“實(shí)踐是檢驗(yàn)真理的唯一標(biāo)準(zhǔn)”，對(duì)于網(wǎng)絡(luò)安全而言，實(shí)戰(zhàn)攻防演練恰恰提供了這么一個(gè)機(jī)會(huì)。

2021年3月19日，瑞數(shù)信息在線直播“從人防到技防，攻防演練實(shí)戰(zhàn)應(yīng)對(duì)指南”，探討攻防演練中最受關(guān)注的九大問題，提供實(shí)戰(zhàn)背景下的攻守方略。

攻防演練九大最受關(guān)注問題

1、攻擊過程包括哪幾個(gè)階段？每個(gè)階段防守方如何應(yīng)對(duì)？

第一階段-前期信息刺探：自動(dòng)化攻擊、信息收集為主

攻方重點(diǎn)：

1）資產(chǎn)探測，全面了解防守方的資產(chǎn)情況，明確攻擊面；

2）漏洞探測利用，對(duì)發(fā)現(xiàn)的資產(chǎn)進(jìn)行相關(guān)漏洞探測，對(duì)探測過程中發(fā)現(xiàn)的漏洞進(jìn)行利用；

3）口令破解，對(duì)于存在登錄入口的系統(tǒng)進(jìn)行口令破解；

4）敏感文件發(fā)現(xiàn)，對(duì)系統(tǒng)中存在的管理地址、備份文件、配置文件等進(jìn)行發(fā)現(xiàn)。

防守重點(diǎn)： 

1）攔截所有由工具發(fā)起的攻擊，包括但不限于漏洞掃描、路徑遍歷、口令破解；

2）對(duì)日志進(jìn)行分析，對(duì)攻擊者使用過的設(shè)備指紋、IP進(jìn)行關(guān)聯(lián)分析；

3）監(jiān)測帳號(hào)登錄情況，對(duì)異常登錄及時(shí)處理。

第二階段-中期定點(diǎn)打擊：手工攻擊、多源低頻、重點(diǎn)突破為主

攻方重點(diǎn)： 

1）對(duì)重點(diǎn)系統(tǒng)進(jìn)行人工深入分析，嘗試挖掘漏洞；

2）對(duì)現(xiàn)在安全措施進(jìn)行突破；

3）獲取外圍跳板。

防守重點(diǎn)：

1）干擾人工分析，讓攻擊者無法從目標(biāo)系統(tǒng)中獲取有價(jià)值的信息；

2）抵御0day攻擊；

3）全訪問數(shù)據(jù)分析，發(fā)現(xiàn)深層次攻擊；

4）利用可編程對(duì)抗思路進(jìn)行細(xì)粒度防護(hù)。

第三階段-后期縱向深入：橫向移動(dòng)，核心滲透

攻方重點(diǎn)： 

1）提升權(quán)限，對(duì)獲取到的低級(jí)權(quán)限進(jìn)行提升；

2）利用跳板進(jìn)行橫向移動(dòng)；

3）對(duì)靶標(biāo)系統(tǒng)進(jìn)行滲透。

防守重點(diǎn)：

1）賬號(hào)集中管控，縮小攻擊面；

2）對(duì)堡壘機(jī)、主機(jī)等系統(tǒng)重點(diǎn)監(jiān)控，發(fā)現(xiàn)異常訪問或操作；

3）對(duì)主機(jī)異常操作識(shí)別。

攻防演練中常見的攻擊手段有哪些？這些攻擊具備哪些特點(diǎn)？

0day漏洞攻擊：0day攻擊在攻防演練中已經(jīng)成為常態(tài)，利用操作系統(tǒng)、中間件、應(yīng)用、安全設(shè)備等軟硬件的0day漏洞，可穿透基于規(guī)則的防護(hù)技術(shù)，直接獲取系統(tǒng)權(quán)限。

社工釣魚：通過各類社工手段，例如釣魚郵件、虛假WIFI、物理接觸等方式，對(duì)防守方進(jìn)行社工攻擊。

多源低頻攻擊：利用多源低頻攻擊模式繞過限頻、封IP等防護(hù)手段。

人員和管理漏洞探測：主要表現(xiàn)在對(duì)弱口令問題、文件不安全存儲(chǔ)、流程不完善等方面進(jìn)行攻擊，獲取敏感信息。

武器化攻擊：為了提供攻擊效率，快速拿下系統(tǒng)，攻擊者會(huì)積累各類攻擊工具，形成武器庫，從而快速發(fā)起攻擊。

企業(yè)防護(hù)重心如何從“人防”過渡到“技防”？

面對(duì)攻擊，目前有一些企業(yè)的防護(hù)重心仍然在于人員現(xiàn)場值守，但“人防”人力成本高、負(fù)荷大，難以常態(tài)化、持續(xù)化，同時(shí)由于攻方的攻擊手段、攻擊效率都有了質(zhì)的飛躍，人防也逐漸顯得力不從心。因此從“人防”過渡到“技防”是攻防過程中的必然轉(zhuǎn)變。我們強(qiáng)調(diào)通過更多技術(shù)性的創(chuàng)新手段，以“技防”結(jié)合“人防”，從而實(shí)現(xiàn)無論是在攻防演練期間，還是平時(shí)的安全防護(hù)過程中，都讓防守不再被動(dòng)、響應(yīng)不再滯后，提供業(yè)務(wù)與安全的雙保障。

隱秘、高效的自動(dòng)化工具攻擊如何應(yīng)對(duì)？

分級(jí)分層，按需對(duì)抗：

簡單漏掃和工具：通過JS能力檢測進(jìn)行工具判斷，利用令牌機(jī)制防止工具進(jìn)行簡單的繞過，利用代碼混淆技術(shù)提升工具發(fā)現(xiàn)漏洞的門檻。

具備JS解析能力的工具：通過環(huán)境檢測、行為識(shí)別、偽造檢測，進(jìn)行人機(jī)識(shí)別。

瀏覽器插件和被動(dòng)掃描器：通過重放性檢測、動(dòng)態(tài)挑戰(zhàn)技術(shù)、敏感信息隱藏等技術(shù)，讓攻擊方獲取不到有價(jià)值的信息。還可以通過指紋關(guān)聯(lián)的形式，對(duì)多源低頻攻擊做檢測。

（實(shí)戰(zhàn)案例指路視頻14:33）

人工定點(diǎn)攻擊如何防護(hù)？

以往的安全防護(hù)往往基于規(guī)則和特征，不會(huì)區(qū)分攻擊來源是工具還是人，但隨著各類隱藏方式的出現(xiàn)和對(duì)抗的升級(jí)，這種思路相對(duì)來說就顯得效率比較低了。因?yàn)槲覀兘ㄗh換一個(gè)思路防護(hù)人工定點(diǎn)攻擊，對(duì)攻擊的請(qǐng)求做出一些動(dòng)態(tài)的干擾，來降低攻方的整體攻擊效率。

（實(shí)戰(zhàn)案例指路視頻23:05）

面對(duì)動(dòng)態(tài)加密版的Webshell，如何進(jìn)行阻斷？

隨著Godzilla、冰蝎等一批具備動(dòng)態(tài)加密技術(shù)的Webshell發(fā)布，對(duì)于Webshell的識(shí)別又被提高到一個(gè)新高度。面對(duì)采用動(dòng)態(tài)加密方式、隱藏攻擊特征的Webshell，傳統(tǒng)WAF產(chǎn)品無法單純依靠編寫規(guī)則來實(shí)現(xiàn)檢測和防御了，但是瑞數(shù)動(dòng)態(tài)防護(hù)技術(shù)是非特征匹配方式，不存在因?yàn)闆]有特征而被繞過的情況。動(dòng)態(tài)加密Webshell的連接和通信過程，與瀏覽器的正常訪問還是存在本質(zhì)區(qū)別的，通過動(dòng)態(tài)令牌、動(dòng)態(tài)驗(yàn)證等手段，可有效對(duì)這類Webshell的訪問過程進(jìn)行識(shí)別并阻斷。

（實(shí)戰(zhàn)案例指路視頻30:06）

相關(guān)鏈接：

技術(shù) | 應(yīng)對(duì)新型“一句話木馬”Bypass WAF的防護(hù)手段

他強(qiáng)由他強(qiáng),清風(fēng)拂山崗 | 冰蝎3.0動(dòng)態(tài)防御

哥斯拉Godzilla | 動(dòng)態(tài)比拼,誰更技高一籌

動(dòng)態(tài)防護(hù)體系在攻防演練中有什么價(jià)值？

從人防到技防，將人員從安全對(duì)抗和值守中釋放出來

• 自動(dòng)化攻擊防護(hù)：攻擊方攻擊任務(wù)重，因此工具類請(qǐng)求占比超過90%，攔截自動(dòng)化攻擊可以有效降低攻擊者效率。
• 0day防護(hù)：2020年披露的0day漏洞超過百個(gè)，動(dòng)態(tài)防護(hù)技術(shù)可對(duì)其中Web類0day漏洞直接進(jìn)行防護(hù)，無需更新規(guī)則即可攔截相關(guān)0day攻擊。
• 多源低頻攻擊防護(hù)：攻擊方大量采用多源低頻攻擊，瑞數(shù)信息通過工具識(shí)別、設(shè)備指紋關(guān)聯(lián)追蹤，可全部實(shí)時(shí)攔截。
• 多維度分級(jí)分層對(duì)抗：通過動(dòng)態(tài)驗(yàn)證收集到的上百個(gè)指標(biāo)，任意組合，從而對(duì)攻擊者進(jìn)行全方位自動(dòng)攔截，無需封IP，運(yùn)維簡單，實(shí)現(xiàn)主動(dòng)防御。

除了攻擊防護(hù)，企業(yè)在實(shí)戰(zhàn)中還應(yīng)當(dāng)注意哪些細(xì)節(jié)？

• 資產(chǎn)梳理和可視：對(duì)企業(yè)資產(chǎn)暴漏面和資產(chǎn)進(jìn)行全面梳理，了解資產(chǎn)暴漏面情況、資產(chǎn)關(guān)聯(lián)關(guān)系。
• 系統(tǒng)及時(shí)打補(bǔ)?。合到y(tǒng)需要及時(shí)體檢及時(shí)打補(bǔ)丁，避免攻擊者利用Nday漏洞攻擊系統(tǒng)，規(guī)避已知漏洞攻擊。
• 謹(jǐn)防社工攻擊：進(jìn)行全員內(nèi)部培訓(xùn)，教育員工不要輕易打開郵件附件、點(diǎn)擊不明鏈接、輸入密碼等。
• 深藏靶標(biāo)系統(tǒng)：靶標(biāo)系統(tǒng)盡量設(shè)置得深一些，做好訪問控制，防止攻擊者輕易訪問。

企業(yè)如何持續(xù)升級(jí)網(wǎng)絡(luò)空間攻防對(duì)抗能力？

• 構(gòu)建包含防護(hù)、檢測、響應(yīng)以及恢復(fù)的綜合性體系框架
• 建立常態(tài)化的安全運(yùn)維機(jī)制
• 對(duì)攻擊技術(shù)進(jìn)行跟進(jìn)及演練
• 對(duì)防護(hù)技術(shù)進(jìn)行創(chuàng)新及實(shí)踐
• 人員培養(yǎng)與專業(yè)化服務(wù)相結(jié)合
• 積累與使用威脅情報(bào)

 2016年至今，瑞數(shù)信息已經(jīng)深度參與了上百家單位的攻防演練防守工作，行業(yè)涉及政企、金融、運(yùn)營商等各大領(lǐng)域。2020年整體保障990+應(yīng)用系統(tǒng)，實(shí)現(xiàn)300+億次防護(hù)，攔截60+億次攻擊。尤其是面對(duì)頻繁的0day攻擊，瑞數(shù)信息更憑借動(dòng)態(tài)安全技術(shù)實(shí)現(xiàn)了高效防護(hù)，成為攻防對(duì)抗中的“獨(dú)門秘籍”。未來，瑞數(shù)信息也將繼續(xù)在攻防演練領(lǐng)域深入探索，充分整合動(dòng)態(tài)防御、AI智能等技術(shù)手段，讓防守不再被動(dòng)、響應(yīng)不再滯后，助企業(yè)提升攻防能力、降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)一臂之力！