实战攻防演练是检阅政企机构安全防护和应急处置能力的有效手段之一。每年举行的国家级实战攻防演练,聚集了国内多支顶尖攻击团队,在攻击手段和强度上远远超过日常安全检查,防守方都面临着非常严峻的考验。
今年网络攻防演练专项行动在即,相信不少的企业和机构早已开始了准备。那么,如何高效应对网络安全实战攻防演练?与之前相比,今年的网络攻防演练又会出现哪些新特点呢?
一、从合规到实战,攻防演练呈现五大趋势
由于目前网络空间态势复杂,如何在攻防对抗环境中具备实战能力,已成为所有行业和政企机构网络安全建设的重要目标。
瑞数信息首席安全顾问周浩表示,从2016-2020年的攻防演练实践看,无论从演练规模还是攻击技术上看,都在不断升级演进升级。
例如:2016年,攻击方法以传统应用系统攻击为主,攻击手段相对单一;但到了2020年,攻击范围进一步扩大,自动化攻击、武器化攻击越来越多,大批量0day在演练中使用,并且攻击范围也扩展到了安全设备自身,各种高级实战的攻击手段也有所使用。
从去年攻防演练的实战情况,可以看到攻防演练已呈现五大攻击趋势:
攻击手法一:自动化攻击、武器化攻击越加明显
在攻防演练中,红队会对开源工具、泄漏工具、定制工具等进行整合,构建自己的武器库。通过武器库可快速高效的对各类0day、Nday漏洞进行探测利用,在攻击过程中还可对特征识别、IP封锁等防护措施进行突破。
除了漏洞探测利用工具外,红队还会利用动态加密Webshell来穿透WAF防护,进行权限维持和跳板搭建,如哥斯拉、冰蝎等Webshell采用动态加密方式,通信过程无稳定可识别的特征,碾压市面上所有基于特征匹配的传统WAF。对于蓝队基于规则的防护而言,实则是一种降维打击。
攻击手法二:人员和管理漏洞探测
除了攻击应用漏洞之外,红队还会探测蓝队在人员和管理上的漏洞,如:弱口令、网络遗漏备份文件等,尤其是VPN、邮箱、管理平台等系统,已经成为重点攻击对象。