- 实战攻防演练向规模化演变
我国实战攻防演练的发展分为两个阶段:第一阶段是试验阶段, 以学习先进实战经验为主,参演单位少,演练范围小;第二阶段是推 广阶段,实战演练发展飞速,参演单位数量暴增,演练走向规模化。
2016年《中华人民共和国网络安全法》的颁布,标志着我国的网 络安全攻防演练进入试验阶段。当年,我国在举行第一场实战攻防演 练后,迅速将网络安全实战演练推上日程,为日后发展打下了坚实基 础。在试验阶段,世界上著名的“网络风暴”“锁盾”等网络攻防演 练行动为我国实战攻防演练发展提供了参考。在各部门的高度重视 下,演练范围越来越广,参演单位数量和涉及行业逐年增多,我国实 战攻防演练开始走向规模化。时至今日,监管机构和各行业都已开展 了实战攻防演练,在实战演练中诞生了一大批网络安全尖兵。
- 演练规则向成熟化演变
随着国内实战攻防演练的规模逐渐扩大,演练规则也在逐年完 善,覆盖面更广,内容更贴合实战,在发展过程中渐渐成熟。从规则 设置看,数量逐年增加,规则进一步细化,要求更严。对攻击方而 言,要尽可能地找出系统中存在的所有安全问题,穷尽所有已知的攻 击方法,达到让终端、边界、目标系统失陷的目的;对防守方而言, 要进行网络安全监测、预警、分析、验证、处置等一系列工作,并在
后期复盘总结现有防护工作中的不足之处,为后续常态化的网络安全 防护措施提供优化依据。从具体内容看,规则制定紧贴网络安全发展 形势,向实战化倾斜。比如,针对APT攻击,要求防守方做到在攻击发 生后,不仅要保证损失降到最低,更要掌握是谁、通过何种方式进入 系统、做了什么。同时,针对网络安全“一失万无”的特性,除了保 护目标系统外,也要保证相关的业务安全运营,在演练中培养从业者 的全局意识。
- 演练频度向常态化演变
在监管部门、政企机构的高度重视下,实战攻防演练逐渐走向常 态化,影响力进一步扩大。一年一度的实战攻防演练周期逐渐拉长。 同时,更多政企机构开始利用攻防演练检测自身的网络安全能力,从 而为后续网络安全建设指路。网络攻击突破空间限制,攻击速度快, 随时可能发生。应实战要求,攻防演练对抗周期逐年拉长。在贴合实 战的攻防博弈中,防守方必须进行全天候、全方位的网络安全态势感 知,增强网络安全防御能力和威慑力。实战攻防演练成为政企机构网 络安全防御能力的常态化检查手段。只有打一遍,在攻防对抗中发现 问题并解决问题,才能针对特定问题进行建设规划,全面提升网络安 全能力。现在很多大型政企机构希望专业的网络安全服务商先做一次 实战攻防演练,之后再根据演练结果进行定制化的网络安全规划与设 计服务。只有不断进行网络攻防演练和渗透测试,才能不断提升安全 防御能力,从而应对不断变化的新型攻击和高级威胁。
- 攻击手段向多样化演变
随着演练经验的不断丰富和大数据安全技术的广泛应用,攻防演 练的攻击手段不断丰富,开始使用越来越多的漏洞攻击、身份仿冒等 新型作战策略,向多样化演变。
2016年,网络实战攻防演练处于起步阶段,攻防重点大多集中于 互联网入口或内网边界。从演练成果来看,从互联网侧发起的直接攻 击普遍十分有效,系统的外层防护一旦被突破,横向拓展、跨域攻击 往往都比较容易实现。
2018年,防守方对攻击行为的监测、发现能力大幅增强,攻击难 度加大,迫使攻击队全面升级。随着部分参与过演练的单位的防御能 力大幅提升,攻击队开始尝试更隐蔽的攻击方式,比如身份仿冒、钓 鱼Wi-Fi、供应链攻击、邮箱系统攻击、加密隧道等,攻防演练与网络 实战的水平更加接近。
2020年,传统攻击方法越来越难取得成效,攻击队开始研究利用 应用系统和安全产品中的漏洞发起攻击。比如:大部分行业会搭建 VPN(Vitual Private Network,虚拟私人网络)设备,可以利用VPN 设备的一些SQL注入、加账号、远程命令执行等漏洞展开攻击;也可以 采取钓鱼、爆破、弱口令等方式来取得账号权限,绕过外网打点环 节,直接接入内网实施横向渗透。
2021年,攻防对抗进一步升级,防守方攻击监测防护能力的大幅 提升以及攻防技术的快速提高,使得攻击队攻击成本和攻击难度也快 速提高。于是,攻击队开始大量使用社工攻击手段,从邮件钓鱼发展 到微信等多种社交软件钓鱼,甚至到物理渗透、近源攻击,力求有效 绕过防护壁垒,快速进入内网。网络安全实战演练是攻防对抗的过 程,攻击手段多样化的最终目的是提升网络安全防护能力,应对不断 变化的网络安全威胁。
- 安全防御向体系化演变
近几年的实战攻防演练充分证明,没有攻不破的网络,没有打不 透的“墙”。面对多样化的网络攻击手段,不能临阵磨枪、仓促应 对,必须立足根本、打好基础,用系统思维开展体系化的网络安全建 设。网络安全防护思路,急需从过去的被动防御走向主动防御。被动 防御可以理解为“事后补救”,采用隔离、修边界等技术方法,是局 部的,针对单点的,安全产品之间缺乏联动。这种“头痛医头,脚痛 医脚”“哪里出问题堵哪里”的防御思路,已经不再适应当前的网络 安全形势。主动防御可以理解为“事前防控”,将关口前移,防患于 未然。在实战演练后,应对现有安全架构进行梳理,以安全能力建设 为核心思路,重新设计企业整体安全架构,通过多种安全能力的组合 和结构性设计,形成真正的纵深防御体系。
蓝队
1.2.1 什么是蓝队
蓝队是指网络实战攻防演练中的攻击一方。
蓝队一般会针对目标单位的从业人员以及目标系统所在网络内的 软件、硬件设备执行多角度、全方位、对抗性的混合式模拟攻击,通 过技术手段实现系统提权、控制业务、获取数据等渗透目标,从而发 现系统、技术、人员、管理和基础架构等方面存在的网络安全隐患或 薄弱环节。
蓝队人员并不是一般意义上的黑客,黑客往往以攻破系统、获取 利益为目标,而蓝队则是以发现系统薄弱环节、提升系统安全性为目 标。此外,对于一般的黑客来说,只要发现某一种攻击方法可以达成 目标,通常就没有必要再去尝试其他的攻击方法和途径;而蓝队的目 标则是尽可能找出系统中存在的所有安全问题,因此蓝队往往会穷尽 已知的所有方法来完成攻击。换句话说,蓝队人员需要的是全面的攻 防能力,而不仅仅是一两项很强的黑客技术。
蓝队的工作与业界熟知的渗透测试也有所区别。渗透测试通常是 指按照规范技术流程对目标系统进行安全性测试;而蓝队攻击一般只 限定攻击范围和攻击时段,对具体的攻击方法则没有太多限制。渗透 测试过程一般只要验证漏洞的存在即可,而蓝队攻击则要求实际获取 系统权限或系统数据。此外,渗透测试一般都会明确要求禁止使用社 工手段(通过对人的诱导、欺骗等方法完成攻击),而蓝队则可以在 一定范围内使用社工手段。
还有一点必须说明,虽然实战攻防演练过程中通常不会严格限定 蓝队的攻击手法,但所有技术的使用、目标的达成都必须严格遵守国 家相关的法律法规。
在演练中,蓝队通常会以3人为一个战斗小组,1人为组长。组长 通常是蓝队中综合能力最强的,需要具备较强的组织意识、应变能力 和丰富的实战经验。而2名组员则往往需要各有所长,具备边界突破、横向拓展(利用一台受控设备攻击其他相邻设备)、情报搜集或武器 研制等某一方面或几方面的专长。
蓝队工作对人员的能力要求往往是综合性的、全面的,蓝队人员 不仅要会熟练使用各种黑客工具、分析工具,还要熟知目标系统及其 安全配置,并具备一定的代码开发能力,以便应对特殊问题。
蓝队演变趋势防守能力不断提升的同时,攻击能力也在与时俱进。目前,蓝队 的工作已经变得非常体系化、职业化和工具化。
1)体系化。从漏洞准备、工具准备到情报搜集、内网渗透等,蓝 队的每个人都有明确的分工,还要具备团队作战能力,已经很少再有 一个人干全套的情况了。
2)职业化。蓝队人员都来自专职实战演练团队,有明确分工和职 责,具备协同配合的职业操守,平时会开展专业训练。
3)工具化。工具专业化程度持续提升,除了使用常用渗透工具, 对基于开源代码的定制工具的应用也增多,自动化攻击也被大规模应 用,如采用多IP出口的自动化攻击平台进行作业。
从实战对抗的手法来看,现如今的蓝队还呈现出社工化、强对抗 和迂回攻击的特点。
1)社工化。利用人的弱点实施社会工程学攻击,是黑产团伙和高 级威胁组织的常用手段,如今也被大量引入实战攻防演练当中。
除了钓鱼、水坑等传统社工攻击手法外,蓝队还会经常通过在线 客服、私信好友等多种交互方式进行社工攻击,以高效地获取业务信 息。社工手段的多变性往往会让防守方防不胜防。
2)强对抗。利用0day漏洞、Nday漏洞、免杀技术等方式与防守方 进行高强度的技术对抗,也是近一两年来蓝队在实战攻防演练中表现 出的明显特点。蓝队人员大多出自安全机构,受过专业训练,因而往 往会比民间黑客更加了解安全软件的防护机制和安全系统的运行原 理,其使用的对抗技术也往往更具针对性。
3)迂回攻击。对于防护严密、有效监控的目标系统,正面攻击往 往难以奏效。这就迫使蓝队越来越多地采用迂回的攻击方式,将战线 拉长:从目标系统的同级单位和下级单位下手,从供应链及业务合作方下手,在防护相对薄弱的关联机构中寻找突破点,迂回地攻破目标 系统。