紅隊(duì)

什么是紅隊(duì)

紅隊(duì)，是指網(wǎng)絡(luò)實(shí)戰(zhàn)攻防演練中的防守一方。

紅隊(duì)一般是以參演單位現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)體系為基礎(chǔ)，在實(shí)戰(zhàn) 攻防演練期間組建的防守隊(duì)伍。紅隊(duì)的主要工作包括演練前安全檢 查、整改與加固，演練期間網(wǎng)絡(luò)安全監(jiān)測、預(yù)警、分析、驗(yàn)證、處 置，演練后期復(fù)盤和總結(jié)現(xiàn)有防護(hù)工作中的不足之處，為后續(xù)常態(tài)化 的網(wǎng)絡(luò)安全防護(hù)措施提供優(yōu)化依據(jù)等。

實(shí)戰(zhàn)攻防演練時(shí)，紅隊(duì)通常會(huì)在日常安全運(yùn)維工作的基礎(chǔ)上以實(shí) 戰(zhàn)思維進(jìn)一步加強(qiáng)安全防護(hù)措施，包括提升管理組織規(guī)格、擴(kuò)大威脅 監(jiān)控范圍、完善監(jiān)測與防護(hù)手段、加快安全分析頻率、提高應(yīng)急響應(yīng) 速度、增強(qiáng)溯源反制能力、建立情報(bào)搜集利用機(jī)制等，進(jìn)而提升整體 防守能力。

需要特別說明的是，紅隊(duì)并不是由實(shí)戰(zhàn)演練中目標(biāo)系統(tǒng)運(yùn)營單位 一家獨(dú)力組建的，而是由目標(biāo)系統(tǒng)運(yùn)營單位、安全運(yùn)營團(tuán)隊(duì)、攻防專 家、安全廠商、軟件開發(fā)商、網(wǎng)絡(luò)運(yùn)維隊(duì)伍、云提供商等多方共同組 成的。組成紅隊(duì)的各個(gè)團(tuán)隊(duì)在演練中的角色與分工情況如下。

• 目標(biāo)系統(tǒng)運(yùn)營單位：負(fù)責(zé)紅隊(duì)整體的指揮、組織和協(xié)調(diào)。
• 安全運(yùn)營團(tuán)隊(duì)：負(fù)責(zé)整體防護(hù)和攻擊監(jiān)控工作。
• 攻防專家：負(fù)責(zé)對(duì)安全監(jiān)控中發(fā)現(xiàn)的可疑攻擊進(jìn)行分析和研 判，指導(dǎo)安全運(yùn)營團(tuán)隊(duì)、軟件開發(fā)商等相關(guān)部門進(jìn)行漏洞整改等一系 列工作。
• 安全廠商：負(fù)責(zé)對(duì)自身產(chǎn)品的可用性、可靠性和防護(hù)監(jiān)控策略進(jìn)行調(diào)整。
• 軟件開發(fā)商：負(fù)責(zé)對(duì)自身系統(tǒng)進(jìn)行安全加固、監(jiān)控，配合攻防 專家對(duì)發(fā)現(xiàn)的安全問題進(jìn)行整改。
• 網(wǎng)絡(luò)運(yùn)維隊(duì)伍：負(fù)責(zé)配合攻防專家進(jìn)行網(wǎng)絡(luò)架構(gòu)安全維護(hù)、網(wǎng) 絡(luò)出口整體優(yōu)化、網(wǎng)絡(luò)監(jiān)控以及溯源等工作。
• 云提供商（如有）：負(fù)責(zé)對(duì)自身云系統(tǒng)進(jìn)行安全加固，對(duì)云上 系統(tǒng)的安全性進(jìn)行監(jiān)控，同時(shí)協(xié)助攻防專家對(duì)發(fā)現(xiàn)的問題進(jìn)行整改。
• 其他：某些情況下還會(huì)有其他組成人員，需要根據(jù)實(shí)際情況分 配具體工作。

特別強(qiáng)調(diào)，對(duì)于紅隊(duì)來說，了解對(duì)手（藍(lán)隊(duì)）的情況非常重要， 正所謂“知彼才能知己”。從攻擊角度出發(fā)，了解攻擊隊(duì)的思路與打 法，了解攻擊隊(duì)的思維，并結(jié)合本單位實(shí)際網(wǎng)絡(luò)環(huán)境、運(yùn)營管理情 況，制定相應(yīng)的技術(shù)防御和響應(yīng)機(jī)制，才能在防守過程中爭取到更大 的主動(dòng)權(quán)。

紅隊(duì)演變趨勢

2016年和2017年，由于監(jiān)管單位的推動(dòng)，部分單位開始逐步參與 監(jiān)管單位組織的實(shí)戰(zhàn)攻防演練。這個(gè)階段各單位主要作為防守方參加 演練。到了2018年和2019年，實(shí)戰(zhàn)攻防演練不論單場演練的參演單位 數(shù)量、攻擊隊(duì)伍數(shù)量，還是攻守雙方的技術(shù)能力等都迅速增強(qiáng)。實(shí)戰(zhàn) 攻防演練已經(jīng)成為公認(rèn)的檢驗(yàn)各單位網(wǎng)絡(luò)安全建設(shè)水平和安全防護(hù)能 力的重要手段，各單位也從以往單純參與監(jiān)管單位組織的演練逐漸轉(zhuǎn) 變，開始自行組織內(nèi)部演練或聯(lián)合組織行業(yè)演練。

2020年后，隨著在實(shí)戰(zhàn)攻防演練中真刀實(shí)槍地不斷對(duì)抗和磨礪， 攻守雙方都取得了快速發(fā)展和進(jìn)步。迫于攻擊隊(duì)技戰(zhàn)法迅速發(fā)展帶來 的壓力，防守隊(duì)也發(fā)生了很大的變化。

1. 防守重心擴(kuò)大

2020年之前的實(shí)戰(zhàn)攻防演練主要以攻陷靶標(biāo)系統(tǒng)為目標(biāo)，達(dá)到發(fā) 現(xiàn)防守隊(duì)安全建設(shè)和防護(hù)短板、提升各單位安全意識(shí)的目的。攻擊隊(duì) 的主要得分點(diǎn)是拿下靶標(biāo)系統(tǒng)和路徑中的關(guān)鍵集權(quán)系統(tǒng)、服務(wù)器等權(quán) 限，在非靶標(biāo)系統(tǒng)上得分很少。因此，防守隊(duì)的防守重心往往會(huì)聚焦 到靶標(biāo)系統(tǒng)及相關(guān)路徑資產(chǎn)上。

大部分參加過實(shí)戰(zhàn)攻防演練的單位對(duì)自身的安全問題和短板已經(jīng) 有了充分認(rèn)識(shí)，也都開展了安全建設(shè)整改工作，它們急需通過實(shí)戰(zhàn)攻 防演練檢驗(yàn)更多重要系統(tǒng)的安全性，并更全面地發(fā)現(xiàn)安全風(fēng)險(xiǎn)。因 此，從2020年開始，不論監(jiān)管單位還是單位自身，在組織攻防演練 時(shí)，都會(huì)逐步降低演練中靶標(biāo)系統(tǒng)的權(quán)重，鼓勵(lì)攻擊更多的單位和系 統(tǒng)，發(fā)現(xiàn)更多的問題和風(fēng)險(xiǎn)。同樣，防守隊(duì)的防守重心也就從以靶標(biāo) 系統(tǒng)為主，擴(kuò)大到所有的重要業(yè)務(wù)系統(tǒng)、重要設(shè)備和資產(chǎn)、相關(guān)上下 級(jí)單位。

2. 持續(xù)加強(qiáng)監(jiān)測防護(hù)手段

隨著近幾年攻防技術(shù)的快速發(fā)展，實(shí)戰(zhàn)攻防演練中各種攻擊手段 層出不窮、花樣百出，各單位在演練中切實(shí)感受到了攻擊隊(duì)帶來的嚴(yán) 重威脅以及防守的巨大壓力，防守隊(duì)的監(jiān)測和防護(hù)體系面臨巨大挑 戰(zhàn)。防守隊(duì)對(duì)于在攻防對(duì)抗中確實(shí)能夠發(fā)揮重大作用的安全產(chǎn)品青睞 有加，投入大量資金來采購和部署。

2018～2019年，除了傳統(tǒng)安全產(chǎn)品外，全流量威脅檢測類產(chǎn)品在 攻防對(duì)抗中證明了自己，獲取了各單位的青睞。2020年后，主機(jī)威脅 檢測、蜜罐及威脅情報(bào)等產(chǎn)品和服務(wù)迅速成熟并在演練中證明了自己 對(duì)主流攻擊的監(jiān)測和防護(hù)能力，防守隊(duì)開始大規(guī)模部署使用。除此之 外，對(duì)于釣魚攻擊、供應(yīng)鏈攻擊等還沒有有效的防護(hù)產(chǎn)品，不過隨著 在實(shí)戰(zhàn)中的不斷打磨，相應(yīng)產(chǎn)品也會(huì)迅速成熟和廣泛使用。

被動(dòng)防守到正面對(duì)抗

要說變化，這兩年防守隊(duì)最大的變化應(yīng)該是從被動(dòng)挨打迅速轉(zhuǎn)變 為正面對(duì)抗、擇機(jī)反制。之前，演練中的大部分防守隊(duì)發(fā)現(xiàn)攻擊后基 本就是封堵IP、下線系統(tǒng)、修復(fù)漏洞，之后接著等待下一波攻擊。敵 在暗，我在明，只能被動(dòng)挨打?，F(xiàn)在，大量的防守隊(duì)加強(qiáng)了溯源和反 制能力，與攻擊隊(duì)展開了正面對(duì)抗，并取得了很多戰(zhàn)果。

要具備正面對(duì)抗能力，需要重點(diǎn)加強(qiáng)以下幾方面。

1）快速響應(yīng)。實(shí)戰(zhàn)中講究兵貴神速，在發(fā)現(xiàn)攻擊時(shí)，只有快速確 認(rèn)攻擊方式、定位受害主機(jī)、采取處置措施，才能夠有效阻止攻擊， 并為下一步的溯源和反制爭取時(shí)間。

2）準(zhǔn)確溯源。《孫子兵法》云：“知己知彼，百戰(zhàn)不殆?！币?和攻擊隊(duì)正面對(duì)抗，首先得找到攻擊隊(duì)的位置，并想辦法獲取足夠多 的攻擊隊(duì)信息，才能有針對(duì)性地制定反制策略，開展反擊。

3）精準(zhǔn)反制。反制其實(shí)就是防守隊(duì)發(fā)起的攻擊。在準(zhǔn)確溯源的基 礎(chǔ)上，需要攻擊經(jīng)驗(yàn)豐富的防守人員來有效、精準(zhǔn)地實(shí)施反制。當(dāng) 然，也有些單位會(huì)利用蜜罐等產(chǎn)品埋好陷阱，誘導(dǎo)攻擊隊(duì)跳進(jìn)來，之 后再利用陷阱中的木馬等快速攻陷攻擊隊(duì)系統(tǒng)。

紫隊(duì)

什么是紫隊(duì)

紫隊(duì)是指網(wǎng)絡(luò)實(shí)戰(zhàn)攻防演練中的組織方。

紫隊(duì)在實(shí)戰(zhàn)攻防演練中，以組織方角色開展演練的整體組織、協(xié) 調(diào)工作，負(fù)責(zé)演練組織、過程監(jiān)控、技術(shù)指導(dǎo)、應(yīng)急保障、風(fēng)險(xiǎn)控 制、演練總結(jié)、技術(shù)措施與優(yōu)化策略建議等各類工作。

紫隊(duì)組織藍(lán)隊(duì)對(duì)實(shí)際環(huán)境實(shí)施攻擊，組織紅隊(duì)實(shí)施防守，目的是 通過演練檢驗(yàn)參演單位的安全威脅應(yīng)對(duì)能力、攻擊事件檢測發(fā)現(xiàn)能 力、事件分析研判能力、事件響應(yīng)處置能力以及應(yīng)急響應(yīng)機(jī)制與流程 的有效性，提升參演單位的安全實(shí)戰(zhàn)能力。

此外，針對(duì)某些不宜在實(shí)網(wǎng)中直接攻防的系統(tǒng)，或某些不宜實(shí)際 執(zhí)行的危險(xiǎn)操作，紫隊(duì)可以組織攻防雙方進(jìn)行沙盤推演，以便進(jìn)一步 深入評(píng)估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及可能面臨的損失與破壞。

紫隊(duì)演變趨勢

隨著攻防演練的發(fā)展，演練規(guī)模和成熟度逐年上升，攻防對(duì)抗過 程已進(jìn)入白熱化階段，無論攻擊手段向多樣化、體系化轉(zhuǎn)變，還是防 守投入增多，防守能力進(jìn)化，攻防演練的組織工作都會(huì)隨之演變。種 種跡象表明，實(shí)戰(zhàn)演練已逐步走向常態(tài)化、實(shí)戰(zhàn)化、體系化。

從2016年至2019年，實(shí)戰(zhàn)攻防演練歷時(shí)四年，參演單位逐年遞 增，涉及行業(yè)逐年增加，用戶認(rèn)可度越來越高，防守力度越來越大。 從2018年開始，部分省份及行業(yè)監(jiān)管單位亦開始組織轄區(qū)內(nèi)、行業(yè)內(nèi) 的實(shí)戰(zhàn)攻防演練；2020年下半年，部分地市也逐步開始自組織地市范 圍的實(shí)戰(zhàn)演練?？芍^是遍地開花，實(shí)戰(zhàn)攻防演練已成為各關(guān)基（關(guān)鍵 信息基礎(chǔ)設(shè)施）單位家喻戶曉的活動(dòng)。值得一提的是，近兩年，疫情 來襲，且反復(fù)無常，給攻防演練組織工作帶來巨大挑戰(zhàn)，但并沒有阻 止演練工作的開展。為避免人員聚集，降低交叉感染的風(fēng)險(xiǎn)，演練采 用無接觸方式進(jìn)行，所有參演人員線上開展工作，保障演練工作順利 開展。

此外，還有一個(gè)顯著變化是，2020年，在實(shí)戰(zhàn)攻防演練中首次增 加沙盤推演環(huán)節(jié)，沙盤推演應(yīng)運(yùn)而生。沙盤推演的目的是：將實(shí)網(wǎng)攻 擊成果加以延伸，在沙盤中進(jìn)行更深入的攻擊推演；全面、深入地開 展實(shí)戰(zhàn)演練，找到安全脆弱點(diǎn)，對(duì)實(shí)戰(zhàn)攻防演練階段遇到的“ 不 敢 打 、 不 能 打 、 不 讓 打 ”的核心資產(chǎn)、核心業(yè)務(wù)進(jìn)行推演，評(píng)估被攻陷 的可能性以及被攻陷后產(chǎn)生的政治、經(jīng)濟(jì)、聲譽(yù)等方面的影響。推演 形式為：每一場選取實(shí)網(wǎng)演練階段問題多、問題影響大的參演單位作 為防守方，同時(shí)選取針對(duì)該防守單位實(shí)網(wǎng)成果多的攻擊隊(duì)作為攻擊 方，開展第二階段的沙盤推演。在2021年的實(shí)戰(zhàn)攻防演練的第二階 段，沙盤推演規(guī)模有增無減，在范圍、周期、場次、人員投入等多個(gè) 維度上都進(jìn)行了大幅度的升級(jí)。

1. 實(shí)戰(zhàn)攻防演練中暴露的薄弱環(huán)節(jié)

實(shí)戰(zhàn)攻防演練已成為檢驗(yàn)參演機(jī)構(gòu)網(wǎng)絡(luò)安全防御能力和水平的 “試金石”，以及參演機(jī)構(gòu)應(yīng)對(duì)網(wǎng)絡(luò)攻擊能力的“磨刀石”。近年的 實(shí)戰(zhàn)攻防演練中，針對(duì)大型網(wǎng)絡(luò)的攻擊一般會(huì)組合利用多種攻擊方 式：0day攻擊、供應(yīng)鏈攻擊、進(jìn)攻流量隧道加密等。面對(duì)此類攻擊 時(shí)，傳統(tǒng)安全設(shè)備構(gòu)筑的防護(hù)網(wǎng)顯得有些力不從心，暴露出諸多問 題?？偟膩砜?，實(shí)戰(zhàn)攻防演練中主要暴露出以下薄弱環(huán)節(jié)。

2. 互聯(lián)網(wǎng)未知資產(chǎn)或服務(wù)大量存在

在實(shí)戰(zhàn)攻防演練中，資產(chǎn)的控制權(quán)和所有權(quán)始終是攻防雙方的爭 奪焦點(diǎn)?；ヂ?lián)網(wǎng)暴露面作為流量的入口，是攻擊方重要的攻擊對(duì)象。 資產(chǎn)不清是很多政企單位面臨的現(xiàn)狀。數(shù)字化轉(zhuǎn)型帶來的互聯(lián)網(wǎng)暴露 面不斷擴(kuò)大，政企單位的資產(chǎn)范圍不斷外延。除了看得到的“冰面資 產(chǎn)”之外，還有大量的冰面之下的資產(chǎn)，包括無主資產(chǎn)、灰色資產(chǎn)、 僵尸資產(chǎn)等。在實(shí)戰(zhàn)攻防演練中，一些單位存在年久失修、無開發(fā)維 護(hù)保障的老舊系統(tǒng)和僵尸系統(tǒng)，因?yàn)榍謇聿患皶r(shí)，這些系統(tǒng)容易成為 攻擊者的跳板，構(gòu)成嚴(yán)重的安全隱患。

根據(jù)奇安信安全服務(wù)團(tuán)隊(duì)的觀察，在實(shí)戰(zhàn)攻防演練前期對(duì)機(jī)構(gòu)的 體檢中，經(jīng)常能夠發(fā)現(xiàn)未及時(shí)更新的老舊系統(tǒng)。因?yàn)槔吓f系統(tǒng)存在歷 史遺留問題以及管理混亂問題，攻擊隊(duì)可以通過分析它們的已知漏 洞，成功攻入內(nèi)部網(wǎng)絡(luò)。例如，某大型企業(yè)在前期自查階段經(jīng)過互聯(lián) 網(wǎng)資產(chǎn)發(fā)現(xiàn)，發(fā)現(xiàn)資產(chǎn)清單有大量與實(shí)際不符的情況，這給自查整改 和攻擊防護(hù)造成很大影響。

3 網(wǎng)絡(luò)及子網(wǎng)內(nèi)部安全域之間隔離措施不到位

網(wǎng)絡(luò)內(nèi)部的隔離措施是考驗(yàn)企業(yè)網(wǎng)絡(luò)安全防護(hù)能力的重要因素。 很多機(jī)構(gòu)沒有嚴(yán)格的訪問控制（ACL）策略，在DMZ（隔離區(qū)）和辦公 網(wǎng)之間不進(jìn)行或很少進(jìn)行網(wǎng)絡(luò)隔離，辦公網(wǎng)和互聯(lián)網(wǎng)相通，網(wǎng)絡(luò)區(qū)域 劃分不嚴(yán)格，可以直接使遠(yuǎn)程控制程序上線，導(dǎo)致攻擊方可以輕易實(shí) 現(xiàn)跨區(qū)攻擊。

大中型政企機(jī)構(gòu)還存在“一張網(wǎng)”的情況，它們習(xí)慣于使用單獨(dú) 架設(shè)的專用網(wǎng)絡(luò)來打通各地區(qū)之間的內(nèi)部網(wǎng)絡(luò)連接，而不同區(qū)域內(nèi)網(wǎng) 間缺乏必要的隔離管控措施，缺乏足夠有效的網(wǎng)絡(luò)訪問控制。這就導(dǎo) 致藍(lán)隊(duì)一旦突破了子公司或分公司的防線，便可以通過內(nèi)網(wǎng)進(jìn)行橫向 滲透，直接攻擊集團(tuán)總部，或是漫游整個(gè)企業(yè)內(nèi)網(wǎng)，攻擊任意系統(tǒng)。

在實(shí)戰(zhàn)攻防演練中，面對(duì)防守嚴(yán)密的總部系統(tǒng)，藍(lán)隊(duì)很難正面突 破，直接撬開內(nèi)部網(wǎng)絡(luò)的大門。因此繞過正面防御，嘗試通過攻擊防 守相對(duì)薄弱的下屬單位，再迂回攻入總部的目標(biāo)系統(tǒng)，成為一種“明 智”的策略。從2020年開始，各個(gè)行業(yè)的總部系統(tǒng)被藍(lán)隊(duì)從下級(jí)單位 路徑攻擊甚至攻陷的案例比比皆是。

4. 互聯(lián)網(wǎng)應(yīng)用系統(tǒng)常規(guī)漏洞過多

在歷年的實(shí)戰(zhàn)攻防演練期間，已知應(yīng)用系統(tǒng)漏洞、中間件漏洞以 及因配置問題產(chǎn)生的常規(guī)漏洞，是攻擊方發(fā)現(xiàn)的明顯問題和主要攻擊 渠道。

從中間件來看，WebLogic、WebSphere、Tomcat、Apache、 Nginx、IIS都有人使用。WebLogic應(yīng)用比較廣泛，因存在反序列化漏 洞，所以常常會(huì)被作為打點(diǎn)和內(nèi)網(wǎng)滲透的突破點(diǎn)。所有行業(yè)基本上都 有對(duì)外開放的郵件系統(tǒng)，可以針對(duì)郵件系統(tǒng)漏洞，比如跨站漏洞、 CoreMail漏洞、XXE漏洞來開展攻擊，也可以通過釣魚郵件和魚叉郵件 攻擊來開展社工工作，這些均是比較好的突破點(diǎn)。

5. 互聯(lián)網(wǎng)敏感信息泄露明顯

網(wǎng)絡(luò)拓?fù)?、用戶信息、登錄憑證等敏感信息在互聯(lián)網(wǎng)上被大量泄 露，成為攻擊方突破點(diǎn)。實(shí)際上，2020年是有記錄以來數(shù)據(jù)泄露最嚴(yán) 重的一年。根據(jù)Canalys的報(bào)告，2020年泄露的記錄比過去15年的總和還多。大量互聯(lián)網(wǎng)敏感數(shù)據(jù)泄露，為攻擊者進(jìn)入內(nèi)部網(wǎng)絡(luò)和開展攻擊 提供了便利。

邊界設(shè)備成為進(jìn)入內(nèi)網(wǎng)的缺口

互聯(lián)網(wǎng)出口和應(yīng)用都是攻入內(nèi)部網(wǎng)絡(luò)的入口和途徑。目前政企機(jī) 構(gòu)的接入防護(hù)措施良莠不齊，給藍(lán)隊(duì)創(chuàng)造了大量的機(jī)會(huì)。針對(duì)VPN系統(tǒng) 等開放于互聯(lián)網(wǎng)邊界的設(shè)備或系統(tǒng)，為了避免影響員工使用，很多政 企機(jī)構(gòu)沒有在其傳輸通道上增加更多的防護(hù)手段；再加上此類系統(tǒng)多

會(huì)集成統(tǒng)一登錄，一旦獲得了某個(gè)員工的賬號(hào)密碼，藍(lán)隊(duì)可以通過這 些系統(tǒng)突破邊界直接進(jìn)入內(nèi)部網(wǎng)絡(luò)。

此外，防火墻作為重要的網(wǎng)絡(luò)層訪問控制設(shè)備，隨著網(wǎng)絡(luò)架構(gòu)與 業(yè)務(wù)的增長與變化，安全策略非常容易混亂，甚至一些政企機(jī)構(gòu)為了 解決可用性問題，采取了“any to any”的策略。防守單位很難在短 時(shí)間內(nèi)梳理和配置涉及幾十個(gè)應(yīng)用、上千個(gè)端口的精細(xì)化訪問控制策 略。缺乏訪問控制策略的防火墻，就如同敞開的大門，安全域邊界防 護(hù)形同虛設(shè)。

內(nèi)網(wǎng)管理設(shè)備成為擴(kuò)大戰(zhàn)果的突破點(diǎn)

主機(jī)承載著政企機(jī)構(gòu)的關(guān)鍵業(yè)務(wù)應(yīng)用，須重點(diǎn)關(guān)注，重點(diǎn)防護(hù)。 但很多機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)的防御機(jī)制脆弱，在實(shí)戰(zhàn)攻防演練期間，經(jīng)常 出現(xiàn)早已披露的陳年漏洞未修復(fù)，特別是內(nèi)部網(wǎng)絡(luò)主機(jī)、服務(wù)器以及 相關(guān)應(yīng)用服務(wù)補(bǔ)丁修復(fù)不及時(shí)的情況。對(duì)于藍(lán)隊(duì)來說，這些脆弱點(diǎn)是 可利用的重要途徑，可以用來順利拿下內(nèi)部網(wǎng)絡(luò)服務(wù)器及數(shù)據(jù)庫權(quán) 限。

集權(quán)類系統(tǒng)成為攻擊的主要目標(biāo)。在攻防演練過程中，云管理平 臺(tái)、核心網(wǎng)絡(luò)設(shè)備、堡壘機(jī)、SOC平臺(tái)、VPN等集權(quán)系統(tǒng)，由于缺乏定 期的維護(hù)升級(jí)，已經(jīng)成為擴(kuò)大權(quán)限的突破點(diǎn)。集權(quán)類系統(tǒng)一旦被突 破，整個(gè)內(nèi)部的應(yīng)用和系統(tǒng)也基本全部被突破，藍(lán)隊(duì)可以借此實(shí)現(xiàn)以 點(diǎn)打面，掌握對(duì)其所屬管轄范圍內(nèi)的所有主機(jī)的控制權(quán)。

安全設(shè)備自身安全成為新的風(fēng)險(xiǎn)點(diǎn)

安全設(shè)備作為政企機(jī)構(gòu)對(duì)抗攻擊者的重要工具，其安全性應(yīng)該相 對(duì)較高，但實(shí)際上安全產(chǎn)品自身也無法避免0day攻擊，安全設(shè)備自身 安全成為新的風(fēng)險(xiǎn)點(diǎn)。每年攻防演練都會(huì)爆出某某安全設(shè)備自身存在 的某某漏洞被利用、被控制，反映出安全設(shè)備廠商自身安全開發(fā)和檢 測能力沒有做到位，給藍(lán)隊(duì)留下了后門，形成新的風(fēng)險(xiǎn)點(diǎn)。2020年實(shí) 戰(zhàn)攻防演練的一大特點(diǎn)是，安全產(chǎn)品的漏洞挖掘和利用現(xiàn)象非常普 遍，多家企業(yè)的多款安全產(chǎn)品被挖掘出新漏洞（0day漏洞）或存在高 危漏洞。

歷年實(shí)戰(zhàn)攻防演練中，被發(fā)現(xiàn)和利用的各類安全產(chǎn)品0day漏洞主 要涉及安全網(wǎng)關(guān)、身份與訪問管理、安全管理、終端安全等類型的安 全產(chǎn)品。利用這些安全產(chǎn)品的漏洞，藍(lán)隊(duì)可以：突破網(wǎng)絡(luò)邊界，獲取 控制權(quán)限并進(jìn)入網(wǎng)絡(luò)；獲取用戶賬戶信息，并快速拿下相關(guān)設(shè)備和網(wǎng) 絡(luò)的控制權(quán)限。近兩三年，出現(xiàn)了多起VPN、堡壘機(jī)、終端管理等重要 安全設(shè)備被藍(lán)隊(duì)利用重大漏洞完成突破的案例，這些安全設(shè)備被攻 陷，直接造成網(wǎng)絡(luò)邊界防護(hù)失效，大量管理權(quán)限被控制。

供應(yīng)鏈攻擊成為攻擊方的重要突破口

在攻防演練過程中，隨著防守方對(duì)攻擊行為的監(jiān)測、發(fā)現(xiàn)和溯源 能力大幅增強(qiáng)，攻擊隊(duì)開始更多地轉(zhuǎn)向供應(yīng)鏈攻擊等新型作戰(zhàn)策略。 藍(lán)隊(duì)會(huì)從IT（設(shè)備及軟件）服務(wù)商、安全服務(wù)商、辦公及生產(chǎn)服務(wù)商 等供應(yīng)鏈機(jī)構(gòu)入手，尋找軟件、設(shè)備及系統(tǒng)漏洞，發(fā)現(xiàn)人員及管理薄 弱點(diǎn)并實(shí)施攻擊。常見的系統(tǒng)突破口有郵件系統(tǒng)、OA系統(tǒng)、安全設(shè) 備、社交軟件等，常見的突破方式有利用軟件漏洞、管理員弱口令 等。由于攻擊對(duì)象范圍廣，攻擊方式隱蔽，供應(yīng)鏈攻擊成為攻擊方的 重要突破口，給政企安全防護(hù)帶來了極大的挑戰(zhàn)。從奇安信在2021年 承接的實(shí)戰(zhàn)攻防演練情況來看，由于供應(yīng)鏈管控弱，軟件外包、外部 服務(wù)提供商等成為迂回攻擊的重要通道。

員工安全意識(shí)淡薄是攻擊的突破口

很多情況下，攻擊人要比攻擊系統(tǒng)容易得多。利用人員安全意識(shí) 不足或安全能力不足，實(shí)施社會(huì)工程學(xué)攻擊，通過釣魚郵件或社交平 臺(tái)進(jìn)行誘騙，是攻擊方經(jīng)常使用的手法。

釣魚郵件是最常用的攻擊手法之一。即便是安全意識(shí)較強(qiáng)的IT人 員或管理員，也很容易被誘騙點(diǎn)開郵件中的釣魚鏈接或木馬附件，進(jìn) 而導(dǎo)致關(guān)鍵終端被控，甚至整個(gè)網(wǎng)絡(luò)淪陷。在歷年攻防演練過程中， 攻擊隊(duì)通過郵件釣魚等方式攻擊IT運(yùn)維人員辦公用機(jī)并獲取數(shù)據(jù)及內(nèi) 網(wǎng)權(quán)限的案例數(shù)不勝數(shù)。

人是支撐安全業(yè)務(wù)的最重要因素，專業(yè)人才缺乏是政企機(jī)構(gòu)面臨 的挑戰(zhàn)之一。在攻防演練期間，有大量防守工作需要開展，而且專業(yè) 性較強(qiáng)，要求企業(yè)配備足夠強(qiáng)大的專業(yè)化網(wǎng)絡(luò)安全人才隊(duì)伍。

內(nèi)網(wǎng)安全檢測能力不足

攻防演練中，攻擊方攻擊測試，對(duì)防守方的檢測能力要求更高。 網(wǎng)絡(luò)安全監(jiān)控設(shè)備的部署、網(wǎng)絡(luò)安全態(tài)勢感知平臺(tái)的建設(shè)，是實(shí)現(xiàn)安 全可視化、安全可控的基礎(chǔ)。部分企業(yè)采購并部署了相關(guān)工具，但是 每秒上千條告警，很難從中甄別出實(shí)際攻擊事件。此外，部分老舊的 防護(hù)設(shè)備，策略配置混亂，安全防護(hù)依靠這些系統(tǒng)發(fā)揮中堅(jiān)力量，勢 必力不從心。流量監(jiān)測及主機(jī)監(jiān)控工具缺失，僅依靠傳統(tǒng)防護(hù)設(shè)備的 告警，甚至依靠人工翻閱海量日志來判斷攻擊，會(huì)導(dǎo)致“巧婦難為無 米之炊”。更重要的是，精于內(nèi)部網(wǎng)絡(luò)隱蔽滲透的攻擊方在內(nèi)部網(wǎng)絡(luò) 進(jìn)行非常謹(jǐn)慎而隱蔽的橫向拓展，很難被流量監(jiān)測設(shè)備或態(tài)勢感知系 統(tǒng)檢測。

網(wǎng)絡(luò)安全監(jiān)控是網(wǎng)絡(luò)安全工作中非常重要的方面。重視并建設(shè)好 政企機(jī)構(gòu)網(wǎng)絡(luò)安全監(jiān)控體系，持續(xù)運(yùn)營并優(yōu)化網(wǎng)絡(luò)安全監(jiān)控策略，是 讓政企機(jī)構(gòu)真正可以經(jīng)受實(shí)戰(zhàn)化考驗(yàn)的重要舉措。

參考資料

紅藍(lán)攻防構(gòu)建實(shí)戰(zhàn)化網(wǎng)絡(luò)安全防御體系
青藤云安全 2022攻防演練藍(lán)隊(duì)防守指南文章來源地址http://www.zghlxwxcb.cn/news/detail-401905.html

到了這里，關(guān)于紅藍(lán)攻防構(gòu)建實(shí)戰(zhàn)化網(wǎng)絡(luò)安全防御體系的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！