隨著國(guó)際、國(guó)內(nèi)網(wǎng)絡(luò)安全局面的復(fù)雜化、企業(yè)數(shù)字化程度的加深以及數(shù)字世界不同主體之間的聯(lián)動(dòng)加深，組織、參與實(shí)戰(zhàn)演練就成為政府、企業(yè)及社會(huì)各界非常重視，也是我們安全建設(shè)者們一年一度的重要工作。

參與單位不斷擴(kuò)大，覆蓋企業(yè)業(yè)務(wù)單元越來(lái)越豐富，對(duì)抗演練越來(lái)越“真實(shí)”，攻防過程也逐漸從完成任務(wù)似的“交作業(yè)”，變成真正檢驗(yàn)自身業(yè)務(wù)安全和體系穩(wěn)定的利器。

另外，針對(duì)今年攻防演練行動(dòng)的特殊變化，也需要相應(yīng)的能力升級(jí)。例如，時(shí)間長(zhǎng)度的拉長(zhǎng)和參與主體的增多，一方面會(huì)導(dǎo)致原有安全防御策略的失效，另一方面也會(huì)更大程度的暴露攻擊面，尤其是一些新納入攻防演練的主體，可能會(huì)陷入“被攻破后原地躺平”的風(fēng)險(xiǎn)。

俗話說(shuō)，“工欲善其事，必先利其器”，這里我們就針對(duì)2024年的一些新任務(wù)、新變化和新挑戰(zhàn)，向大家推薦實(shí)戰(zhàn)攻防演練的“神器”。

——云原生安全——

隨著企業(yè)的數(shù)據(jù)&業(yè)務(wù)部分或全量上云，就勢(shì)必會(huì)遇到云安全的問題?；氐焦シ姥菥毜膱?chǎng)景來(lái)看，最直接的就是讓攻防兩端的戰(zhàn)場(chǎng)變大、攻防手段增多、攻擊烈度增加。對(duì)于防御者，要做到云安全和傳統(tǒng)安全相輔相成。

首先，是安全產(chǎn)品。諸如主機(jī)安全、終端安全、威脅情報(bào)等傳統(tǒng)高能效產(chǎn)品，同樣可以在云上應(yīng)用，快速構(gòu)建云安全的基石。

其次，云上的安全工具和云端的資源池，可以快速提供風(fēng)險(xiǎn)評(píng)估、威脅檢測(cè)、安全事件溯源取證的工作，有效提升現(xiàn)有安全體系的防御效能和效率，或是在特殊的時(shí)間節(jié)點(diǎn)快速提升主體的安全防御力。

第三，落實(shí)到特定行業(yè)，如金融、交通、出行等大型行業(yè)，除了網(wǎng)絡(luò)安全法等“上位法”以外，還有大量的行業(yè)法規(guī)、規(guī)定、規(guī)范要遵循。通過選用云平臺(tái)的安全資源，也可以保證企業(yè)在云端運(yùn)行的資產(chǎn)可以快速滿足合規(guī)要求，以較低成本建立安全基線。

——紅藍(lán)對(duì)抗的五個(gè)階段——

Step1?信息收集:東搜西羅，打探軍情

信息收集是攻擊第 一步，也是最關(guān)鍵的一個(gè)階段。信息的收集深度直接決定了滲透過程的復(fù)雜程度。在展開攻擊前，藍(lán)軍往往會(huì)先對(duì)企業(yè)資產(chǎn)暴露面進(jìn)行分析，對(duì)目標(biāo)企業(yè)進(jìn)行資產(chǎn)信息收集。

●從公開信息入手，利用FOFA、SHODAN、搜索引擎等，搜集域名、IP等資產(chǎn)信息;利用天眼查、企查查等獲取企業(yè)相關(guān)信息;

●通過主機(jī)掃描、端口掃描、系統(tǒng)類型掃描等途徑，發(fā)現(xiàn)攻擊目標(biāo)的開放端口、服務(wù)和主機(jī)，并對(duì)目標(biāo)服務(wù)器指紋和敏感路徑進(jìn)行探測(cè)識(shí)別，完成攻擊面測(cè)繪及企業(yè)防護(hù)薄弱點(diǎn)的梳理;

除了技術(shù)手段，攻擊者還會(huì)利用社會(huì)工程學(xué)或企業(yè)泄露在外的敏感信息，借助釣魚攻擊等方式獲取賬號(hào)密碼等關(guān)鍵信息，提升攻擊成功率。

※ 應(yīng)對(duì)要訣:摸清家底、部署防線

資產(chǎn)管理是安全防護(hù)的第 一要?jiǎng)?wù)。建議企業(yè)先通過云安全中心明晰防護(hù)對(duì)象現(xiàn)狀，對(duì)IP、端口、Web服務(wù)等暴露在外的資產(chǎn)進(jìn)行全盤測(cè)繪。同時(shí)，構(gòu)建云上三道防線，實(shí)時(shí)感知安全風(fēng)險(xiǎn)，做好資產(chǎn)加固。

Step2?漏洞分析:順藤摸瓜，伺機(jī)行事

漏洞是藍(lán)軍撕開防線的重要武器，藍(lán)軍攻擊路徑的確認(rèn)依賴于對(duì)漏洞的探測(cè)分析結(jié)果。

●根據(jù)信息收集階段梳理的企業(yè)資產(chǎn)信息（包括Web指紋、高危服務(wù)等），利用漏洞掃描器、指紋對(duì)應(yīng)的已知漏洞或自行代碼審計(jì)挖掘的0day漏洞來(lái)進(jìn)行外網(wǎng)打點(diǎn);

●尋找到可被利用的攻擊突破口后，確認(rèn)外部攻擊入侵路徑并進(jìn)行攻擊驗(yàn)證。

※ 應(yīng)對(duì)要訣:非必要不暴露，先緩解再修復(fù)

完成資產(chǎn)清點(diǎn)后如何對(duì)藍(lán)軍的攻擊路徑進(jìn)行封堵?首先，企業(yè)需進(jìn)一步收斂資產(chǎn)暴露面，做到非必要不暴露，必須對(duì)外的業(yè)務(wù)務(wù)必重點(diǎn)加固。針對(duì)漏洞風(fēng)險(xiǎn)，集成三道防線和云安全中心統(tǒng)籌能力對(duì)漏洞等互聯(lián)網(wǎng)暴露面做有效收斂。

Step3?滲透攻擊:順手牽羊，乘虛而入

當(dāng)分析得到有效漏洞入侵攻擊路徑之后，藍(lán)軍將針對(duì)目標(biāo)服務(wù)器的脆弱性發(fā)起滲透攻擊。

●利用反序列化漏洞、命令執(zhí)行漏洞、代碼執(zhí)行漏洞、任意文件上傳漏洞、文件包含漏洞、表達(dá)式注入漏洞、JNDI注入漏洞、SSTI、SSI、XXE、SQL注入、未授權(quán)訪問漏洞等類型的已知高危漏洞或挖掘的0day漏洞來(lái)getshell或獲取敏感數(shù)據(jù)庫(kù)權(quán)限;

●獲取外網(wǎng)入口點(diǎn)，為進(jìn)一步進(jìn)行橫向滲透打下?lián)c(diǎn)。

※ 應(yīng)對(duì)要訣:知己知彼，對(duì)癥下藥

針對(duì)不同類型的攻擊，可通過云安全中心聯(lián)動(dòng)三道防線部署全面的安全管控策略。針對(duì)已知來(lái)源、手法攻擊進(jìn)行實(shí)時(shí)檢測(cè)、攔截;針對(duì)未知威脅，利用云防火墻網(wǎng)絡(luò)蜜罐能力，將仿真服務(wù)通過探針暴露在公網(wǎng)對(duì)未知攻擊者進(jìn)行誘捕并反制。

Step4?橫向滲透:聲東擊西，持續(xù)滲透

藍(lán)軍成功通過外網(wǎng)打點(diǎn)突破邊界之后，會(huì)基于getshell的入口點(diǎn)繼續(xù)進(jìn)行橫向滲透，逐步擴(kuò)大攻擊成果。

●為了深入了解內(nèi)網(wǎng)情況，攻擊者會(huì)先對(duì)本機(jī)系統(tǒng)信息、網(wǎng)絡(luò)架構(gòu)信息、域信息等進(jìn)行收集，梳理目標(biāo)內(nèi)網(wǎng)資產(chǎn)信息（包括內(nèi)網(wǎng)網(wǎng)段、開啟的主機(jī)、服務(wù)等）;

●針對(duì)內(nèi)網(wǎng)存在漏洞的資產(chǎn)進(jìn)行滲透攻擊并搭建內(nèi)網(wǎng)隧道，增加滲透入侵攻擊路徑。

※ 應(yīng)對(duì)要訣:準(zhǔn)確隔離，部署陷阱

針對(duì)內(nèi)網(wǎng)滲透攻擊，需進(jìn)行細(xì)粒度網(wǎng)絡(luò)隔離。同時(shí)主動(dòng)出擊，對(duì)藍(lán)軍行為進(jìn)行持續(xù)監(jiān)控，在內(nèi)網(wǎng)增設(shè)網(wǎng)絡(luò)蜜罐陷阱，有效溯源反制攻擊者，拖延攻擊時(shí)間，為正常業(yè)務(wù)爭(zhēng)取寶貴的安全加固時(shí)間。

Step5?瞞天過海，長(zhǎng)期潛伏

在后滲透階段，藍(lán)軍會(huì)盡可能保持對(duì)系統(tǒng)的控制權(quán)，并進(jìn)行痕跡清理防止?jié)B透入侵行為被溯源。

●根據(jù)是否為高權(quán)限用戶來(lái)決定是否進(jìn)行權(quán)限提升;拿到高權(quán)限之后，為了持久化滲透目標(biāo)內(nèi)網(wǎng)，藍(lán)軍會(huì)利用各種持久化后門技術(shù)來(lái)進(jìn)行長(zhǎng)久的權(quán)限維持，包括Rootkit、內(nèi)存馬、crontab后門、寫ssh公鑰、LD_PRELOAD劫持函數(shù)、新增隱藏用戶、替換bash后門、環(huán)境變量植入后門、啟動(dòng)項(xiàng)后門等等利用方式;

●在整個(gè)滲透測(cè)試目標(biāo)達(dá)成之后，藍(lán)軍會(huì)對(duì)滲透的目標(biāo)主機(jī)進(jìn)行痕跡清除，包括history清理、應(yīng)用日志清理、系統(tǒng)日志清理、權(quán)限維持后門清理、新增用戶清理等。

※ 應(yīng)對(duì)要訣:做好日志管理，有效取證溯源

在這個(gè)階段，藍(lán)軍需要持續(xù)做好日志管理，以確保無(wú)論是在事前、事中、事后，都可以通過日志分析提升自身的應(yīng)對(duì)效率?？梢越柚瓢踩行穆?lián)動(dòng)分析報(bào)告、攻擊日志統(tǒng)一管理能力，結(jié)合威脅情報(bào)提供攻擊者行為畫像（包括戰(zhàn)術(shù)、手法、環(huán)境、樣本等），有效實(shí)現(xiàn)攻擊溯源和反制。

三道防線

建立有效全面的防護(hù)體系

根據(jù)過往重保經(jīng)驗(yàn)，外網(wǎng)打點(diǎn)、釣魚攻擊、內(nèi)存馬攻擊在攻防演練場(chǎng)景中經(jīng)常出現(xiàn)。為幫助企業(yè)建立更全面、有效的防護(hù)體系，騰訊安全推出“一站式重保解決方案，構(gòu)筑三道堅(jiān)實(shí)的安全防線。

（騰訊云上安全三道防線， 一站式重保解決方案）

第 一道防線——騰訊云防火墻:提供訪問控制、入侵防御、身份認(rèn)證等安全能力，可自動(dòng)梳理云上資產(chǎn)、發(fā)現(xiàn)并收斂暴露面;

第二道防線——騰訊云Web應(yīng)用防火墻:可為企業(yè)提供面向Web網(wǎng)站、APP和小程序的多端一體化防護(hù)能力，幫助用戶應(yīng)對(duì)Web攻擊、0day漏洞利用、爬蟲、敏感數(shù)據(jù)泄漏、DDoS攻擊等安全防護(hù)問題，保障重保及常態(tài)情景下的業(yè)務(wù)與數(shù)據(jù)安全;

第三道防線——騰訊云主機(jī)/容器安全:可為企業(yè)實(shí)時(shí)監(jiān)控內(nèi)存馬、變種病毒等新型威脅，一鍵準(zhǔn)確防御熱點(diǎn)漏洞攻擊，自動(dòng)化調(diào)查入侵事件;為云上、云下主機(jī)/容器提供進(jìn)程級(jí)縱深防護(hù);

安全中心——管理三道防線、多賬號(hào)、多云統(tǒng)一管理:聯(lián)動(dòng)各產(chǎn)品原子能力，實(shí)現(xiàn)云安全的一站式聯(lián)動(dòng)控制、功能互通與數(shù)據(jù)協(xié)同，極大提效安全運(yùn)營(yíng)與響應(yīng)。

由于云安全的范疇十分寬泛，這里選擇幾個(gè)典型的攻防演練場(chǎng)景，為遇到類似問題的客戶提供“錦囊”。

重保場(chǎng)景下基于情報(bào)的自動(dòng)化封禁:

在執(zhí)行重保任務(wù)或攻防演練期間，往往面臨著攻擊數(shù)量和頻次的指數(shù)級(jí)增長(zhǎng)，原有的防御體系會(huì)瞬間承壓。通過人工手動(dòng)封禁IP，無(wú)法面對(duì)重大安全保障活動(dòng)期間的快速響應(yīng)要求。

那么在發(fā)現(xiàn)惡意IP訪問、內(nèi)網(wǎng)反連C2服務(wù)器端時(shí)，必須實(shí)時(shí)自動(dòng)化封禁以實(shí)現(xiàn)準(zhǔn)確打擊，并降低誤傷概率。云端（通過云WAF和WAF的API）、數(shù)據(jù)中心(通過WAF)集成威脅情報(bào)平臺(tái)，自動(dòng)導(dǎo)入威脅來(lái)源種子，實(shí)施自動(dòng)化的導(dǎo)入和封禁。

同時(shí)，還可以利用威脅情報(bào)平臺(tái)集成開源情報(bào)、商業(yè)情報(bào)和安全團(tuán)隊(duì)自研情報(bào)，增強(qiáng)打擊力度。

（騰訊安全威脅情報(bào)基于多場(chǎng)景復(fù)雜異構(gòu)的情報(bào)源積累）

APP&小程序安全防護(hù)體系:

APP和小程序是多數(shù)企業(yè)鏈接用戶和客戶的最直接路徑，同樣也是近幾年安全風(fēng)險(xiǎn)的最 大敞口。以汽車行業(yè)為例，供應(yīng)鏈上下游聯(lián)動(dòng)、內(nèi)部管理、客戶服務(wù)、生產(chǎn)交付等，往往都依賴APP&小程序，使得大量新的終端（手機(jī)、PAD、車機(jī)、車輛系統(tǒng)等）具備聯(lián)網(wǎng)能力。

黑客或者攻擊方，很有可能針對(duì)APP&小程序的漏洞發(fā)起攻擊。通過騰訊云安全提供的小程序安全加速防護(hù)體系，可以幫助客戶實(shí)現(xiàn)Web端、小程序端和APP端的統(tǒng)一安全保障。

首先它通過微信的私有安全協(xié)議，二次加密封裝企業(yè)的數(shù)據(jù)和接口，大大提高了外部抓包破解門檻，有效保障了企業(yè)端到端的數(shù)據(jù)傳輸安全;其次通過整合端側(cè)賬號(hào)風(fēng)控能力、用戶特征分析模型、分布式安全抗D能力和WAF的AI+規(guī)則雙引擎防護(hù)優(yōu)勢(shì)，為用戶APP和小程序提供了“端+網(wǎng)關(guān)”的的雙重安全保障，全方位保障重保時(shí)期企業(yè)用戶業(yè)務(wù)的安全、有效、穩(wěn)定運(yùn)行。

AI安全大模型賦能基礎(chǔ)安全解決方案:

大模型正在加速產(chǎn)業(yè)應(yīng)用的落地，在云安全范疇，同樣可以通過AI大模型的力量，來(lái)改善和強(qiáng)化產(chǎn)品體驗(yàn)與能力。另一方面，云平臺(tái)也可以通過AI算法的增強(qiáng)，提升剪出效率，優(yōu)化性能占用率。

在安全服務(wù)方面，引入大模型能力提升服務(wù)的精度、增強(qiáng)響應(yīng)時(shí)間和自動(dòng)化服務(wù)的程度和覆蓋面。收斂到攻防的場(chǎng)景，一是利用AI針對(duì)高頻操作場(chǎng)景實(shí)現(xiàn)自動(dòng)化，使原本繁雜的人工處置工作被大大提速;另一方面比較依賴知識(shí)擴(kuò)展的場(chǎng)景，也可以利用AI幫助做一些分析，使復(fù)雜問題簡(jiǎn)單化、顯性化。

此外，涉及到數(shù)據(jù)庫(kù)和開發(fā)環(huán)境的問題，可以基于AI的引入，最小化事件響應(yīng)時(shí)間，快速觸達(dá)事件的本因，從而實(shí)現(xiàn)快速處理。

（推廣）