近年來，全國性攻防演練逐漸常規化。攻防演練不僅是對各企事業單位網絡安全能力的大考，更是透視未來安全趨勢、升級防御策略的絕佳窗口。

在技術升級與威脅演變的雙重驅動下，2024年的攻防演練呈現出哪些新趨勢和新特點？這些變化對于企事業單位的安全能力建設又提出了哪些新要求？

瑞數信息作為多年深耕bots自動化攻擊和動態安全技術的專業安全廠商，已連續數年參與國家級攻防演練，助力眾多企事業單位提升攻防演練的防守競爭力。此次，瑞數信息安全響應中心研究員陸攀對今年攻防演練的新趨勢做出了預判，并為企事業單位構建實戰化的安全體系提出了對策。

2024攻防演練四大趨勢凸顯

自2016年以來，攻防演練已走過九個年頭，從最初的小規模試點，到如今的大范圍紅藍對抗，攻防演練的執行力度逐年增強。

瑞數信息安全響應中心研究員陸攀表示，隨著時間的推移，攻防演練的規模越來越大，也越來越呈現出攻擊力度強、攻擊點范圍廣、防護難度大的特點。

比如，2019年開始出現0day攻擊；2021年0day攻擊常態化，供應鏈攻擊和社工開始展露頭腳，第一次出現沙盤推演；2023年更是達到了歷史規模之最大，防守隊和攻擊隊都接近300家，且0day、供應鏈、社工成為三大攻擊利器。

隨著攻防演練的快速演進，攻擊手法也在不斷變化升級。基于歷年攻防演練的攻擊情況，瑞數信息安全響應中心研究員陸攀認為，2024年攻防演練的攻擊手法將呈現四大趨勢：

• 趨勢一：0day漏洞轉向供應鏈2023年攻防演練期間暴露出的0day漏洞數量接近300個，web漏洞占比90%以上，基本上覆蓋了VPN、遠程工具、辦公軟件、OA系統、聊天工具、安全產品等。
  
  換句話說，0day攻擊方向已經從之前的業務系統、安全設備逐步轉向個人辦公軟件，從web應用組件轉向供應鏈，即每個人都可能是被攻擊的對象。
  
• 趨勢二：多元化攻擊近幾年攻擊渠道也越來越多源，從傳統的網絡接口，演變成各種智能終端，如：辦公大廳自助機、攝像頭、微信、小程序、APP等。
  
  在這些供應鏈攻擊中，攻擊方法也是花樣百出，結合社工釣魚玩出了新高度，不僅是技術的比拼，還是心理戰術的博弈。
  
  比如，在2023年攻防對抗中，攻擊隊利用供應鏈的的補丁進行投毒，欺騙用戶進行升級，從而控制系統；還有各種主題的釣魚郵件，如：簡歷招聘、舉報信、高溫補貼、社保繳費，讓人忍不住點進去。
  
• 趨勢三：工具攻擊更隱蔽、更智能相較于過去單兵工具作戰，現在的攻擊工具越來越智能化和一體化。
  
  一方面，各種特征流量都被加密，難以捕捉到攻擊特征，結合代理池的多源低頻繞過，更難以被發現；另一方面，一體化的攻擊工具可以實現一鍵快速打點，自動實現資產指紋收集、漏洞自動檢測、利用以及獲取權限等功能。
  
  此外，攻擊隊還精心設計了專門接口，以加快攻擊過程，實現工具集成化、平臺化，形成完整的自動化攻擊鏈。
  
• 趨勢四：API接口成為主要攻擊目標

隨著國家對數據安全的重視，最近兩年攻防演練計分將數據分提到了新高度，API接口由此成為了主要的攻擊目標，對API發起的業務攻擊層出不窮，如：Swagger文件、撞庫、批量獲取數據等。

如何做好常態化安全防御？

隨著攻防對抗強度的加大，安全工作者“疲于奔命”的感受越來越深。在攻防對抗中，攻易難守，攻擊只需要突破一個點就可能拿下目標，而防守者卻要面面俱到。尤其是隨著業務系統的不斷擴張，攻擊面也在與日俱增，安全運營成本不斷增高。

面對這種被動局面，作為防守方的企事業單位該如何應對不斷升級的攻擊手法，構建常態化的安全防御體系？對此，瑞數信息安全響應中心研究員陸攀給出了四個對策：

• 防御策略一：戰線整理-縮小攻擊面

攻擊的本質是信息收集，收集的情報越詳細，攻擊難度也就越小，成果也就會越豐富。因此，防守隊可以進行戰線整理，加大攻擊隊信息收集的難度，縮小攻擊面。同時，做好以下六點，能夠減少90%以上的攻擊面：

1. 敏感信息排查：排查掃描敏感信息是否有泄露到公網上，如源碼、賬號密碼、人員信息等。
2. 攻擊面收斂：排查攻擊面，如常見的網站后臺、測試系統、僵尸系統、高危服務端口等。
3. 攻擊路徑梳理：梳理每個業務系統的訪問路徑，尤其是重要系統、全國聯網系統。
4. 安全措施排查：梳理每個系統的安全防御情況，如安全補丁、訪問策略、安全加固定等。
5. 外部接入網絡梳理：梳理外部接入情況，如上下級單位、供應鏈服務商的網絡接入等。
6. 隱蔽入口梳理：梳理隱蔽入口的梳理，如私自搭建的WIFI、不用的VPN入口、遠程辦公等。

• 防御對策二：供應鏈安全

面對越來越多的供應鏈攻擊，可以基于以下四點來建設：

1. 供應鏈管理策略，建立健全內部安全管理制度和標準規范，將軟件供應鏈安全融入已有的安全管理安全技術體系中，審查供應商的安全實踐、軟件開發生命周期等；
2. 保障供應鏈完整性驗證，監測是否被篡改過；
3. 供應商訪問控制，比如實現最小權限訪問原則、制定高強度密碼機制等；
4. 安全測試，定期對供應鏈軟件和產品做安全測試和漏洞評估。

• 防御對策三：社工安全

針對人員安全意識建設是一個永不過時的需求，可以從以下四點出發：

1. 安全意識：定期對全員工進行安全培訓，組織內部釣魚郵件演練，不斷持續強化防范措施。
2. 部署釣魚郵件檢測設備：部署反垃圾郵件網關、釣魚郵件檢測設備、郵件內容過濾系統等，過濾可疑郵件鏈接和附件，主動發現釣魚郵件惡意鏈接、惡意附件，主動攔截郵件并及時通知用戶。
3. 終端側安全：及時更新漏洞補丁，避免遠程命令執行、本地提權等常用漏洞，安裝殺毒軟件更新，對落地文件靜態+動態查殺掃描，做到即使被釣魚了，但是不淪陷。
4. 網絡側安全：釣魚成功但是不出網，危害小一大半。出網策略嚴格限制，如：根據白名單、IP域名白名單進行全流量監控、網絡安全訪問控制劃分；還可以針對釣魚郵件攻擊進行溯源反制，獲取攻擊者信息。

• 防御對策四：0day防御

針對最難防御的0day，可以從以下四點去建設：

1. 全方位防控：針對所有流量、日志、主機行為進行監控分析。
2. 核心防御：集中力量辦大事，對核心系統、重要系統、集權系統、靶標系統進行重點防御，如：設置嚴格訪問策略、多因素登錄、安全加固等。
3. 安全設備：部署安全設備：一是蜜罐，對0day實施誘騙和誘捕；二是動態防御設備，防御0day批量探測、掃描和工具利用。
4. 威脅情報：建設威脅情報體系，第一時間獲取最新的0day信息，提前做好部署，防患于未然。

結語

無論是政策法規、行業標準引導，還是網絡安全態勢變得越來越復雜，攻防演練的標準都會越來越高。在這種實戰化安全的趨勢下，政企機構需建立起常態化的防御體系，從人防到技防，從被動到主動。

瑞數信息已推出多項安全產品，覆蓋Web、移動App、H5、API及IoT應用，從應用防護到業務透視，建立了從動態防御到持續對抗的全面防護體系。

針對攻防演練、重大活動保障這樣的特殊場景，瑞數信息也相應推出了“重大活動動態安全保障”、“網站護盾”等解決方案，助力企事業單位更高效、靈活地應對復雜攻擊。