如何积极防御网络攻击风险--中孚信息攻防演练专项服务实战笔记

　　2022年3月2日，据外交部披露，美国国家安全局（NSA）利用网络武器对中国、英国、德国等全球47个国家及地区403个目标发起长达十余年的网络攻击。

　　2022年6月22日，西北工业大学电子邮件系统发现一批包含木马程序的钓鱼邮件，企图窃取相关师生邮件数据和公民个人信息，给学校正常工作和生活秩序造成重大风险隐患。经判定，是美国黑客组织和不法分子发起的网络攻击行为。

　　CNVD 公开数据显示，2022 年共披露安全漏洞23900+枚，其中低风险漏洞占比11.13%，中高风险漏洞占比较约53.82%，高危漏洞占比35.05%。从数据可以看出，中高危漏洞占比近89%，如此风险程度的漏洞一旦被潜在网络犯罪分子利用，会给企业组织带来毁灭性打击。

　　随着网络的发展，网络实战攻防演练已成为各行业、单位对信息安全工作加强监测预警、查漏补缺较为有效的常态化防御手段。防守方由于对最新的攻击技术及方法理解落后于攻击人员，日常资产管理及安全制度中存在遗留缺陷，企业人员安全意识参差不齐，导致在攻防博弈中处于劣势地位。通过攻防演练模式可以及时暴露防守方在该方面的问题，演练集中攻击时防守人员的工作流程，以提高安全能力。在未来的安全运营体系建设中，党政机关和企事业单位想要持续夯实自身网络防御能力，抵御不断升级的威胁和新型攻击手段，攻防演练专项服务解决方案将发挥至关重要的作用。

　　网络攻击的门槛越来越低，黑灰产业也越来越成熟和组织化，如wannacry恶意蠕虫，批量挖矿僵尸主机等大规模攻击也越来越多，APT攻击也越来越容易，企业员工的安全意识薄弱可能导致严重灾难，由于企业发展导致的攻击面增加等问题的出现使得企业面临被攻击的风险大幅提升。为了能在遭受攻击前发现企业安全问题，提升企业的防护能力及快速处置能力，开展攻防对抗演练是最能达到效果的方法。

　　一、服务内容：

　　网络安全攻防演练即红蓝对抗（Attack and Defense Drill，ADD），在演习组织方（紫队）制定的规则下，在确保业务平稳运行的前提下，整合单位安全威胁监测能力、应急处置能力和防护能力，以真实网络环境开展实战演练，提高并完善用户安全防护技术与管理体系。对抗过程中不限制红队和蓝队之间的技术手段，攻击手法多样，涉及物理层、应用层、网络层、系统层、人员层等多个维度的攻击。

　　1、蓝队攻击服务：

　　蓝队通过模拟黑客探测企业网络薄弱点，加以利用并深入扩展，在授权范围内获得业务数据、服务器控制权限、业务控制权限。

　　2、红队防守服务：

　　红队通过设备监测和日志及流量分析等手段，监测攻击行为以抵御内外网入侵、社工钓鱼等攻击，并对其进行溯源反制。

　　3、事件应急响应：

　　在网络遭遇突然攻击行为时，提出并实施应急方案。涉及入侵检测、事件诊断、攻击隔离、快速恢复、网络追踪等关键技术。

　　4、企业安全建设：

　　通过演习服务发现企业存在问题，帮助自身了解问题所在，并为用户提供安全解决方案，树立企业整体安全防护意识。

　　二、整体防守思路：

　　攻防演练工作整体分为三个阶段，包括准备阶段、实战阶段和收尾阶段。准备阶段涵盖互联网暴露面梳理、网络安全架构分析、安全能力现状绘制、业务系统风险分析、企业资产安全评估、安全能力缺陷补充、整体安全策略优化、发现风险整改推进等方面；实战阶段涵盖应急场景演练开展、安全意识宣贯培训、红蓝对抗攻防演练、保障机制优化调整、攻击事件通告处置、恶意地址封堵封禁、攻击手段溯源分析、安全事件应急响应等方面；收尾阶段涵盖攻击事件汇总梳理、攻击路径还原分析、安全缺陷整改跟进、安全保障经验总结、攻防演练报告输出、总结组织沙盘推演、企业安全差距分析、企业安全规划建设等方面。

　　下图罗列了整体防守工作的准备细则，包括演练前准备的工作、攻防演练中的对抗实施阶段、总结及复盘工作三部分，希望对计划和正在进行网络防御工作的“攻城狮”们有所帮助。

　　

　　三、方案效益：

　　以构建“专业化、体系化、全要素”的安全服务体系为宗旨，以“打造面向对抗的实战化安全能力”为目标，中孚信息安全服务体系通过安全咨询、安全测试、安全运营、应急响应等业务形式，逐步提升网络安全实战能力，实现业务保障全时响应。通过真实网络中的攻防演练，可以全面评估目标所在网络的整体安全防护能力，检验防守方安全监测、防护和应急响应机制及措施的有效性，锻炼应急响应队伍处置安全事件的能力以及抵御风险的能力。

　　1、威胁可视化：

　　通过红蓝对抗演练的过程及结果，尽可能全面地展示用户单位现存安全风险，明确真实的入侵后果和影响。

　　2、提升用户团队能力：

　　通过模拟黑客攻击行为，用户单位实战演练多部门协同作战，实践在大规模攻击情况下的防护流程及运营状态，提升内部安全人员知识水平。

　　3、解决现存风险：

　　通过对抗演练，探测用户单位网络薄弱点，发现现存风险点和漏洞，提出修复建议。

　　4、转变防御心态：

　　帮助用户从传统安全防护状态转变为防护攻击者入侵的防御心态，模拟真实攻击场景锻炼用户团队应急处置效率。

　　中孚信息秉承“构建网络空间对抗能力，让数字中国更安全”的发展愿景，深耕网络安全行业二十余年，通过技术研发、行业实践的不断积淀，积极投身到国家安全建设中来。中孚信息安全服务团队以快速打造专业服务能力为主线，通过多年运维服务保障经验及场景化应用的实践落地，逐步升级网络安全实战能力。未来中孚信息将积极响应“以新安全格局保障新发展格局的社会基础”的国家政策，牢筑安全防线，持续护航国家安全。