攻防演练-善攻者VS善守者的“攻防盛宴”

攻防演练-善攻者VS善守者的“攻防盛宴”

2024年攻防演练即将开启，作为实战化的演练方式，攻防演练执行力度逐年增强，其攻击力度、攻击点范围、防护难度都在快速演变。除国家级外，省、市、区县也会举办攻防演练，同时，部分对网络安全要求较高的行业，比如金融、能源等也会举办行业性的攻防演练；攻防演练已经成为常态化。

较往年攻防演练工作，今年将呈现三个不同的明显特征：行业监管机构重视程度加深，参演机构数量达到历史之最，攻防演练周期预计延长。

攻防演练的由来

攻防演练的概念源自军事领域，最早可以追溯到古代战争中的模拟训练，那时的军事演习是为了提高士兵的战斗技能和战术配合能力。然而，现代意义上的攻防演练，特别是在网络安全领域的应用，则是在计算机网络和信息技术发展到一定阶段后才逐渐形成的。

1. 起源于军事

在军事领域，红蓝对抗（Red vs. Blue Teams）的概念最为人熟知，其中红色团队（Red Team）扮演攻击方，蓝色团队（Blue Team）扮演防御方。这种对抗性训练旨在提高军事单位在实战中的反应能力和作战效率。红蓝对抗演习最早出现在20世纪50年代的美国空军，后来被广泛应用于全球各大军事力量的训练中。

2. 延伸至网络安全领域

随着互联网的普及和网络攻击的日益复杂，网络安全成为了国家安全和商业运营的重要组成部分。1997年，美国联邦政府启动了第一个大规模的网络安全攻防演练——“Eligible Receiver”，这次演练模拟了对关键基础设施的网络攻击，展示了网络空间安全的脆弱性和防御的必要性。

自那以后，网络安全攻防演练逐渐成为各国政府和企业提升网络安全能力的重要手段。2016年中国颁布的《网络安全法》中明确规定，关键信息基础设施的运营者应当“制定网络安全事件应急预案，并定期进行演练”。这标志着攻防演练在中国乃至全球范围内进入了制度化、常态化的阶段。

当前网络安全攻防演练的特点

1. 实战化：演练尽可能接近真实网络环境，采用真实的攻击手段和工具，以检验和提升防御体系的有效性。

2. 全面性：涵盖物理、网络、应用、数据等多个层面的防护，以及人员、流程和政策的配合。

3. 综合性：不仅包括技术层面的攻防，还涉及法律、伦理、心理等多个维度，旨在构建全面的安全防护体系。

4. 持续性：攻防演练是一个持续的过程，以适应不断变化的威胁环境。

攻防演练中的角色扮演与分工

“善攻者”红队：由专门从事网络安全的技术人员和厂商的渗透技术人员组成，在规定时间内通过技术手段对防守方发动网络攻击，获取目标网络或系统的管理权限，检测防守方存在的安全漏洞。

“善守者”蓝队：通常在企事业单位名单中抽取单位参与，防守方通过与进攻方进行对抗，发现可被利用的漏洞，保护自己的领域，在攻防实战中可以有针对性的改进提升企事业单位的网络、系统以及设备等的安全防护能力。

“不知攻焉知防”-“善攻者”近年来发起的新型攻击手段

“不知攻焉知防”-只有深入探究攻击者的攻击方式和技术，才能更好地构建防御系统，防止被攻击。

1. 供应链攻击：通过攻击软件供应链中的薄弱环节，如第三方库、开源组件或供应商，间接影响目标组织。SolarWinds事件就是一个典型的供应链攻击案例。

2. AI辅助攻击：利用人工智能技术生成逼真的语音、图像或文本，进行社会工程学攻击，如Deepfake技术用于模仿高层管理人员的声音或面容，以诱导员工执行敏感操作。

3. 物联网（IoT）设备攻击：针对智能家居、工业控制系统的IoT设备，利用其安全漏洞进行控制或数据窃取，如Mirai僵尸网络就是利用IoT设备发起的大规模DDoS攻击。

4. API滥用：攻击者利用API设计或实现上的漏洞，如缺乏适当的认证、授权或数据验证，进行数据窃取或系统控制。

5. 云环境攻击：针对云服务提供商或云基础设施的攻击，利用云环境特有的安全漏洞，如配置错误、身份验证机制薄弱等。

6. 零信任架构下的攻击：针对零信任模型中可能存在的安全盲点，如身份验证和授权机制中的漏洞，进行针对性攻击。

7. 社会工程学：通过欺骗或心理操纵，诱导受害者泄露敏感信息或执行有害操作，如点击恶意链接或打开带有恶意软件的附件。

8. 恶意软件：包括病毒、蠕虫、木马和勒索软件等，通过电子邮件、下载的文件或其他载体传播，旨在破坏、窃取数据或控制受害者的系统。

9. 权限提升：在获得初始访问权限后，攻击者试图提升其权限，以获得对更敏感资源的访问。

10. 零日攻击（0-day）：利用尚未被公众或软件开发商知晓的漏洞进行攻击，这类攻击难以预防，因为没有可用的补丁或缓解措施。

攻防对决-“善守者”藏于九地之下

结合以往攻防演练活动中，真正的“善守者”往往在防守的维度上以“全局视角”部署、准备持续且全面的开展网络安全防护。具备相同的“特质”：

1. 具有统一的安全组织机构和协同机制，分工明确。

2. 具备整体的网络安全工作规划和部署，资源投入配比佳。

3. 有组织、有计划的预先安全自查和加固，完善安全防护体系。

4. 具备应急处置预案，演练过程中实时防守、应急处置。

攻防演练安全防御对策

针对近年来攻防演练的新型攻击手法，提供了针对性的安全防御方案建议：

1. “防守有道”-资产梳理

数据资产安全管理平台识别资产、分析脆弱性、定向推动安全加固。特点：

• 梳理资产分布、摸清数据家底，全面掌握资产现状；
• 发现敏感数据资产，绘制敏感分布图；
• 识别资产脆弱性，排查认清风险
• 推动安全加固整改工作，收敛暴露面，及时处置风险资产。

2. 全面风险排查及安全加固-数据安全风险评估

知己知彼-“全面的自我认知”。调研安全管理和技术现状，收敛攻击面、开展风险点排查、梳理攻击路径、完成策略梳理，优化重点管理制度，推进漏洞安全加固、策略优化等，推进安全风险闭环，提升安全防护能力。

3. 应对新型及未知的攻击，应加强边界防御

新型及未知攻击手法比较先进和隐蔽，难以发现；对此可在已有关键网络和信息系统中，针对安全级别比较高的采用物理隔离，部署网闸产品的方式建立安全边界，做到“攻击进不来，信息出不去”；避免未知攻击，保障安全。对于互联网端接入终端和人员应加强合法身份的验证和防攻击手段，建议采取硬件身份核查、加密、通道加密等确保接入安全。

4. 应对数据服务开放，应加强API接口安全管控

API安全是攻防演练中的重点，近年来通过API接口攻击成功的案例非常之多。因为API接口是数据交换的门户，利用应用程序接口（API）中的安全漏洞，如身份验证绕过、参数注入或信息泄露，来获取未授权的访问或数据已经是攻击选择的“重点”。使用API安全监测与访问控制系统，发现接口、识别脆弱性和身份验证机制、访问控制可以保护API免受恶意调用，防止数据泄露和未经授权的访问。

5. 实施多层次防御，应对多维度数据安全风险

针对整体网络脆弱性的认识，采取多层次的安全防御手段是构建全面网络安全体系的关键。包括：

• 加强情报收集与分析
• 实施多层次防御
• 更新安全技术和工具
• 定期安全审计和演练
• 加强员工网络安全意识

6. 攻防演练-复盘总结

攻防演练结束后，要及时开展复盘总结工作，从攻击情况、防守情况、监测手段、响应和协同处置等方面进行总结，挖掘问题的根本原因，梳理整个演练过程中暴露的管理、资源和技术等方面的问题，结合业务制定整改方案，并完善安全防护体系，全面提升安全防御能力。

攻防演练应持续性进行，通过演练发现自身安全脆弱性，针对性的提升安全防御能力，以应对来自真实的、隐匿的网络攻击。通过这种动态、长效的策略，保护数据安全、维持竞争力是数智时代可持续发展的基石。