“實踐是檢驗真理的唯一標準”，對于網絡安全而言，實戰攻防演練恰恰提供了這么一個機會。

2021年3月19日，瑞數信息在線直播“從人防到技防，攻防演練實戰應對指南”，探討攻防演練中最受關注的九大問題，提供實戰背景下的攻守方略。

攻防演練九大最受關注問題

1、攻擊過程包括哪幾個階段？每個階段防守方如何應對？

第一階段-前期信息刺探：自動化攻擊、信息收集為主

攻方重點：

1）資產探測，全面了解防守方的資產情況，明確攻擊面；

2）漏洞探測利用，對發現的資產進行相關漏洞探測，對探測過程中發現的漏洞進行利用；

3）口令破解，對于存在登錄入口的系統進行口令破解；

4）敏感文件發現，對系統中存在的管理地址、備份文件、配置文件等進行發現。

防守重點： 

1）攔截所有由工具發起的攻擊，包括但不限于漏洞掃描、路徑遍歷、口令破解；

2）對日志進行分析，對攻擊者使用過的設備指紋、IP進行關聯分析；

3）監測帳號登錄情況，對異常登錄及時處理。

第二階段-中期定點打擊：手工攻擊、多源低頻、重點突破為主

攻方重點： 

1）對重點系統進行人工深入分析，嘗試挖掘漏洞；

2）對現在安全措施進行突破；

3）獲取外圍跳板。

防守重點：

1）干擾人工分析，讓攻擊者無法從目標系統中獲取有價值的信息；

2）抵御0day攻擊；

3）全訪問數據分析，發現深層次攻擊；

4）利用可編程對抗思路進行細粒度防護。

第三階段-后期縱向深入：橫向移動，核心滲透

攻方重點： 

1）提升權限，對獲取到的低級權限進行提升；

2）利用跳板進行橫向移動；

3）對靶標系統進行滲透。

防守重點：

1）賬號集中管控，縮小攻擊面；

2）對堡壘機、主機等系統重點監控，發現異常訪問或操作；

3）對主機異常操作識別。

攻防演練中常見的攻擊手段有哪些？這些攻擊具備哪些特點？

0day漏洞攻擊：0day攻擊在攻防演練中已經成為常態，利用操作系統、中間件、應用、安全設備等軟硬件的0day漏洞，可穿透基于規則的防護技術，直接獲取系統權限。

社工釣魚：通過各類社工手段，例如釣魚郵件、虛假WIFI、物理接觸等方式，對防守方進行社工攻擊。

多源低頻攻擊：利用多源低頻攻擊模式繞過限頻、封IP等防護手段。

人員和管理漏洞探測：主要表現在對弱口令問題、文件不安全存儲、流程不完善等方面進行攻擊，獲取敏感信息。

武器化攻擊：為了提供攻擊效率，快速拿下系統，攻擊者會積累各類攻擊工具，形成武器庫，從而快速發起攻擊。

企業防護重心如何從“人防”過渡到“技防”？

面對攻擊，目前有一些企業的防護重心仍然在于人員現場值守，但“人防”人力成本高、負荷大，難以常態化、持續化，同時由于攻方的攻擊手段、攻擊效率都有了質的飛躍，人防也逐漸顯得力不從心。因此從“人防”過渡到“技防”是攻防過程中的必然轉變。我們強調通過更多技術性的創新手段，以“技防”結合“人防”，從而實現無論是在攻防演練期間，還是平時的安全防護過程中，都讓防守不再被動、響應不再滯后，提供業務與安全的雙保障。

隱秘、高效的自動化工具攻擊如何應對？

分級分層，按需對抗：

簡單漏掃和工具：通過JS能力檢測進行工具判斷，利用令牌機制防止工具進行簡單的繞過，利用代碼混淆技術提升工具發現漏洞的門檻。

具備JS解析能力的工具：通過環境檢測、行為識別、偽造檢測，進行人機識別。

瀏覽器插件和被動掃描器：通過重放性檢測、動態挑戰技術、敏感信息隱藏等技術，讓攻擊方獲取不到有價值的信息。還可以通過指紋關聯的形式，對多源低頻攻擊做檢測。

（實戰案例指路視頻14:33）

人工定點攻擊如何防護？

以往的安全防護往往基于規則和特征，不會區分攻擊來源是工具還是人，但隨著各類隱藏方式的出現和對抗的升級，這種思路相對來說就顯得效率比較低了。因為我們建議換一個思路防護人工定點攻擊，對攻擊的請求做出一些動態的干擾，來降低攻方的整體攻擊效率。

（實戰案例指路視頻23:05）

面對動態加密版的Webshell，如何進行阻斷？

隨著Godzilla、冰蝎等一批具備動態加密技術的Webshell發布，對于Webshell的識別又被提高到一個新高度。面對采用動態加密方式、隱藏攻擊特征的Webshell，傳統WAF產品無法單純依靠編寫規則來實現檢測和防御了，但是瑞數動態防護技術是非特征匹配方式，不存在因為沒有特征而被繞過的情況。動態加密Webshell的連接和通信過程，與瀏覽器的正常訪問還是存在本質區別的，通過動態令牌、動態驗證等手段，可有效對這類Webshell的訪問過程進行識別并阻斷。

（實戰案例指路視頻30:06）

相關鏈接：

技術 | 應對新型“一句話木馬”Bypass WAF的防護手段

他強由他強,清風拂山崗 | 冰蝎3.0動態防御

哥斯拉Godzilla | 動態比拼,誰更技高一籌

動態防護體系在攻防演練中有什么價值？

從人防到技防，將人員從安全對抗和值守中釋放出來

• 自動化攻擊防護：攻擊方攻擊任務重，因此工具類請求占比超過90%，攔截自動化攻擊可以有效降低攻擊者效率。
• 0day防護：2020年披露的0day漏洞超過百個，動態防護技術可對其中Web類0day漏洞直接進行防護，無需更新規則即可攔截相關0day攻擊。
• 多源低頻攻擊防護：攻擊方大量采用多源低頻攻擊，瑞數信息通過工具識別、設備指紋關聯追蹤，可全部實時攔截。
• 多維度分級分層對抗：通過動態驗證收集到的上百個指標，任意組合，從而對攻擊者進行全方位自動攔截，無需封IP，運維簡單，實現主動防御。

除了攻擊防護，企業在實戰中還應當注意哪些細節？

• 資產梳理和可視：對企業資產暴漏面和資產進行全面梳理，了解資產暴漏面情況、資產關聯關系。
• 系統及時打補丁：系統需要及時體檢及時打補丁，避免攻擊者利用Nday漏洞攻擊系統，規避已知漏洞攻擊。
• 謹防社工攻擊：進行全員內部培訓，教育員工不要輕易打開郵件附件、點擊不明鏈接、輸入密碼等。
• 深藏靶標系統：靶標系統盡量設置得深一些，做好訪問控制，防止攻擊者輕易訪問。

企業如何持續升級網絡空間攻防對抗能力？

• 構建包含防護、檢測、響應以及恢復的綜合性體系框架
• 建立常態化的安全運維機制
• 對攻擊技術進行跟進及演練
• 對防護技術進行創新及實踐
• 人員培養與專業化服務相結合
• 積累與使用威脅情報

 2016年至今，瑞數信息已經深度參與了上百家單位的攻防演練防守工作，行業涉及政企、金融、運營商等各大領域。2020年整體保障990+應用系統，實現300+億次防護，攔截60+億次攻擊。尤其是面對頻繁的0day攻擊，瑞數信息更憑借動態安全技術實現了高效防護，成為攻防對抗中的“獨門秘籍”。未來，瑞數信息也將繼續在攻防演練領域深入探索，充分整合動態防御、AI智能等技術手段，讓防守不再被動、響應不再滯后，助企業提升攻防能力、降低網絡安全風險一臂之力！