现代网络战的攻防建议

暂停营业1

已于 2023-10-31 11:58:24 修改

阅读量243

点赞数 6

分类专栏：头脑风暴沉积物文章标签：网络安全 web安全

于 2023-10-27 10:40:43 首次发布

本文链接：https://blog.csdn.net/bunneykaka/article/details/134071201

版权

头脑风暴沉积物专栏收录该内容

3 篇文章 0 订阅

订阅专栏

1698335621_653a8b8557512e9991524.png!small?1698335643898

1698335384_653a8a98d421a74f49280.jpg!small?1698335407829

网络战：破坏对方的计算机网络和系统，刺探机密信息，并保证己方网络信息系统的正常运行。可以悄无声息地破坏、瘫痪、控制敌方的军用和民用网络系统，达到不战而屈人之兵。

一、现状

近两年，俄-乌、巴-以网络战，聚集了四面八方的黑客团队互攻，牵动着全球各国网络安全研究部门的视线，这里面每个参与者都有自己的定位，参战国的网络部队为国而战，网络雇佣兵拿钱干活，部分匿名者组织浑水摸鱼搞数据或者实验新武器，也有某些团体借机”练兵”，毕竟可以“光明正大”实施国家级网络战的状况十分少有。

二、网络战中的攻击总结

2022年初俄乌战争以来，我追踪了数百起网络战攻击事件，发现网络战不同于我们大多数人日常接触到的网络安全，其目的性更强，更不择手段。在实际的网络战争中，攻击者往往会对以下目标展开攻击，其中包括但不限于政府、军工企业、金融体系、运输系统、新闻传播体系、能源企业、核、航天系统、医疗系统、军队军人、普通民众。通常采用的攻击方式有拒绝服务、木马病毒、0day漏洞攻击、对大范围人群的钓鱼攻击、网络舆论攻击等。攻击者目的，主要集中在瘫痪/破坏目标网站、窃取目标机密、控制目标核心网、操纵目标舆论舆情等。

1698335418_653a8aba069b239cd62ae.png!small?1698335440809

三、网络战中的攻击环节强化

如何在网络战中进行更有力的攻击，这一点我想了挺久，因为目前为止，并没有让我觉得眼前一亮的想法。

01 做好0day漏洞的挖掘与收集

0day漏洞的重要性毋庸置疑，隶属国内国外的几个0day漏洞平台也都运行了好几年，可部分漏洞国外的赏金是国内的好几倍，同一个漏洞，全球白帽子都会报给国外而不是我们，这种差异必然会造成别人比我们掌握更多的漏洞，在网络战中别人的火力比我们更猛。

02 培养专项APT技术人才

虽然当下红队从业人员不少，但高端攻击力量还是不够，真正网络战中，必须有一大批可以单兵作战的高端攻击力量。配合0day或者专项打造的攻击利器，才能无往而不胜。

03 全球网络安全团队维护

除了我们自己的网络团队以外，国外部分摇摆团队的力量不能忽视，如果可以，想办法将这部分网络安全团队转化为我们的攻击力量，给钱也好、其它方式也罢，能不站在我们对立面最好。

四、网络战中的防守环节强化

相对于攻击来说，要做好防守更难一些，因为防守面积广、维度宽，存在很多不确定因素，也存在很多无能为力。如同木桶原理，除非没有短板，不然防守必然会出问题。

01 等保、关基、网络安全管理等法条

等保、关基等一系列条例的执行，大大提高了全网众多产品的安全。鉴于真实网络战中的拒绝服务攻击比例颇高，建议将拒绝服务风险也纳入条例，在演练中模拟更加真实的网络战，找到更多薄弱点，修复薄弱点。

02 加强安全开发能力

漏洞的产生是源自代码的不安全或者运维人员配置失误。我走访了很多开发人员，确实懂安全的寥寥无几。如果有一套完整的人才培养体系，可以在从业人员入门时就加入网络安全能力培训，厂商在考核时将网络安全基础纳为考核标准。长此以往培养出来具备安全基础的研发、运维等岗位人才，再去研发或者管理产品，必然是更安全的。如果行业如此，那么攻击方的成本投入将会无限拉高，用户侧使用产品时的安全性也会得到相应提升。

03 拒绝服务攻击防范

拒绝服务攻击的对抗，可以理解为资源对抗、资金投入对抗。我们需要思考的问题是，如果真正面对来自国外大范围多目标的大流量攻击，需要投入多少成本，现有的资源整合后能防住多少个关键目标，有多大缺口，该怎么提升防护效率。

网络战中目标被拒绝服务的比例最高，因为拒绝服务疗效好起效快，可以直接影响到被攻击方的士气、瘫痪目标的体系运转。现有的拒绝服务攻击手法也比较透明，基本就是漏洞攻击或者大流量攻击。防护方面，国内有CDN、流量清洗业务的公司不在少数，但从用户反馈来看，真正的防护效果，国外的CF、akamai口碑更好一点，也有部分厂商的抗D是与国外企业合作完成的。

如果可以的话，对全网抗D能力进行一次摸底，并梳理一套完整的拒绝服务防护体系，告诉运营单位，产品上线前哪些端口该关闭，哪些协议该怎么正确配置，哪些漏洞需要修补，哪些资源该配置为静态资源或配置缓存服务，等等一系列基础操作之后，真正碰到大流量攻击类似CC、anyflood、any放大攻击。该找哪家公司，该怎么去防护。如此，才能加大拒绝服务成功的难度，保活更多资产。

04 网络安全能力整包

市面上现有的网络安全设备五花八门各有各的用处，企业或者单位在构建安防阵列时，大多都是组合好几个厂家的不同产品，可有些同厂家的不同产品之间自动化协作都不够流畅，更何况不同厂家的不同产品，这难免导致在实战中出现效率低、资源浪费、成本高、安防能力不及预期等问题，所以市面需要出现一家龙头企业或者一款龙头产品，这家企业的各类型产品都能做到行业顶尖，客户可以仅从一家企业采购就能达到自己的安防预期，或者有一款龙头产品，可以协调不同厂家的不同安防产品并提升协作性达到安防预期。如此实战时安防能力才能如臂使指，投入更少、效率更高。

05 网络安全情报能力整合

网络安全情报在网络战或电子战的防护环节起到至关重要的作用，情报的准确率越高，防守端压力越小。但目前市场上的威胁情报产品，情报来源或多或少都存在一些局限性，这就直接导致情报的可用性、实用性存在差异。不可否认，头部几家厂商在各自的情报领域都有优势，如果可以整合市面所有的威胁情报能力，取各家所长，并且国家解决部分情报来源难题，运营一个国家级高价值情报库，那么我们情报方面的能力还能提升不少。