未知攻焉知防：从攻击者视角看网络安全的“攻守之道”

自首届网络安全攻防实战演练开展以来，这一活动已成为网络安全领域备受关注的大事件。今年，攻防实战演练更上升到了一个全新高度，包括行动任务数量、演练周期时长、攻击强度以及演练类别等，较以往都有极大提升，堪称“史上最难攻防季”。
今年的攻防演练着眼于全球网络空间战略博弈的升级和攻防对抗的持续加剧。一方面，网络攻击强度烈度不断升级。网络攻击手段不断升级、强度持续提升、规模不断扩大，网络攻击主体更加多元，涉及个人、企业、社会组织甚至国家。另一方面，网络安全形势发生深刻变化。随着人工智能、物联网、大数据等技术不断创新和相互渗透，网络空间与物理空间高度融合，二者关联愈发密切、边界趋于模糊，网络安全风险从单点向全局蔓延。
网络攻击手段进化升级
在网络安全升级为数字安全的时代背景下，实战攻防对抗是检验安全能力的最终标准。由于目前网络空间态势复杂，如何在攻防对抗环境中具备实战能力，已成为所有行业和政企机构网络安全建设的重要目标。
瑞数信息安全响应中心研究员陆攀介绍，从2016年至2023年的攻防演练实践看，无论从演练规模还是攻击技术上看，都在不断演进升级。“攻防演习”逐步由试点走向全局，执行力度逐年增强，呈现出攻击力度强、攻击点范围广、防护难度大的特点。
比如2016年攻击方法以传统应用系统攻击为主，攻击手段相对单一；2019年开始出现真正意义上的0day攻击；2021年0day攻击常态化，供应链攻击和社工开始展露头脚，第一次出现沙盘推演；2023年攻防规模达到历史之最，防守队和攻击队都接近300家，并且0day数量达到300个左右。
随着网络安全攻击技术持续进化，攻击手法主要呈现出四个趋势变化：
首先，0day漏洞转向供应链。2023年攻防演练期间暴露出的0day漏洞数量超过200个，有详情的漏洞超过100个，Web漏洞占比达到90%以上。攻击方向从之前的业务系统、安全设备，慢慢趋向于软硬件供应商和办公系统。
其次，攻击更加多元化。智能终端、办公大厅自助机小程序、微信等成为新的突破口，供应链和钓鱼攻击成为攻击新趋势。随着正面突破的难度越来越大，供应链、开源组件、二级单位攻击、社工钓鱼等方法和花样层出不穷。比如利用供应链的补丁或者升级包进行投毒，欺骗用户进行升级等，从而控制网络系统。
第三，工具化更加隐蔽智能。攻击工具和攻击方式越来越自动化和智能化，自动化攻击手段从早期的简单脚本和工具，到具备JS解析能力的工具，再到脚本驱动的浏览器和APP，以及如今的录屏操作和真人操作，识别和防护难度呈现指数级上升。大量的通用和定制工具用于漏洞扫描、0day探测、撞库、敏感文件探测等，攻击范围进一步扩大。为了提升攻击效率，攻击方还精心设计了专门接口，以加快攻击过程，实现了工具集成化、平台化，并形成了完整的自动化攻击链。
第四，API接口成为主要攻击目标。通过恶意请求或其他手段获取未授权的数据或对系统进行恶意操作，脆弱的API成为了攻击者进入系统的门户。攻击者可以利用API漏洞绕过防火墙、入侵检测系统等安全防护设备，从而对系统进行深入攻击。
面对持续加大的网络攻击强度，网络安全工作者疲于奔命、无所适从的感受越来越强烈。网络对抗一直处于攻易难守的状态，攻击只需要突破一个点就可能拿下目标，而防守者却要面面俱到。在很多情况下，网络安全往往面临事后响应、被动挨打的局面，经常都是在被攻击之后，系统被拖库或被植入后门才发现攻击痕迹。尤其是随着业务系统的不断扩张，攻击面也在与日俱增，安全运营成本不断增高。
从攻击者视角看安全
在数字化时代，网络安全团队不仅要站在防御视角来看待安全，更要从攻击者视角来监测完整的数字攻击进程，瑞数信息观察到了各类网络攻击的流程和防护要点。
实网攻击方面，在起始阶段，攻击者会先在网络外围进行探测寻找突破口。突破口大多聚焦在关注度低和防护薄弱系统、存在高危漏洞的系统、第三方产品供应商、运维服务供应商、存在敏感信息泄露的系统等区域，之后通过目标收集、漏洞扫描、路径探测、账号破解等方式，逐步深入渗透进网络之中。在进入网络中后，攻击者会采取人工渗透、0day/Nday攻击、安全措施突破、获取shell等方式，层层深入到最核心的内网之中，并在内网开启漫游，通过收集资产、定向控制、权限提升等手段，逐步获取核心权限，从而掌控整个网络的主动权。
供应链攻击方面，攻击者首先会识别使用敏感数据的软件开发供应商，这里的目标是打开一扇通向更多机会的门。选中目标后，攻击者会利用公司软件中未知或未解决的漏洞侵入系统，他们可以利用识别的漏洞，在公司源代码中添加有缺陷的代码或插入恶意软件。一旦供应商被感染，‌他们便试图通过横向移动访问连接的目标公司的敏感数据。‌此外，‌攻击者还会使用网络钓鱼攻击欺骗第三方供应商的员工泄露登录凭据。‌一旦攻击者获得了对目标公司网络的访问权，‌他们就可以使用各种手段窃取或加密目标公司的数据，‌进而实施勒索攻击等恶意操作。‌
此外，站在攻击者视角，还可以发现网络安全中存在的一系列挑战。随着数字化发展，资产类型和数量越来丰富，网络安全从业者难以完全掌握所有潜在风险点，攻击面越来越大，且大多并不清晰。其次，由于供应链数量众多，类型错综复杂，导致安全难以做到统一管理，供应链风险与日俱增。同时，不同团队和部门对安全重视程度不一，员工安全意识差异较大。而未知的0day漏洞则很难事先防范，一旦被发现就可能遭受严重攻击，0day防御重要性日益凸显。
构筑纵深防御体系，化被动为主动
克劳塞维茨在《战争论》中曾经对防御作战有过这样的描述：“防御作战这种常见的作战形式，其往往不是单纯的组织静态的防线，而是由无数次的巧妙打击和迂回运动组成的反突击体系。”
对防守方而言，单一的产品是无法实现安全的，构建纵深防御体系、建立全面监控的能力、高效协同等，都是赢得网络安全战的先决条件。
基于主动防护理念，瑞数信息改变了传统网络安全的“游戏规则”，推出动态安全技术，不再依靠攻击特征库、异常特征库的匹配来进行攻击识别，而是通过隐藏漏洞、变换自身、验证真伪等多种方式提高黑客攻击成本，倒逼黑客放弃攻击。
在0day漏洞防护方面，瑞数信息从0day漏洞利用工具请求的固有属性出发，通过动态安全技术，无需依赖规则特征，只要识别到是工具行为，就可以直接对0day攻击进行阻断。
在漏扫防护方面，瑞数信息提供漏洞隐藏功能，将所有的高危、中危漏洞、网页目录结构做隐藏，并通过敏感信息隐藏、针对扫描器做重放性检测、动态挑战等方式来进行防护，让攻击方扫描不到任何有价值的信息。
随着网络对抗升级，基于规则和特征的传统安全设备防护效率将越来越低。对于人工攻击，还可以从干扰攻击行为的角度出发进行防护。
瑞数动态安全利用动态封装和动态混淆这两大创新技术对攻击者实施动态干扰。灵活运用Web代码混淆、JS混淆、前端反调试、Cookie混淆、中间人检测等多种动态干扰功能，采用不基于任何特征、规则的方式进行有效防护，为业务安全和用户数据筑起了一道坚不可摧的防护墙。
针对愈加频繁的勒索攻击，瑞数信息通过数据备份和快速恢复备份数据的数据安全检测与应急响应系统（DDR）系统，构建起更完整的勒索软件防护闭环，帮助企业守住数据安全最后一道防线。
在严峻的网络安全形势下，面对层出不穷的攻击手段和潜在的安全威胁，网络安全防护必须实现从“人防”到“技防”的全面跃迁，才能彻底将人员从安全对抗的值守中解放出来。
基于独特的“动态安全+AI”技术思想，瑞数信息综合运用自动化攻击保护、0day防护、多源低频防护、多维度分层分级对抗等多种安全防护策略和手段，还推出瑞数WAAP超融合平台，支持WAF、Bots防护、0day攻击防护、应用DDoS防护、API安全防护等多项安全产品单独或联合部署，能够覆盖Web、移动App、H5、API及IoT全应用渠道，提供多层级的联动防御机制，令企业在各类复杂的环境中，都可以轻松实现应用安全一体化防御。
目前，瑞数信息动态安全已广泛应用在运营商、金融、政府、教育、医院、企业客户之中，帮助各类组织机构真正实现网站/APP/小程序/API的安全防护，降低其安全风险和经济损失。同时，瑞数信息参与了大量网络安全重保工作，并取得了优异的成绩。
借助动态安全与AI技术，瑞数信息建立起全方位的网络安全纵深防御体系，形成事前、事中、事后安全风险闭环，助力企业消除信息安全体系建设中的“安全孤岛”问题。由此，企业在面对复杂多变的网络和应用环境时，可以真正实现网络安全从“被动”变“主动”，构筑起网络安全的“钢铁长城”。