自首屆網(wǎng)絡安全攻防實戰(zhàn)演練開展以來，這一活動已成為網(wǎng)絡安全領域備受關注的大事件。今年，攻防實戰(zhàn)演練更上升到了一個全新高度，包括行動任務數(shù)量、演練周期時長、攻擊強度以及演練類別等，較以往都有極大提升，堪稱“史上最難攻防季”。

今年的攻防演練著眼于全球網(wǎng)絡空間戰(zhàn)略博弈的升級和攻防對抗的持續(xù)加劇。一方面，網(wǎng)絡攻擊強度烈度不斷升級。網(wǎng)絡攻擊手段不斷升級、強度持續(xù)提升、規(guī)模不斷擴大，網(wǎng)絡攻擊主體更加多元，涉及個人、企業(yè)、社會組織甚至國家。另一方面，網(wǎng)絡安全形勢發(fā)生深刻變化。隨著人工智能、物聯(lián)網(wǎng)、大數(shù)據(jù)等技術不斷創(chuàng)新和相互滲透，網(wǎng)絡空間與物理空間高度融合，二者關聯(lián)愈發(fā)密切、邊界趨于模糊，網(wǎng)絡安全風險從單點向全局蔓延。

網(wǎng)絡攻擊手段進化升級

在網(wǎng)絡安全升級為數(shù)字安全的時代背景下，實戰(zhàn)攻防對抗是檢驗安全能力的最終標準。由于目前網(wǎng)絡空間態(tài)勢復雜，如何在攻防對抗環(huán)境中具備實戰(zhàn)能力，已成為所有行業(yè)和政企機構網(wǎng)絡安全建設的重要目標。

瑞數(shù)信息安全響應中心研究員陸攀介紹，從2016年至2023年的攻防演練實踐看，無論從演練規(guī)模還是攻擊技術上看，都在不斷演進升級。“攻防演習”逐步由試點走向全局，執(zhí)行力度逐年增強，呈現(xiàn)出攻擊力度強、攻擊點范圍廣、防護難度大的特點。

比如2016年攻擊方法以傳統(tǒng)應用系統(tǒng)攻擊為主，攻擊手段相對單一；2019年開始出現(xiàn)真正意義上的0day攻擊；2021年0day攻擊常態(tài)化，供應鏈攻擊和社工開始展露頭腳，第一次出現(xiàn)沙盤推演；2023年攻防規(guī)模達到歷史之最，防守隊和攻擊隊都接近300家，并且0day數(shù)量達到300個左右。

隨著網(wǎng)絡安全攻擊技術持續(xù)進化，攻擊手法主要呈現(xiàn)出四個趨勢變化：

首先，0day漏洞轉向供應鏈。2023年攻防演練期間暴露出的0day漏洞數(shù)量超過200個，有詳情的漏洞超過100個，Web漏洞占比達到90%以上。攻擊方向從之前的業(yè)務系統(tǒng)、安全設備，慢慢趨向于軟硬件供應商和辦公系統(tǒng)。

其次，攻擊更加多元化。智能終端、辦公大廳自助機小程序、微信等成為新的突破口，供應鏈和釣魚攻擊成為攻擊新趨勢。隨著正面突破的難度越來越大，供應鏈、開源組件、二級單位攻擊、社工釣魚等方法和花樣層出不窮。比如利用供應鏈的補丁或者升級包進行投毒，欺騙用戶進行升級等，從而控制網(wǎng)絡系統(tǒng)。

第三，工具化更加隱蔽智能。攻擊工具和攻擊方式越來越自動化和智能化，自動化攻擊手段從早期的簡單腳本和工具，到具備JS解析能力的工具，再到腳本驅動的瀏覽器和APP，以及如今的錄屏操作和真人操作，識別和防護難度呈現(xiàn)指數(shù)級上升。大量的通用和定制工具用于漏洞掃描、0day探測、撞庫、敏感文件探測等，攻擊范圍進一步擴大。為了提升攻擊效率，攻擊方還精心設計了專門接口，以加快攻擊過程，實現(xiàn)了工具集成化、平臺化，并形成了完整的自動化攻擊鏈。

第四，API接口成為主要攻擊目標。通過惡意請求或其他手段獲取未授權的數(shù)據(jù)或對系統(tǒng)進行惡意操作，脆弱的API成為了攻擊者進入系統(tǒng)的門戶。攻擊者可以利用API漏洞繞過防火墻、入侵檢測系統(tǒng)等安全防護設備，從而對系統(tǒng)進行深入攻擊。

面對持續(xù)加大的網(wǎng)絡攻擊強度，網(wǎng)絡安全工作者疲于奔命、無所適從的感受越來越強烈。網(wǎng)絡對抗一直處于攻易難守的狀態(tài)，攻擊只需要突破一個點就可能拿下目標，而防守者卻要面面俱到。在很多情況下，網(wǎng)絡安全往往面臨事后響應、被動挨打的局面，經(jīng)常都是在被攻擊之后，系統(tǒng)被拖庫或被植入后門才發(fā)現(xiàn)攻擊痕跡。尤其是隨著業(yè)務系統(tǒng)的不斷擴張，攻擊面也在與日俱增，安全運營成本不斷增高。

從攻擊者視角看安全

在數(shù)字化時代，網(wǎng)絡安全團隊不僅要站在防御視角來看待安全，更要從攻擊者視角來監(jiān)測完整的數(shù)字攻擊進程，瑞數(shù)信息觀察到了各類網(wǎng)絡攻擊的流程和防護要點。

實網(wǎng)攻擊方面，在起始階段，攻擊者會先在網(wǎng)絡外圍進行探測尋找突破口。突破口大多聚焦在關注度低和防護薄弱系統(tǒng)、存在高危漏洞的系統(tǒng)、第三方產(chǎn)品供應商、運維服務供應商、存在敏感信息泄露的系統(tǒng)等區(qū)域，之后通過目標收集、漏洞掃描、路徑探測、賬號破解等方式，逐步深入滲透進網(wǎng)絡之中。在進入網(wǎng)絡中后，攻擊者會采取人工滲透、0day/Nday攻擊、安全措施突破、獲取shell等方式，層層深入到最核心的內網(wǎng)之中，并在內網(wǎng)開啟漫游，通過收集資產(chǎn)、定向控制、權限提升等手段，逐步獲取核心權限，從而掌控整個網(wǎng)絡的主動權。

供應鏈攻擊方面，攻擊者首先會識別使用敏感數(shù)據(jù)的軟件開發(fā)供應商，這里的目標是打開一扇通向更多機會的門。選中目標后，攻擊者會利用公司軟件中未知或未解決的漏洞侵入系統(tǒng)，他們可以利用識別的漏洞，在公司源代碼中添加有缺陷的代碼或插入惡意軟件。一旦供應商被感染，他們便試圖通過橫向移動訪問連接的目標公司的敏感數(shù)據(jù)。此外，攻擊者還會使用網(wǎng)絡釣魚攻擊欺騙第三方供應商的員工泄露登錄憑據(jù)。一旦攻擊者獲得了對目標公司網(wǎng)絡的訪問權，他們就可以使用各種手段竊取或加密目標公司的數(shù)據(jù)，進而實施勒索攻擊等惡意操作。

此外，站在攻擊者視角，還可以發(fā)現(xiàn)網(wǎng)絡安全中存在的一系列挑戰(zhàn)。隨著數(shù)字化發(fā)展，資產(chǎn)類型和數(shù)量越來豐富，網(wǎng)絡安全從業(yè)者難以完全掌握所有潛在風險點，攻擊面越來越大，且大多并不清晰。其次，由于供應鏈數(shù)量眾多，類型錯綜復雜，導致安全難以做到統(tǒng)一管理，供應鏈風險與日俱增。同時，不同團隊和部門對安全重視程度不一，員工安全意識差異較大。而未知的0day漏洞則很難事先防范，一旦被發(fā)現(xiàn)就可能遭受嚴重攻擊，0day防御重要性日益凸顯。

構筑縱深防御體系，化被動為主動

克勞塞維茨在《戰(zhàn)爭論》中曾經(jīng)對防御作戰(zhàn)有過這樣的描述：“防御作戰(zhàn)這種常見的作戰(zhàn)形式，其往往不是單純的組織靜態(tài)的防線，而是由無數(shù)次的巧妙打擊和迂回運動組成的反突擊體系。”

對防守方而言，單一的產(chǎn)品是無法實現(xiàn)安全的，構建縱深防御體系、建立全面監(jiān)控的能力、高效協(xié)同等，都是贏得網(wǎng)絡安全戰(zhàn)的先決條件。

基于主動防護理念，瑞數(shù)信息改變了傳統(tǒng)網(wǎng)絡安全的“游戲規(guī)則”，推出動態(tài)安全技術，不再依靠攻擊特征庫、異常特征庫的匹配來進行攻擊識別，而是通過隱藏漏洞、變換自身、驗證真?zhèn)蔚榷喾N方式提高黑客攻擊成本，倒逼黑客放棄攻擊。

在0day漏洞防護方面，瑞數(shù)信息從0day漏洞利用工具請求的固有屬性出發(fā)，通過動態(tài)安全技術，無需依賴規(guī)則特征，只要識別到是工具行為，就可以直接對0day攻擊進行阻斷。

在漏掃防護方面，瑞數(shù)信息提供漏洞隱藏功能，將所有的高危、中危漏洞、網(wǎng)頁目錄結構做隱藏，并通過敏感信息隱藏、針對掃描器做重放性檢測、動態(tài)挑戰(zhàn)等方式來進行防護，讓攻擊方掃描不到任何有價值的信息。

隨著網(wǎng)絡對抗升級，基于規(guī)則和特征的傳統(tǒng)安全設備防護效率將越來越低。對于人工攻擊，還可以從干擾攻擊行為的角度出發(fā)進行防護。

瑞數(shù)動態(tài)安全利用動態(tài)封裝和動態(tài)混淆這兩大創(chuàng)新技術對攻擊者實施動態(tài)干擾。靈活運用Web代碼混淆、JS混淆、前端反調試、Cookie混淆、中間人檢測等多種動態(tài)干擾功能，采用不基于任何特征、規(guī)則的方式進行有效防護，為業(yè)務安全和用戶數(shù)據(jù)筑起了一道堅不可摧的防護墻。

針對愈加頻繁的勒索攻擊，瑞數(shù)信息通過數(shù)據(jù)備份和快速恢復備份數(shù)據(jù)的數(shù)據(jù)安全檢測與應急響應系統(tǒng)（DDR）系統(tǒng)，構建起更完整的勒索軟件防護閉環(huán)，幫助企業(yè)守住數(shù)據(jù)安全最后一道防線。

在嚴峻的網(wǎng)絡安全形勢下，面對層出不窮的攻擊手段和潛在的安全威脅，網(wǎng)絡安全防護必須實現(xiàn)從“人防”到“技防”的全面躍遷，才能徹底將人員從安全對抗的值守中解放出來。

基于獨特的“動態(tài)安全+AI”技術思想，瑞數(shù)信息綜合運用自動化攻擊保護、0day防護、多源低頻防護、多維度分層分級對抗等多種安全防護策略和手段，還推出瑞數(shù)WAAP超融合平臺，支持WAF、Bots防護、0day攻擊防護、應用DDoS防護、API安全防護等多項安全產(chǎn)品單獨或聯(lián)合部署，能夠覆蓋Web、移動App、H5、API及IoT全應用渠道，提供多層級的聯(lián)動防御機制，令企業(yè)在各類復雜的環(huán)境中，都可以輕松實現(xiàn)應用安全一體化防御。

目前，瑞數(shù)信息動態(tài)安全已廣泛應用在運營商、金融、政府、教育、醫(yī)院、企業(yè)客戶之中，幫助各類組織機構真正實現(xiàn)網(wǎng)站/APP/小程序/API的安全防護，降低其安全風險和經(jīng)濟損失。同時，瑞數(shù)信息參與了大量網(wǎng)絡安全重保工作，并取得了優(yōu)異的成績。

借助動態(tài)安全與AI技術，瑞數(shù)信息建立起全方位的網(wǎng)絡安全縱深防御體系，形成事前、事中、事后安全風險閉環(huán)，助力企業(yè)消除信息安全體系建設中的“安全孤島”問題。由此，企業(yè)在面對復雜多變的網(wǎng)絡和應用環(huán)境時，可以真正實現(xiàn)網(wǎng)絡安全從“被動”變“主動”，構筑起網(wǎng)絡安全的“鋼鐵長城”。