duì)在人員和管理上的漏洞，如：弱口令、網(wǎng)絡(luò)遺漏備份文件等，尤其是VPN、郵箱、管理平臺等系統(tǒng)，已經(jīng)成為重點(diǎn)攻擊對象。

攻擊手法三：多源低頻攻擊

攻防演練中，封IP是最主要的防護(hù)手段之一。實(shí)戰(zhàn)過程中，紅隊(duì)會通過分布在全國各地的IP代理發(fā)起攻擊，這些IP地址可能來自機(jī)房，也可能來自家庭寬帶、手機(jī)基站等。貿(mào)然對這些IP進(jìn)行封堵，可能會造成業(yè)務(wù)不可用，甚至達(dá)到防火墻IP黑名單的數(shù)量上限。

攻擊手法四：社工釣魚

社工釣魚在實(shí)戰(zhàn)中的應(yīng)用越來越廣泛。紅隊(duì)會從人的角度下手，給相應(yīng)的員工、外包人員發(fā)釣魚郵件，搭建釣魚用的WIFI熱點(diǎn)，甚至雇人混入藍(lán)隊(duì)，插U盤、中木馬等等。

攻擊手法五：0day攻擊成為常態(tài)

在攻防演練中，0day攻擊已成為常態(tài)，由于0day漏洞能夠穿透現(xiàn)有基于規(guī)則的防護(hù)技術(shù)，被視為紅隊(duì)最為有效的手段之一。2020年攻防演練中，出現(xiàn)了上百個0day漏洞，這些漏洞中大部分和暴露在互聯(lián)網(wǎng)上的Web應(yīng)用相關(guān)，直接威脅到核心系統(tǒng)的安全。

總體而言，在實(shí)戰(zhàn)化、高級化、常態(tài)化的攻擊趨勢下，攻防演練的力度將空前加大。鑒于今年建黨100周年等重大活動眾多，境外惡勢力攻擊將更加激烈，各類重?；顒拥臅r間也會持續(xù)拉長。

二、從人防到技防，瑞數(shù)信息“三板斧”構(gòu)建實(shí)戰(zhàn)能力

攻易守難，安全工作者在攻防演練中往往要承受巨大的壓力。由于藍(lán)隊(duì)處于被動，當(dāng)發(fā)現(xiàn)攻擊事件、溯源攻擊時，整體已經(jīng)處于滯后狀態(tài)，所以在攻防演練中，藍(lán)隊(duì)需要投入大量精力做防守，甚至是7*24小時的人工值守，處于非常態(tài)化的安全運(yùn)營中。

那么，是否能夠通過一些技術(shù)手段來降低藍(lán)隊(duì)安全人員的工作量，并達(dá)到很好的防護(hù)效果呢?瑞數(shù)信息首席安全顧問周浩認(rèn)為，要做到從“人防”到“技防”，可以從攻擊的三個階段入手：

第一階段：自動化攻擊、信息收集

在攻擊前期，紅隊(duì)的重點(diǎn)在于以自動化攻擊、信息收集為主，如：資產(chǎn)探測、已知漏洞探測;利用工具發(fā)起批量攻擊;弱口令嗅探、路徑遍歷、批量POC等。

第二階段：手工攻擊、多源低頻、重點(diǎn)突破

信息收集后，紅隊(duì)會轉(zhuǎn)向重點(diǎn)系統(tǒng)攻擊，通過人工分析漏洞，發(fā)起定向打擊，同時對現(xiàn)有安全措施進(jìn)行突破。

第三階段：橫向移動、核心滲透

在紅隊(duì)獲得一定權(quán)限后，會對權(quán)限進(jìn)行提升，并搭建代理跳板，橫向移動，對核心系統(tǒng)靶標(biāo)進(jìn)行滲透。拿下靶標(biāo)時，意味著紅隊(duì)的勝利。

針對以上三個階段，周浩建議，藍(lán)方可以通過瑞數(shù)信息“三板斧”模式，采用三種不同的防護(hù)手段，來做相應(yīng)的阻攔。

板斧一：攔工具。通過對工具類的探測利用進(jìn)行攔截，降低紅方攻擊效率。

為了彌補(bǔ)特征識別的缺陷，對于工具的防護(hù)可以根據(jù)攻擊工具自身的特點(diǎn)，采用“分級分層、按需對抗”的策略。針對不同級別的工具，采用相應(yīng)的識別攔截手段：

實(shí)現(xiàn)效果：

通用漏掃防護(hù)方面，瑞數(shù)信息能夠提供漏洞隱藏功能，將所有的高危、中危漏洞、網(wǎng)頁目錄結(jié)構(gòu)做隱藏，讓紅方掃描器得不到任何有價值的信息。

0day防護(hù)方面，通過瑞數(shù)信息獨(dú)有的動態(tài)驗(yàn)證、封裝、混淆、令牌四大動態(tài)安全技術(shù)，能夠?qū)崿F(xiàn)不基于規(guī)則的防護(hù)。從0day漏洞利用工具請求的固有屬性出發(fā)，只要識別到是工具行為，那么就可以直接對0day攻擊進(jìn)行阻斷，從而實(shí)現(xiàn)對業(yè)務(wù)的動態(tài)保護(hù)。

插件掃描和被動漏掃防護(hù)方面，基于瑞數(shù)信息特有的“動態(tài)安全”技術(shù)，能夠通過敏感信息隱藏、針對掃描器做重放性檢測、動態(tài)挑戰(zhàn)等方式來進(jìn)行防護(hù)，擺脫傳統(tǒng)封禁IP的繁瑣，讓紅方無法獲取有價值的信息。

密碼破解方面，通過準(zhǔn)確的人機(jī)識別技術(shù)，可不依賴頻率閾值的情況下對密碼破解攻擊進(jìn)行攔截，可實(shí)現(xiàn)首次破解即被攔截的效果。

同時，瑞數(shù)信息還可以通過指紋溯源關(guān)聯(lián)的形式，對整個攻擊團(tuán)伙做攻擊畫像，精確定位攻擊者身份，對攻擊者設(shè)備指紋直接做封殺。

板斧二：擾人工。對人工滲透行為進(jìn)行迷惑干擾，提升紅方分析難度。

隨著對抗的升級，基于規(guī)則和特征的傳統(tǒng)安全設(shè)備防護(hù)效率將越來越低。對于人工攻擊，不妨換個思路，從干擾攻擊行為的角度出發(fā)進(jìn)行防護(hù)。

作為動態(tài)安全技術(shù)的代表廠商，瑞數(shù)信息擁有多種動態(tài)干擾功能：web代碼混淆、JS混淆、前端反調(diào)試、Cookie混淆、中間人檢測等，能夠不基于任何特征、規(guī)則的方式進(jìn)行有效防護(hù)。

例如：瑞數(shù)信息可以將URL動態(tài)變化成亂碼，隱藏鏈接地址，攻擊者無法通過分析代碼，定位攻擊入口;可以通過高強(qiáng)度、動態(tài)混淆機(jī)制，保證前端JS代碼不被泄露;可以通過干擾攻擊者調(diào)試分析，防止通過瀏覽器開發(fā)者工具對網(wǎng)站進(jìn)行調(diào)試分析，獲取業(yè)務(wù)流程、接口;可以將Cookie內(nèi)容動態(tài)變化成亂碼，防止攻擊者攔截Cookie，偽造交易報文，進(jìn)行中間人攻擊等等。

板斧三：斷跳板。對紅方webshell等跳板工具進(jìn)行阻斷。

Webshell可以說是內(nèi)網(wǎng)穿透利器，只要開放web服務(wù)，就有可能被利用搭建代理進(jìn)行內(nèi)網(wǎng)穿透。

目前，Webshell主要分為兩類：一類是傳統(tǒng)型，具備明顯的通訊特征;另一類是動態(tài)加密型，能夠隱藏攻擊特征，很難防御。

對于動態(tài)加密類的webshell，如：哥斯拉Godzilla、冰蝎等，同樣可以采用瑞數(shù)信息的“動態(tài)安全”技術(shù)，通過令牌等方式判定為非法訪問，并直接進(jìn)行阻斷，而不依賴于攻擊特征的識別。

總體而言，瑞數(shù)信息徹底轉(zhuǎn)換了傳統(tǒng)防護(hù)的思路，通過獨(dú)特的動態(tài)安全技術(shù)，以多維度“分級分層”的對抗策略，讓自動化工具和攻擊者無法輕易發(fā)現(xiàn)攻擊入口，大幅提升攻擊難度與成本。同時，通過對終端環(huán)境和設(shè)備指紋的多維度畫像，可以有效識別各類惡意自動化工具，并能實(shí)時追蹤通過大量跳板隱藏攻擊來源的惡意終端。

對于藍(lán)隊(duì)而言，基于瑞數(shù)信息的動態(tài)防護(hù)體系，能夠有效實(shí)現(xiàn)從“人防”到“技防”。無論在攻防演練還是日常運(yùn)維中，都能將安全人員從安全對抗和值守中釋放出來。

三、從被動到主動，瑞數(shù)信息推出“重保神器”

在如今嚴(yán)峻的網(wǎng)絡(luò)安全形勢下，動態(tài)防護(hù)、主動防御已經(jīng)成為安全建設(shè)的趨勢。面對花樣百出的攻擊手段，未知的安全威脅，瑞數(shù)信息已推出多項(xiàng)安全產(chǎn)品，覆蓋Web、移動App、H5、API及IoT應(yīng)用，從應(yīng)用防護(hù)到業(yè)務(wù)透視，建立了從動態(tài)防御到持續(xù)對抗的防護(hù)體系。

針對攻防演練、重大活動保障這樣的特殊場景，瑞數(shù)信息也相應(yīng)推出了“重大活動動態(tài)安全保障”、“網(wǎng)站護(hù)盾”等解決方案，助力政企機(jī)構(gòu)防護(hù)方更高效、靈活地應(yīng)對復(fù)雜攻擊。

目前，瑞數(shù)動態(tài)安全防護(hù)系統(tǒng)已應(yīng)用在政府、金融、能源、運(yùn)營商等多個行業(yè)中，被眾多行業(yè)客戶防守方作為“重保神器”。從2016到2020年，瑞數(shù)信息參與了上百家單位的攻防演練防守工作，瑞數(shù)動態(tài)安全防護(hù)系統(tǒng)對攻擊工具的防護(hù)能力，大大提高了攻擊門檻，讓攻擊隊(duì)的信息收集、漏洞掃描、0day探測等無法發(fā)起，從而得到了客戶的高度認(rèn)可。

據(jù)《2020網(wǎng)絡(luò)安全行業(yè)研究白皮書》顯示，某政務(wù)服務(wù)網(wǎng)站盡管已部署了傳統(tǒng)安全防御產(chǎn)品，但系統(tǒng)仍經(jīng)常被攻擊，網(wǎng)頁無法打開，投訴量持續(xù)增加。在緊急上線瑞數(shù)動態(tài)安全產(chǎn)品后，60小時內(nèi)，即識別并攔截了近4500萬次異常訪問請求，異常請求占到向該網(wǎng)站發(fā)起的總請求數(shù)的78%。深入分析后發(fā)現(xiàn)，大多數(shù)爬蟲攻擊工具都采用多源低頻的方式，通過更換大量IP來規(guī)避傳統(tǒng)安全檢測機(jī)制，使得溯源難度加大，傳統(tǒng)手段失效。而瑞數(shù)信息運(yùn)用“動態(tài)安全”技術(shù)進(jìn)行人機(jī)識別，批量防爬蟲，具備獨(dú)特優(yōu)勢。

可以看到，基于瑞數(shù)信息的動態(tài)安全技術(shù)和“重保神器”解決方案，能夠有效幫助攻防演練的防守方開展實(shí)戰(zhàn)工作，提升用戶網(wǎng)絡(luò)安全防御能力，真正實(shí)現(xiàn)從人防到技防，從被動到主動。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！