为切实提高学生网络攻防实战能力,拓展学生对红蓝对抗前沿技术的认识,2023年3月2日9:30-11:00,北京斗象信息科技有限公司的王涛、王晓喆两位专家应网络空间安全与法治协同创新中心的邀请,围绕“网络安全攻防对抗发展与趋势”这一主题进行了专题分享,来自网络空间安全执法技术方向的多名师生参加了此次讲座。
精彩回顾
讲座内容主要分为"攻防重要意义"、"攻防对抗趋势"、"防护建设经验"、"实战攻防分享"四个部分,以乙方视角出发,结合大量红蓝攻防演练真实案例,对目前网络安全攻防对抗发展现状、发展历程进行讲解。
首先,斗象科技专家王涛以国外某科技公司的数据泄露事件和地下黑色交易产业链为例,引出了当前网络攻防演练诞生的背景,结合国家近年不断推出的相关政策法律,介绍了攻防演练的重要意义,回顾了我国近十年的网络攻防演练发展历程、安全运维建设时间线。同时,也对当前红蓝对抗双方面临的难点进行重点剖析,例如:攻击面的收敛、大量部署蜜罐等因素给红队带来的挑战;边界(或老旧)资产收集、0Day漏洞攻击、溯源取证等蓝队面临的问题。
随后,王涛专家继续分享了蓝队综合防护建设的经验,详细讲解了准备、演练、总结等各阶段中防守方的主要工作思路,并对防守阶段中各步骤的实施细节进行剖析,包括但不限于收敛攻击面、构建纵深防御体系、建立熟练应急响应流程等。
最后王涛专家以国内某大型金融客户、某交易所的国家攻防演练为例,基于上述综合防御体系建设模型进行蓝队防护实战分析和讲解。
在讲座下半阶段,星耀实验室负责人王晓喆进行了实战攻防中的经验分享。
首先,对当前红队实战中的"困境"进行了介绍,蓝队通过社群分享、红队IP共享等协作方式使得防守程度的不断提高,同时通过检测、关联和分析不可擦除的全流量数据,能够进行相对快速的溯源取证,反制手段的升级也让红队面临更大的挑战,例如:溯源蜜罐+反制木马等欺骗性防御。
接着,王晓喆专家介绍了常见的攻击面和突破攻击面的惯用手段,例如常规漏洞利用、近源WIFI、水坑攻击等。
随后以“两个循环”模型介绍了整个红队攻击的过程,并围绕突破、横向、控制三个方向介绍如何进行红队武器储备。
王晓喆专家重点讲解了当前常见五种红队攻击谋略:一是尝试从目标边缘资产开始渗透,但困难曲线较为陡峭;二是先打目标供应链,从供应链处收集目标信息,获取有用线索和信息后,再迂回对目标进行攻击;三是钓鱼、社工类攻击,此类攻击当前手段花样繁多,往往也是最常用和有效的手段,但需要攻击者熟练把握目标心理活动、个人信息和社会关系。同时,讲解了常见红队钓鱼文案编写和场景制造方案。四是近源攻击,尤其通过IOT物联网突破目标物理防护。五是0day攻击,攻击团队通常会有0Day漏洞的储备,常用于攻击较有价值的核心靶标。
最后,专家介绍了未来攻击的趋势,包括自动化、体系作战、新型近源攻击等手段。
现场速览
图 | 讲座现场