關(guān)于攻防演練,90%企業(yè)不知道的3個真相
摘要: 2024國家級攻防演練已全面開啟,各省級的攻防演練活動也在陸續(xù)推進中。
從首屆網(wǎng)絡安全攻防實戰(zhàn)演練開展以來,這一活動已成為網(wǎng)安領域一年一度,備受關(guān)注的大事件。同時,攻防難度與復雜度也在逐年提升,參演單位稍有不慎往往淪為“一輪游”。
當前,網(wǎng)絡安全攻防演練已拉開序幕。要想在今年取得好成績,各參演單位必須提高重視,提前掌握更多真實戰(zhàn)況以及攻防技戰(zhàn)法,充分準備。結(jié)合歷年攻防實戰(zhàn)總結(jié)與當前業(yè)界觀察到的一些新要求、新趨勢,我們梳理出了3條對于參演單位而言較為重要的攻防“真相”。
根據(jù)我們從眾多甲方單位和業(yè)內(nèi)資深網(wǎng)安專家處了解到的經(jīng)驗和信息,歷年的攻防演練大概可以總結(jié)為以下幾個關(guān)鍵點:
•行動任務復雜:防守方扣分點多種多樣,且要求日益嚴格。從最初的發(fā)現(xiàn)攻擊加分,或找回扣分,到及時發(fā)現(xiàn)、及時處置才能減少扣分,再到發(fā)現(xiàn)真實惡意行為者才能加分等,對防守方網(wǎng)絡安全建設質(zhì)量和常態(tài)化安全運營能力提出了極高的要求;
•周期不固定:不同級別的攻防演練開始和持續(xù)時間不同,短則1周左右,長則2~3周不等。對于防守方來說,演練期間需要高強度在線,極大考驗人員安排、人力投入以及安全自動化水平;
•攻擊強度高:除固定目標外,攻擊方還會針對公共目標進行滲透。其手段非常豐富,會通過多種監(jiān)測與掃描工具,對目標網(wǎng)絡展開信息收集、漏洞測試、漏洞驗證等。且相對于防守方,其得分難度更低,滲透及成果提交時間更自由,使得防守方不得不24小時堅守防護;
•新技術(shù)新業(yè)態(tài)逐漸引入:網(wǎng)絡科技日新月異,新型網(wǎng)絡威脅日漸嚴峻,尤其伴隨AI技術(shù)全面鋪開應用,網(wǎng)絡攻擊的難度、成本越來越低,自動化水平越來越高,也成為演練中攻擊方的有力工具;防守方亟需提升安全防護能力,形成較為全面立體,能夠及時響應、快速處置、高度協(xié)同聯(lián)動的防御體系。
不難發(fā)現(xiàn),攻防演練強度正逐年提升,據(jù)悉,今年更將上升到一個全新的高度。包括行動任務數(shù)量、演練周期時長、攻擊強度以及演練類別等,較以往都會有一個極大的提升,堪稱“史上最難攻防季”。
尤其是作為藍隊的防守方,不僅得分難度與年俱增,扣分項越來越多,對其防御監(jiān)控能力也提出了更高要求。與此同時,自動化工具在滲透過程中的應用,使得攻防兩端的不對稱日益傾斜,堆人堆設備大概率只會“勞民傷財”,而未能真正有效地提高安全能力。
同時需要注意的是,攻防演練活動采用積分制,最終戰(zhàn)績對于參演單位有著非常顯著的影響。通常,安全體系建設不夠完善、安全威脅防御能力不足導致排名靠后的單位,不僅組織形象受損,而且未來評優(yōu)評先等工作都有可能會受到不同程度的影響,此外還可能會面臨客戶流失以及法律制裁等更為嚴重的損失。
許多組織在安全體系建設上一直處于薄弱狀態(tài),且?guī)淼拇嗳跣噪y以根治。但隨著攻防演練愈加嚴格的趨勢,我們認為其必將走向“常態(tài)化”發(fā)展,各單位機構(gòu)更需提早思考和做足準備。
我們梳理了過往攻防演練中最常見的失分點,這些案例和原因值得防守方多多借鑒,而且不僅是攻防演練期間,在日常網(wǎng)絡安全建設中更需著重關(guān)注。
1、弱口令導致系統(tǒng)淪陷
某公司在攻防演練中,攻擊者通過簡單的暴力破解手段,成功獲取了多個系統(tǒng)的登錄權(quán)限。原因是部分員工設置的登錄口令過于簡單,如“123456”“admin”等,這使得攻擊者輕易突破了第一道防線,進而獲取了大量敏感數(shù)據(jù)。
2、未及時更新補丁
一家金融機構(gòu)在演練中被發(fā)現(xiàn)其核心業(yè)務系統(tǒng)存在高危漏洞。經(jīng)調(diào)查,是由于系統(tǒng)長時間未更新安全補丁,導致攻擊者利用已知的漏洞入侵了系統(tǒng)。盡管該機構(gòu)有安全更新的流程,但執(zhí)行不嚴格,最終造成了嚴重失分。
3、內(nèi)部人員安全意識淡薄
在某大型企業(yè)的攻防演練中,攻擊者通過定向內(nèi)部員工進行釣魚,獲取員工信任后,發(fā)送攻擊程序,輕易獲取了員工的主機權(quán)限。部分員工在未確認程序來源和真實性的情況下,隨意點擊附件,給企業(yè)的網(wǎng)絡安全帶來了極大威脅。
4、忽視移動設備應用管理
某科技公司允許員工使用個人移動設備處理工作事務,但沒有對這些設備中的應用進行有效的安全管理。攻擊者利用這一漏洞,通過惡意軟件感染了員工手機,進而滲透到公司內(nèi)部網(wǎng)絡,竊取了重要數(shù)據(jù)。
5、供應鏈攻擊
一家頭部企業(yè)在與第三方合作伙伴進行數(shù)據(jù)交互時,攻擊者通過攻擊上游供應商產(chǎn)品,通過產(chǎn)品推送熱更新等功能下發(fā)惡意控制腳本,進而進入企業(yè)內(nèi)網(wǎng)環(huán)境,獲取主機權(quán)限控制權(quán)。
“兩高一弱”、Oday攻擊、供應鏈攻擊、社工釣魚,已成為攻防演練行動中最高頻、最熱門、最難防御的幾類攻擊。一般來說,攻防演練行動正式開始前,參演方應該對本單位的網(wǎng)絡安全狀況做整體排查與加固。
通過與市面上幾家頭部安服廠商的調(diào)研,我們也發(fā)現(xiàn),雖然各家的安全策略,以及產(chǎn)品、技術(shù)、服務各不相同,但針對以上提到的5大主要失分點,防護方完全可以在賽前進行提前部署與防御性加固,比如做靶標系統(tǒng)的資產(chǎn)測繪、防御系統(tǒng)優(yōu)化、設備有效性驗證等。
通過前期科學、健全的排查加固工作,參演單位的網(wǎng)絡安全體系與安全防御能力得以整體提升,在實戰(zhàn)對抗過程中自然可以最大化地有效避免攻擊與失分。
目前,各級別的攻防演練已陸續(xù)開展,打造堅不可摧的網(wǎng)絡安全體系,成為各參演單位的共同目標。在這一過程中,大多組織通常會選擇第三方安全力量的加持。
對于已經(jīng)做好防御準備的企業(yè),我們建議在攻防演練正式開始前的臨戰(zhàn)時期,再進行最后一輪“摸底考”和壓力測試,對本組織安全防線的有效性進行全面、深入的驗證;而對于還在尋覓安全服務廠商的單位,我們也從歷年參戰(zhàn)的甲方那里,總結(jié)出了幾個對安全廠商的篩選評估關(guān)鍵點,供參考:
1、廠商是否具備輕量化快速部署能力。大戰(zhàn)在即,安全服務廠商的方案必選要能夠快速適配組織架構(gòu),實現(xiàn)最簡單、最高效接入,并快速開啟全面防護。
2、廠商是否能提供本地團隊支持。安全還是離不開人的支撐,尤其是經(jīng)驗豐富的安全專家團隊,如果能提供本地支撐,及時到場響應客戶需求與突發(fā)事件,必然產(chǎn)生如虎添翼之威。
3、看該廠商的過往戰(zhàn)績。過往戰(zhàn)績代表著一個廠商的實力底蘊,包括參與攻防演練的經(jīng)驗豐富度,以及成績背后連帶出的產(chǎn)品能力、服務水準、團隊實力等。
據(jù)了解,近年來各省級攻防的規(guī)模和影響力持續(xù)擴大,以即將開啟的上海本地的攻防演練“磐石行動”為例,“磐石行動”聚集了51家紅方與160家甲方企業(yè),其中,“飛揚新銳獎”獲得企業(yè)之一白山云科技展現(xiàn)出了很深厚的經(jīng)驗積累。
今年磐石行動在即,我們也借機采訪了白山云攻防演練服務負責團隊,對白山云的攻防能力有了更進一步的全面認知。
特別是在當前這個時間點,時間緊任務重,而白山云通過3步便可幫助各企業(yè)單位實現(xiàn)分鐘級布防,快速迎戰(zhàn)。
在整體的攻防演練防護方案中,白山云以“武器+方法+人員”的鐵三角模式為客戶重塑攻防演練安全防護體系。
在“武器”層面,白山云基于零信任訪問Access、互聯(lián)網(wǎng)暴露面發(fā)現(xiàn)、云WAF、抗DDoS、設備有效性驗證、威脅情報等成熟的邊緣云安全產(chǎn)品,能夠為客戶打造全面覆蓋內(nèi)外網(wǎng)的一體化安全防御體系。
在“方法”層面,結(jié)合自身多年攻防經(jīng)驗,白山云通過“從外到內(nèi)的攻擊者視角”和“從內(nèi)到外的防守者視角”,為客戶提供雙重視角的攻防演練解決方案;同時,白山云以“零事故、零漏防”作為目標,制定了整體防護框架,將安全防護分為籌備、準備、臨戰(zhàn)、對抗、收尾5個階段,提供全程支撐服務。
特別是結(jié)合我們在前文中提到的“真相二”,白山云在準備階段的策略以及對應的真實產(chǎn)品能力,已在歷次攻防實踐中得以驗證,保障客戶“后顧無憂”。
在人員方面,白山云集結(jié)了一支訓練有素、久經(jīng)沙場的專業(yè)安全團隊,人均擁有10多年安全經(jīng)驗,為客戶提供7*24小時的安心服務。
在上海磐石行動期間,白山云的上海本地安全團隊和全國安全團隊密切聯(lián)動,為客戶提供頂配級別的本地支持力度,專家可以及時響應,必要時前往現(xiàn)場為客戶提供支撐。
在歷年攻防實戰(zhàn)演練活動中,白山云已累計為近百家單位提供安全防護服務,并協(xié)助客戶在攻防競賽中取得優(yōu)異成績,得到了主辦單位和相關(guān)組織機構(gòu)的高度認可。
關(guān)于白山云更多詳細的攻防方案與能力,企業(yè)如有需要可通過下方二維碼快速咨詢。特別提醒,今年的攻防演練與上海“磐石行動”期間,符合條件的參演單位,可享有活動期內(nèi)免費使用權(quán)益。
【限免權(quán)益詳情,請掃碼咨詢】