阿里云優惠券 先領券再下單

實戰攻防演練是檢閱政企機構安全防護和應急處置能力的有效手段之一。每年舉行的國家級實戰攻防演練，聚集了國內多支頂尖攻擊團隊，在攻擊手段和強度上遠遠超過日常安全檢查，防守方都面臨著非常嚴峻的考驗。

今年網絡攻防演練專項行動在即，相信不少的企業和機構早已開始了準備。那么，如何高效應對網絡安全實戰攻防演練?與之前相比，今年的網絡攻防演練又會出現哪些新特點呢?

一、從合規到實戰，攻防演練呈現五大趨勢

由于目前網絡空間態勢復雜，如何在攻防對抗環境中具備實戰能力，已成為所有行業和政企機構網絡安全建設的重要目標。

瑞數信息首席安全顧問周浩表示，從2016-2020年的攻防演練實踐看，無論從演練規模還是攻擊技術上看，都在不斷升級演進升級。

例如：2016年，攻擊方法以傳統應用系統攻擊為主，攻擊手段相對單一;但到了2020年，攻擊范圍進一步擴大，自動化攻擊、武器化攻擊越來越多，大批量0day在演練中使用，并且攻擊范圍也擴展到了安全設備自身，各種高級實戰的攻擊手段也有所使用。

從去年攻防演練的實戰情況，可以看到攻防演練已呈現五大攻擊趨勢：

攻擊手法一：自動化攻擊、武器化攻擊越加明顯

在攻防演練中，紅隊會對開源工具、泄漏工具、定制工具等進行整合，構建自己的武器庫。通過武器庫可快速高效的對各類0day、Nday漏洞進行探測利用，在攻擊過程中還可對特征識別、IP封鎖等防護措施進行突破。

除了漏洞探測利用工具外，紅隊還會利用動態加密Webshell來穿透WAF防護，進行權限維持和跳板搭建，如哥斯拉、冰蝎等Webshell采用動態加密方式，通信過程無穩定可識別的特征，碾壓市面上所有基于特征匹配的傳統WAF。對于藍隊基于規則的防護而言，實則是一種降維打擊。

攻擊手法二：人員和管理漏洞探測

除了攻擊應用漏洞之外，紅隊還會探測藍隊在人員和管理上的漏洞，如：弱口令、網絡遺漏備份文件等，尤其是VPN、郵箱、管理平臺等系統，已經成為重點攻擊對象。

攻擊手法三：多源低頻攻擊

攻防演練中，封IP是最主要的防護手段之一。實戰過程中，紅隊會通過分布在全國各地的IP代理發起攻擊，這些IP地址可能來自機房，也可能來自家庭寬帶、手機基站等。貿然對這些IP進行封堵，可能會造成業務不可用，甚至達到防火墻IP黑名單的數量上限。

攻擊手法四：社工釣魚

社工釣魚在實戰中的應用越來越廣泛。紅隊會從人的角度下手，給相應的員工、外包人員發釣魚郵件，搭建釣魚用的WIFI熱點，甚至雇人混入藍隊，插U盤、中木馬等等。

攻擊手法五：0day攻擊成為常態

在攻防演練中，0day攻擊已成為常態，由于0day漏洞能夠穿透現有基于規則的防護技術，被視為紅隊最為有效的手段之一。2020年攻防演練中，出現了上百個0day漏洞，這些漏洞中大部分和暴露在互聯網上的Web應用相關，直接威脅到核心系統的安全。

總體而言，在實戰化、高級化、常態化的攻擊趨勢下，攻防演練的力度將空前加大。鑒于今年建黨100周年等重大活動眾多，境外惡勢力攻擊將更加激烈，各類重?；顒拥臅r間也會持續拉長。

二、從人防到技防，瑞數信息“三板斧”構建實戰能力

攻易守難，安全工作者在攻防演練中往往要承受巨大的壓力。由于藍隊處于被動，當發現攻擊事件、溯源攻擊時，整體已經處于滯后狀態，所以在攻防演練中，藍隊需要投入大量精力做防守，甚至是7*24小時的人工值守，處于非常態化的安全運營中。

那么，是否能夠通過一些技術手段來降低藍隊安全人員的工作量，并達到很好的防護效果呢?瑞數信息首席安全顧問周浩認為，要做到從“人防”到“技防”，可以從攻擊的三個階段入手：

第一階段：自動化攻擊、信息收集

在攻擊前期，紅隊的重點在于以自動化攻擊、信息收集為主，如：資產探測、已知漏洞探測;利用工具發起批量攻擊;弱口令嗅探、路徑遍歷、批量POC等。

第二階段：手工攻擊、多源低頻、重點突破

信息收集后，紅隊會轉向重點系統攻擊，通過人工分析漏洞，發起定向打擊，同時對現有安全措施進行突破。

第三階段：橫向移動、核心滲透

在紅隊獲得一定權限后，會對權限進行提升，并搭建代理跳板，橫向移動，對核心系統靶標進行滲透。拿下靶標時，意味著紅隊的勝利。

針對以上三個階段，周浩建議，藍方可以通過瑞數信息“三板斧”模式，采用三種不同的防護手段，來做相應的阻攔。

板斧一：攔工具。通過對工具類的探測利用進行攔截，降低紅方攻擊效率。

為了彌補特征識別的缺陷，對于工具的防護可以根據攻擊工具自身的特點，采用“分級分層、按需對抗”的策略。針對不同級別的工具，采用相應的識別攔截手段：

實現效果：

通用漏掃防護方面，瑞數信息能夠提供漏洞隱藏功能，將所有的高危、中危漏洞、網頁目錄結構做隱藏，讓紅方掃描器得不到任何有價值的信息。

0day防護方面，通過瑞數信息獨有的動態驗證、封裝、混淆、令牌四大動態安全技術，能夠實現不基于規則的防護。從0day漏洞利用工具請求的固有屬性出發，只要識別到是工具行為，那么就可以直接對0day攻擊進行阻斷，從而實現對業務的動態保護。

插件掃描和被動漏掃防護方面，基于瑞數信息特有的“動態安全”技術，能夠通過敏感信息隱藏、針對掃描器做重放性檢測、動態挑戰等方式來進行防護，擺脫傳統封禁IP的繁瑣，讓紅方無法獲取有價值的信息。

密碼破解方面，通過準確的人機識別技術，可不依賴頻率閾值的情況下對密碼破解攻擊進行攔截，可實現首次破解即被攔截的效果。

同時，瑞數信息還可以通過指紋溯源關聯的形式，對整個攻擊團伙做攻擊畫像，精確定位攻擊者身份，對攻擊者設備指紋直接做封殺。

板斧二：擾人工。對人工滲透行為進行迷惑干擾，提升紅方分析難度。

隨著對抗的升級，基于規則和特征的傳統安全設備防護效率將越來越低。對于人工攻擊，不妨換個思路，從干擾攻擊行為的角度出發進行防護。

作為動態安全技術的代表廠商，瑞數信息擁有多種動態干擾功能：web代碼混淆、JS混淆、前端反調試、Cookie混淆、中間人檢測等，能夠不基于任何特征、規則的方式進行有效防護。

例如：瑞數信息可以將URL動態變化成亂碼，隱藏鏈接地址，攻擊者無法通過分析代碼，定位攻擊入口;可以通過高強度、動態混淆機制，保證前端JS代碼不被泄露;可以通過干擾攻擊者調試分析，防止通過瀏覽器開發者工具對網站進行調試分析，獲取業務流程、接口;可以將Cookie內容動態變化成亂碼，防止攻擊者攔截Cookie，偽造交易報文，進行中間人攻擊等等。

板斧三：斷跳板。對紅方webshell等跳板工具進行阻斷。

Webshell可以說是內網穿透利器，只要開放web服務，就有可能被利用搭建代理進行內網穿透。

目前，Webshell主要分為兩類：一類是傳統型，具備明顯的通訊特征;另一類是動態加密型，能夠隱藏攻擊特征，很難防御。

對于動態加密類的webshell，如：哥斯拉Godzilla、冰蝎等，同樣可以采用瑞數信息的“動態安全”技術，通過令牌等方式判定為非法訪問，并直接進行阻斷，而不依賴于攻擊特征的識別。

總體而言，瑞數信息徹底轉換了傳統防護的思路，通過獨特的動態安全技術，以多維度“分級分層”的對抗策略，讓自動化工具和攻擊者無法輕易發現攻擊入口，大幅提升攻擊難度與成本。同時，通過對終端環境和設備指紋的多維度畫像，可以有效識別各類惡意自動化工具，并能實時追蹤通過大量跳板隱藏攻擊來源的惡意終端。

對于藍隊而言，基于瑞數信息的動態防護體系，能夠有效實現從“人防”到“技防”。無論在攻防演練還是日常運維中，都能將安全人員從安全對抗和值守中釋放出來。

三、從被動到主動，瑞數信息推出“重保神器”

在如今嚴峻的網絡安全形勢下，動態防護、主動防御已經成為安全建設的趨勢。面對花樣百出的攻擊手段，未知的安全威脅，瑞數信息已推出多項安全產品，覆蓋Web、移動App、H5、API及IoT應用，從應用防護到業務透視，建立了從動態防御到持續對抗的防護體系。

針對攻防演練、重大活動保障這樣的特殊場景，瑞數信息也相應推出了“重大活動動態安全保障”、“網站護盾”等解決方案，助力政企機構防護方更高效、靈活地應對復雜攻擊。

目前，瑞數動態安全防護系統已應用在政府、金融、能源、運營商等多個行業中，被眾多行業客戶防守方作為“重保神器”。從2016到2020年，瑞數信息參與了上百家單位的攻防演練防守工作，瑞數動態安全防護系統對攻擊工具的防護能力，大大提高了攻擊門檻，讓攻擊隊的信息收集、漏洞掃描、0day探測等無法發起，從而得到了客戶的高度認可。

據《2020網絡安全行業研究白皮書》顯示，某政務服務網站盡管已部署了傳統安全防御產品，但系統仍經常被攻擊，網頁無法打開，投訴量持續增加。在緊急上線瑞數動態安全產品后，60小時內，即識別并攔截了近4500萬次異常訪問請求，異常請求占到向該網站發起的總請求數的78%。深入分析后發現，大多數爬蟲攻擊工具都采用多源低頻的方式，通過更換大量IP來規避傳統安全檢測機制，使得溯源難度加大，傳統手段失效。而瑞數信息運用“動態安全”技術進行人機識別，批量防爬蟲，具備獨特優勢。

可以看到，基于瑞數信息的動態安全技術和“重保神器”解決方案，能夠有效幫助攻防演練的防守方開展實戰工作，提升用戶網絡安全防御能力，真正實現從人防到技防，從被動到主動。

申請創業報道，分享創業好點子。點擊此處，共同探討創業新機遇！