近年來，全國(guó)性攻防演練逐漸常規(guī)化。攻防演練不僅是對(duì)各企事業(yè)單位網(wǎng)絡(luò)安全能力的大考，更是透視未來安全趨勢(shì)、升級(jí)防御策略的絕佳窗口。

在技術(shù)升級(jí)與威脅演變的雙重驅(qū)動(dòng)下，2024年的攻防演練呈現(xiàn)出哪些新趨勢(shì)和新特點(diǎn)？這些變化對(duì)于企事業(yè)單位的安全能力建設(shè)又提出了哪些新要求？

瑞數(shù)信息作為多年深耕bots自動(dòng)化攻擊和動(dòng)態(tài)安全技術(shù)的專業(yè)安全廠商，已連續(xù)數(shù)年參與國(guó)家級(jí)攻防演練，助力眾多企事業(yè)單位提升攻防演練的防守競(jìng)爭(zhēng)力。此次，瑞數(shù)信息安全響應(yīng)中心研究員陸攀對(duì)今年攻防演練的新趨勢(shì)做出了預(yù)判，并為企事業(yè)單位構(gòu)建實(shí)戰(zhàn)化的安全體系提出了對(duì)策。

2024攻防演練四大趨勢(shì)凸顯

自2016年以來，攻防演練已走過九個(gè)年頭，從最初的小規(guī)模試點(diǎn)，到如今的大范圍紅藍(lán)對(duì)抗，攻防演練的執(zhí)行力度逐年增強(qiáng)。

瑞數(shù)信息安全響應(yīng)中心研究員陸攀表示，隨著時(shí)間的推移，攻防演練的規(guī)模越來越大，也越來越呈現(xiàn)出攻擊力度強(qiáng)、攻擊點(diǎn)范圍廣、防護(hù)難度大的特點(diǎn)。

比如，2019年開始出現(xiàn)0day攻擊；2021年0day攻擊常態(tài)化，供應(yīng)鏈攻擊和社工開始展露頭腳，第一次出現(xiàn)沙盤推演；2023年更是達(dá)到了歷史規(guī)模之最大，防守隊(duì)和攻擊隊(duì)都接近300家，且0day、供應(yīng)鏈、社工成為三大攻擊利器。

隨著攻防演練的快速演進(jìn)，攻擊手法也在不斷變化升級(jí)?；跉v年攻防演練的攻擊情況，瑞數(shù)信息安全響應(yīng)中心研究員陸攀認(rèn)為，2024年攻防演練的攻擊手法將呈現(xiàn)四大趨勢(shì)：

• 趨勢(shì)一：0day漏洞轉(zhuǎn)向供應(yīng)鏈2023年攻防演練期間暴露出的0day漏洞數(shù)量接近300個(gè)，web漏洞占比90%以上，基本上覆蓋了VPN、遠(yuǎn)程工具、辦公軟件、OA系統(tǒng)、聊天工具、安全產(chǎn)品等。
  
  換句話說，0day攻擊方向已經(jīng)從之前的業(yè)務(wù)系統(tǒng)、安全設(shè)備逐步轉(zhuǎn)向個(gè)人辦公軟件，從web應(yīng)用組件轉(zhuǎn)向供應(yīng)鏈，即每個(gè)人都可能是被攻擊的對(duì)象。
  
• 趨勢(shì)二：多元化攻擊近幾年攻擊渠道也越來越多源，從傳統(tǒng)的網(wǎng)絡(luò)接口，演變成各種智能終端，如：辦公大廳自助機(jī)、攝像頭、微信、小程序、APP等。
  
  在這些供應(yīng)鏈攻擊中，攻擊方法也是花樣百出，結(jié)合社工釣魚玩出了新高度，不僅是技術(shù)的比拼，還是心理戰(zhàn)術(shù)的博弈。
  
  比如，在2023年攻防對(duì)抗中，攻擊隊(duì)利用供應(yīng)鏈的的補(bǔ)丁進(jìn)行投毒，欺騙用戶進(jìn)行升級(jí)，從而控制系統(tǒng)；還有各種主題的釣魚郵件，如：簡(jiǎn)歷招聘、舉報(bào)信、高溫補(bǔ)貼、社保繳費(fèi)，讓人忍不住點(diǎn)進(jìn)去。
  
• 趨勢(shì)三：工具攻擊更隱蔽、更智能相較于過去單兵工具作戰(zhàn)，現(xiàn)在的攻擊工具越來越智能化和一體化。
  
  一方面，各種特征流量都被加密，難以捕捉到攻擊特征，結(jié)合代理池的多源低頻繞過，更難以被發(fā)現(xiàn)；另一方面，一體化的攻擊工具可以實(shí)現(xiàn)一鍵快速打點(diǎn)，自動(dòng)實(shí)現(xiàn)資產(chǎn)指紋收集、漏洞自動(dòng)檢測(cè)、利用以及獲取權(quán)限等功能。
  
  此外，攻擊隊(duì)還精心設(shè)計(jì)了專門接口，以加快攻擊過程，實(shí)現(xiàn)工具集成化、平臺(tái)化，形成完整的自動(dòng)化攻擊鏈。
  
• 趨勢(shì)四：API接口成為主要攻擊目標(biāo)

隨著國(guó)家對(duì)數(shù)據(jù)安全的重視，最近兩年攻防演練計(jì)分將數(shù)據(jù)分提到了新高度，API接口由此成為了主要的攻擊目標(biāo)，對(duì)API發(fā)起的業(yè)務(wù)攻擊層出不窮，如：Swagger文件、撞庫(kù)、批量獲取數(shù)據(jù)等。

如何做好常態(tài)化安全防御？

隨著攻防對(duì)抗強(qiáng)度的加大，安全工作者“疲于奔命”的感受越來越深。在攻防對(duì)抗中，攻易難守，攻擊只需要突破一個(gè)點(diǎn)就可能拿下目標(biāo)，而防守者卻要面面俱到。尤其是隨著業(yè)務(wù)系統(tǒng)的不斷擴(kuò)張，攻擊面也在與日俱增，安全運(yùn)營(yíng)成本不斷增高。

面對(duì)這種被動(dòng)局面，作為防守方的企事業(yè)單位該如何應(yīng)對(duì)不斷升級(jí)的攻擊手法，構(gòu)建常態(tài)化的安全防御體系？對(duì)此，瑞數(shù)信息安全響應(yīng)中心研究員陸攀給出了四個(gè)對(duì)策：

• 防御策略一：戰(zhàn)線整理-縮小攻擊面

攻擊的本質(zhì)是信息收集，收集的情報(bào)越詳細(xì)，攻擊難度也就越小，成果也就會(huì)越豐富。因此，防守隊(duì)可以進(jìn)行戰(zhàn)線整理，加大攻擊隊(duì)信息收集的難度，縮小攻擊面。同時(shí)，做好以下六點(diǎn)，能夠減少90%以上的攻擊面：

1. 敏感信息排查：排查掃描敏感信息是否有泄露到公網(wǎng)上，如源碼、賬號(hào)密碼、人員信息等。
2. 攻擊面收斂：排查攻擊面，如常見的網(wǎng)站后臺(tái)、測(cè)試系統(tǒng)、僵尸系統(tǒng)、高危服務(wù)端口等。
3. 攻擊路徑梳理：梳理每個(gè)業(yè)務(wù)系統(tǒng)的訪問路徑，尤其是重要系統(tǒng)、全國(guó)聯(lián)網(wǎng)系統(tǒng)。
4. 安全措施排查：梳理每個(gè)系統(tǒng)的安全防御情況，如安全補(bǔ)丁、訪問策略、安全加固定等。
5. 外部接入網(wǎng)絡(luò)梳理：梳理外部接入情況，如上下級(jí)單位、供應(yīng)鏈服務(wù)商的網(wǎng)絡(luò)接入等。
6. 隱蔽入口梳理：梳理隱蔽入口的梳理，如私自搭建的WIFI、不用的VPN入口、遠(yuǎn)程辦公等。

• 防御對(duì)策二：供應(yīng)鏈安全

面對(duì)越來越多的供應(yīng)鏈攻擊，可以基于以下四點(diǎn)來建設(shè)：

1. 供應(yīng)鏈管理策略，建立健全內(nèi)部安全管理制度和標(biāo)準(zhǔn)規(guī)范，將軟件供應(yīng)鏈安全融入已有的安全管理安全技術(shù)體系中，審查供應(yīng)商的安全實(shí)踐、軟件開發(fā)生命周期等；
2. 保障供應(yīng)鏈完整性驗(yàn)證，監(jiān)測(cè)是否被篡改過；
3. 供應(yīng)商訪問控制，比如實(shí)現(xiàn)最小權(quán)限訪問原則、制定高強(qiáng)度密碼機(jī)制等；
4. 安全測(cè)試，定期對(duì)供應(yīng)鏈軟件和產(chǎn)品做安全測(cè)試和漏洞評(píng)估。

• 防御對(duì)策三：社工安全

針對(duì)人員安全意識(shí)建設(shè)是一個(gè)永不過時(shí)的需求，可以從以下四點(diǎn)出發(fā)：

1. 安全意識(shí)：定期對(duì)全員工進(jìn)行安全培訓(xùn)，組織內(nèi)部釣魚郵件演練，不斷持續(xù)強(qiáng)化防范措施。
2. 部署釣魚郵件檢測(cè)設(shè)備：部署反垃圾郵件網(wǎng)關(guān)、釣魚郵件檢測(cè)設(shè)備、郵件內(nèi)容過濾系統(tǒng)等，過濾可疑郵件鏈接和附件，主動(dòng)發(fā)現(xiàn)釣魚郵件惡意鏈接、惡意附件，主動(dòng)攔截郵件并及時(shí)通知用戶。
3. 終端側(cè)安全：及時(shí)更新漏洞補(bǔ)丁，避免遠(yuǎn)程命令執(zhí)行、本地提權(quán)等常用漏洞，安裝殺毒軟件更新，對(duì)落地文件靜態(tài)+動(dòng)態(tài)查殺掃描，做到即使被釣魚了，但是不淪陷。
4. 網(wǎng)絡(luò)側(cè)安全：釣魚成功但是不出網(wǎng)，危害小一大半。出網(wǎng)策略嚴(yán)格限制，如：根據(jù)白名單、IP域名白名單進(jìn)行全流量監(jiān)控、網(wǎng)絡(luò)安全訪問控制劃分；還可以針對(duì)釣魚郵件攻擊進(jìn)行溯源反制，獲取攻擊者信息。

• 防御對(duì)策四：0day防御

針對(duì)最難防御的0day，可以從以下四點(diǎn)去建設(shè)：

1. 全方位防控：針對(duì)所有流量、日志、主機(jī)行為進(jìn)行監(jiān)控分析。
2. 核心防御：集中力量辦大事，對(duì)核心系統(tǒng)、重要系統(tǒng)、集權(quán)系統(tǒng)、靶標(biāo)系統(tǒng)進(jìn)行重點(diǎn)防御，如：設(shè)置嚴(yán)格訪問策略、多因素登錄、安全加固等。
3. 安全設(shè)備：部署安全設(shè)備：一是蜜罐，對(duì)0day實(shí)施誘騙和誘捕；二是動(dòng)態(tài)防御設(shè)備，防御0day批量探測(cè)、掃描和工具利用。
4. 威脅情報(bào)：建設(shè)威脅情報(bào)體系，第一時(shí)間獲取最新的0day信息，提前做好部署，防患于未然。

結(jié)語

無論是政策法規(guī)、行業(yè)標(biāo)準(zhǔn)引導(dǎo)，還是網(wǎng)絡(luò)安全態(tài)勢(shì)變得越來越復(fù)雜，攻防演練的標(biāo)準(zhǔn)都會(huì)越來越高。在這種實(shí)戰(zhàn)化安全的趨勢(shì)下，政企機(jī)構(gòu)需建立起常態(tài)化的防御體系，從人防到技防，從被動(dòng)到主動(dòng)。

瑞數(shù)信息已推出多項(xiàng)安全產(chǎn)品，覆蓋Web、移動(dòng)App、H5、API及IoT應(yīng)用，從應(yīng)用防護(hù)到業(yè)務(wù)透視，建立了從動(dòng)態(tài)防御到持續(xù)對(duì)抗的全面防護(hù)體系。

針對(duì)攻防演練、重大活動(dòng)保障這樣的特殊場(chǎng)景，瑞數(shù)信息也相應(yīng)推出了“重大活動(dòng)動(dòng)態(tài)安全保障”、“網(wǎng)站護(hù)盾”等解決方案，助力企事業(yè)單位更高效、靈活地應(yīng)對(duì)復(fù)雜攻擊。