从首届网络安全攻防实战演练开展以来,这一活动已成为网安领域一年一度,备受关注的大事件。同时,攻防难度与复杂度也在逐年提升,参演单位稍有不慎往往沦为“一轮游”。
当前,网络安全攻防演练已拉开序幕。要想在今年取得好成绩,各参演单位必须提高重视,提前掌握更多真实战况以及攻防技战法,充分准备。结合历年攻防实战总结与当前业界观察到的一些新要求、新趋势,我们梳理出了3条对于参演单位而言较为重要的攻防“真相”。
真相一:
攻防演练难度飙升:覆盖更广,对抗更激烈
根据我们从众多甲方单位和业内资深网安专家处了解到的经验和信息,历年的攻防演练大概可以总结为以下几个关键点:
•行动任务复杂:防守方扣分点多种多样,且要求日益严格。从最初的发现攻击加分,或找回扣分,到及时发现、及时处置才能减少扣分,再到发现真实恶意行为者才能加分等,对防守方网络安全建设质量和常态化安全运营能力提出了极高的要求;
•周期不固定:不同级别的攻防演练开始和持续时间不同,短则1周左右,长则2~3周不等。对于防守方来说,演练期间需要高强度在线,极大考验人员安排、人力投入以及安全自动化水平;
•攻击强度高:除固定目标外,攻击方还会针对公共目标进行渗透。其手段非常丰富,会通过多种监测与扫描工具,对目标网络展开信息收集、漏洞测试、漏洞验证等。且相对于防守方,其得分难度更低,渗透及成果提交时间更自由,使得防守方不得不24小时坚守防护;
•新技术新业态逐渐引入:网络科技日新月异,新型网络威胁日渐严峻,尤其伴随AI技术全面铺开应用,网络攻击的难度、成本越来越低,自动化水平越来越高,也成为演练中攻击方的有力工具;防守方亟需提升安全防护能力,形成较为全面立体,能够及时响应、快速处置、高度协同联动的防御体系。
不难发现,攻防演练强度正逐年提升,据悉,今年更将上升到一个全新的高度。包括行动任务数量、演练周期时长、攻击强度以及演练类别等,较以往都会有一个极大的提升,堪称“史上最难攻防季”。
尤其是作为蓝队的防守方,不仅得分难度与年俱增,扣分项越来越多,对其防御监控能力也提出了更高要求。与此同时,自动化工具在渗透过程中的应用,使得攻防两端的不对称日益倾斜,堆人堆设备大概率只会“劳民伤财”,而未能真正有效地提高安全能力。
同时需要注意的是,攻防演练活动采用积分制,最终战绩对于参演单位有着非常显著的影响。通常,安全体系建设不够完善、安全威胁防御能力不足导致排名靠后的单位,不仅组织形象受损,而且未来评优评先等工作都有可能会受到不同程度的影响,此外还可能会面临客户流失以及法律制裁等更为严重的损失。
许多组织在安全体系建设上一直处于薄弱状态,且带来的脆弱性难以根治。但随着攻防演练愈加严格的趋势,我们认为其必将走向“常态化”发展,各单位机构更需提早思考和做足准备。
真相二:
备战环节做到位,可有效避免99%的攻击和失分
我们梳理了过往攻防演练中最常见的失分点,这些案例和原因值得防守方多多借鉴,而且不仅是攻防期间,在日常网络安全建设中更需着重关注。
1. 弱口令导致系统沦陷
某公司在攻防演练中,攻击者通过简单的暴力破解手段,成功获取了多个系统的登录权限。原因是部分员工设置的登录口令过于简单,如“123456”“admin”等,这使得攻击者轻易突破了第一道防线,进而获取了大量敏感数据。
2.未及时更新补丁
一家金融机构在演练中被发现其核心业务系统存在高危漏洞。经调查,是由于系统长时间未更新安全补丁,导致攻击者利用已知的漏洞入侵了系统。尽管该机构有安全更新的流程,但执行不严格,最终造成了严重失分。
3.内部人员安全意识淡薄
在某大型企业的攻防演练中,攻击者通过定向内部员工进行钓鱼,获取员工信任后,发送攻击程序,轻易获取了员工的主机权限。部分员工在未确认程序来源和真实性的情况下,随意点击附件,给企业的网络安全带来了极大威胁。
4.忽视移动设备应用管理
某科技公司允许员工使用个人移动设备处理工作事务,但没有对这些设备中的应用进行有效的安全管理。攻击者利用这一漏洞,通过恶意软件感染了员工手机,进而渗透到公司内部网络,窃取了重要数据。
5.供应链攻击
一家头部企业在与第三方合作伙伴进行数据交互时,攻击者通过攻击上游供应商产品,通过产品推送热更新等功能下发恶意控制脚本,进而进入企业内网环境,获取主机权限控制权。
“两高一弱”、Oday攻击、供应链攻击、社工钓鱼,已成为攻防演练行动中最高频、最热门、最难防御的几类攻击。一般来说,攻防演练行动正式开始前,参演方应该对本单位的网络安全状况做整体排查与加固。通过与市面上几家头部安服厂商的调研,我们也发现,虽然各家的安全策略,以及产品、技术、服务各不相同,但针对以上提到的5大主要失分点,防护方完全可以在赛前进行提前部署与防御性加固,比如做靶标系统的资产测绘、防御系统优化、设备有效性验证等。
通过前期科学、健全的排查加固工作,参演单位的网络安全体系与安全防御能力得以整体提升,在实战对抗过程中自然可以最大化地有效避免攻击与失分。
真相三:
攻防在即,冲刺“零事故”有章可循
目前,各级别的攻防演练已陆续开展,打造坚不可摧的网络安全体系,成为各参演单位的共同目标。在这一过程中,大多组织通常会选择第三方安全力量的加持。
对于已经做好防御准备的企业,我们建议在攻防演练正式开始前的临战时期,再进行最后一轮“摸底考”和压力测试,对本组织安全防线的有效性进行全面、深入的验证;而对于还在寻觅安全服务厂商的单位,我们也从历年参战的甲方那里,总结出了几个对安全厂商的筛选评估关键点,供参考:
1、厂商是否具备轻量化快速部署能力。大战在即,安全服务厂商的方案必选要能够快速适配组织架构,实现最简单、最高效接入,并快速开启全面防护。
2、厂商是否能提供本地团队支持。安全还是离不开人的支撑,尤其是经验丰富的安全专家团队,如果能提供本地支撑,及时到场响应客户需求与突发事件,必然产生如虎添翼之威。
3、看该厂商的过往战绩。过往战绩代表着一个厂商的实力底蕴,包括参与攻防演练的经验丰富度,以及成绩背后连带出的产品能力、服务水准、团队实力等。
据了解,近年来各省级攻防的规模和影响力持续扩大,以即将开启的上海本地的攻防演练“磐石行动”为例。去年的“磐石行动”聚集了51家红方与160家甲方企业,其中,“飞扬新锐奖”获得企业之一白山云科技展现出了很深厚的经验积累。今年磐石行动在即,我们也借机采访了白山云攻防演练服务负责团队,对白山云的攻防能力有了更进一步的全面认知。
据介绍,白山云防护方案的最大特点与优势,主要体现为一快、二强。快就是指部署快,只需3步5分钟就能实现高效布防;强即是安全能力的强大,而安全能力则源自于白山云铁三角模式。
特别是在当前这个时间点,时间紧任务重,而白山云通过3步便可帮助各企业单位实现分钟级布防,快速迎战。
在整体的攻防演练防护方案中,白山云以“武器+方法+人员”的铁三角模式为客户重塑攻防演练安全防护体系。
在“武器”层面,白山云基于零信任访问Access、互联网暴露面发现、云WAF、抗DDoS、设备有效性验证、威胁情报等成熟的边缘云安全产品,能够为客户打造全面覆盖内外网的一体化安全防御体系。
在“方法”层面,结合自身多年攻防经验,白山云通过“从外到内的攻击者视角”和“从内到外的防守者视角”,为客户提供双重视角的攻防演练解决方案;同时,白山云以“零事故、零漏防”作为目标,制定了整体防护框架,将安全防护分为筹备、准备、临战、对抗、收尾5个阶段,提供全程支撑服务。特别是结合我们在前文中提到的“真相二”,白山云在准备阶段的策略以及对应的真实产品能力,已在历次攻防实践中得以验证,保障客户“后顾无忧”。
在人员方面,白山云集结了一支训练有素、久经沙场的专业安全团队,人均拥有10多年安全经验,为客户提供7*24小时的安心服务。
在上海磐石行动期间,白山云的上海本地安全团队和全国安全团队密切联动,为客户提供顶配级别的本地支持力度,专家可以及时响应,必要时前往现场为客户提供支撑。
在历年攻防实战演练活动中,白山云已累计为近百家单位提供安全防护服务,并协助客户在攻防竞赛中取得优异成绩,得到了主办单位和相关组织机构的高度认可。
关于白山云更多详细的攻防方案与能力,企业如有需要可通过下方二维码快速咨询。特别提醒,今年的攻防演练与上海“磐石行动”期间,符合条件的参演单位,可享有活动期内免费使用权益。
【限免权益详情,请扫码咨询】