“網(wǎng)絡(luò)安全的本質(zhì)在對(duì)抗，對(duì)抗的本質(zhì)在攻防兩端能力較量。”從美國(guó)的“網(wǎng)絡(luò)風(fēng)暴”的開(kāi)始，網(wǎng)絡(luò)攻防演練就被世界各國(guó)所重視。作為檢驗(yàn)和提高網(wǎng)絡(luò)安全應(yīng)急響應(yīng)能力的重要手段，攻防演練對(duì)完善網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機(jī)制與提高技術(shù)防護(hù)能力具有重要意義。

近幾年國(guó)內(nèi)攻防演練開(kāi)始常態(tài)化，受到各行各業(yè)的高度重視，成為檢驗(yàn)政府機(jī)構(gòu)、企事業(yè)單位、重要行業(yè)的安全體系建設(shè)水平，促進(jìn)其安全運(yùn)營(yíng)能力提升的常規(guī)手段。攻防演練的常態(tài)化對(duì)企事業(yè)單位的安全防護(hù)提出了更高的要求，促進(jìn)了網(wǎng)絡(luò)安全工作從合規(guī)型向?qū)崙?zhàn)型進(jìn)行轉(zhuǎn)變，落實(shí)“三化六防”，切實(shí)提升企業(yè)安全體系建設(shè)的水平。

一、攻擊手段逐步實(shí)戰(zhàn)化

隨著網(wǎng)絡(luò)安全攻防演練規(guī)模不斷擴(kuò)大，程度不斷升級(jí)，新的攻擊手段層出不窮，隱秘高效的自動(dòng)化攻擊也越來(lái)越多。當(dāng)前攻防演練的幾個(gè)主要發(fā)展趨勢(shì)：

首先，高級(jí)的攻擊手段如0day漏洞攻擊、定制工具等在演練中開(kāi)始頻繁使用。尤其是先前被為戰(zhàn)略資源的0day漏洞，已經(jīng)下放到日常演練中使用，極大的提升了防守難度。同時(shí)由于通用的工具易被防守方攔截，攻擊方開(kāi)始開(kāi)發(fā)自己的攻擊平臺(tái)和工具，編寫(xiě)定制化的腳本，來(lái)繞過(guò)防護(hù)體系。這些未知的工具給也防守方造成了相當(dāng)大的麻煩。

其次，動(dòng)態(tài)加密技術(shù)的使用，讓依靠特征檢測(cè)的防護(hù)體系失去了作用。哥斯拉、冰蝎等工具的出現(xiàn)，可謂讓“紅隊(duì)竊喜，藍(lán)隊(duì)落淚”，這種混淆加密、動(dòng)態(tài)加載的攻擊讓傳統(tǒng)的 WAF、IDS 設(shè)備難以檢測(cè)，給防守方的威脅狩獵帶來(lái)極大挑戰(zhàn)，對(duì)基于規(guī)則的防護(hù)手段是一個(gè)降維的打擊。最后，攻擊隊(duì)伍常采用多源低頻的手段，讓防守方封殺IP的動(dòng)作難以生效。在一個(gè)真實(shí)攻擊案例中，根據(jù)12小時(shí)監(jiān)測(cè)結(jié)果顯示，攻擊方累計(jì)用過(guò)的IP數(shù)量超過(guò)了65萬(wàn)個(gè)，對(duì)于防守方來(lái)說(shuō)，再用封殺IP的手段進(jìn)行攔截，不管是工作量還是安全設(shè)備的承載能力，都是不現(xiàn)實(shí)的。在近年的攻防演練中，攻擊手法逐步向?qū)崙?zhàn)化靠攏。除了上述這些方式外，攻擊方還會(huì)尋找和探測(cè)人員和管理上的漏洞，如口令問(wèn)題、帳號(hào)管理問(wèn)題、訪(fǎng)問(wèn)權(quán)限管理等，釣魚(yú)郵件、社工手段也頻繁被使用。

二、動(dòng)態(tài)防護(hù) 實(shí)現(xiàn)從“人防”到“技防”

攻易守難，在演練中如果防守方還在依托于人防，讓人不斷來(lái)監(jiān)測(cè)分析一個(gè)個(gè)攻擊事件、響應(yīng)處置，就會(huì)嚴(yán)重滯后于攻擊方，陷入一個(gè)不斷亡羊補(bǔ)牢、疲于奔命，被攻擊方牽著鼻子走的被動(dòng)過(guò)程。

“攻擊所帶來(lái)的新變化，需要從人防轉(zhuǎn)變到技防以應(yīng)對(duì)?！?，簡(jiǎn)單來(lái)講，就是不管在攻防演練、重?；顒?dòng)、還是日常的安全運(yùn)維，要通過(guò)技術(shù)的手段，自動(dòng)化的處理掉各類(lèi)攻擊，將人從重復(fù)性工作中釋放出來(lái)去做更有價(jià)值的事，做到更加有效的防守。

如果要達(dá)到“技防”的目的，就得有的放矢，先分析清楚攻擊的階段。無(wú)論是何種攻擊，歸根結(jié)底都可分成前期、中期、后期三個(gè)階段，在攻防演練期間表現(xiàn)得尤為明顯。

前期，攻擊隊(duì)伍主要以自動(dòng)化攻擊為主，主要目的在于信息收集。利用自動(dòng)化工具做批量掃描、路徑遍歷、口令破解、漏洞探測(cè)等。

完成了這些工作，攻擊隊(duì)伍就會(huì)轉(zhuǎn)入第二階段，以手工攻擊、多源低頻、重點(diǎn)突破為主。例如在前期發(fā)現(xiàn)了一個(gè)可能存在漏洞的系統(tǒng)，就會(huì)針對(duì)這個(gè)系統(tǒng)做重點(diǎn)分析，發(fā)起定向打擊，并對(duì)系統(tǒng)的安全措施進(jìn)行突破。如果成功地拿下了這個(gè)系統(tǒng)，攻方此時(shí)已經(jīng)獲得了一定的權(quán)限，就會(huì)進(jìn)入到后期階段，以次系統(tǒng)作為跳板，開(kāi)始橫向移動(dòng)、核心滲透。這時(shí)攻方的主要工作就是對(duì)已經(jīng)獲取的權(quán)限做一個(gè)提升，搭建跳板，然后開(kāi)始對(duì)內(nèi)網(wǎng)更核心的系統(tǒng)做探測(cè)，做滲透。那么，清楚了攻方的“三板斧”，就可以對(duì)癥下藥，針對(duì)這三個(gè)階段，來(lái)做相應(yīng)的防守。

首先是“攔工具”，對(duì)工具類(lèi)的探測(cè)利用進(jìn)行攔截，這是針對(duì)攻擊前期階段的核心工作之一。

在具體實(shí)現(xiàn)上，可采取分層分級(jí)的對(duì)抗策略。如對(duì)簡(jiǎn)單的腳本工具，可以不關(guān)心這些腳本的請(qǐng)求，而是直接檢測(cè)這個(gè)腳本是不是具有JS（Javascript）的解析能力，再加入一些復(fù)雜的令牌機(jī)制，一些代碼混淆的操作，來(lái)大大提升攻擊者的門(mén)檻。

對(duì)更高一層的具備JS解析能力的工具，可以通過(guò)環(huán)境檢測(cè)、行為識(shí)別，來(lái)發(fā)現(xiàn)偽造行為和異常訪(fǎng)問(wèn)。

更高級(jí)的驅(qū)動(dòng)瀏覽器內(nèi)核方式、被動(dòng)掃描方式，可以突破前面的防御手段，那么在這個(gè)層面上就需要做一些重放性的檢測(cè)、動(dòng)態(tài)挑戰(zhàn)、對(duì)敏感信息做隱藏，讓攻擊者獲取不到有價(jià)值的信息。還可以通過(guò)指紋關(guān)聯(lián)的形式，對(duì)攻擊者發(fā)起的一些多源低頻的攻擊來(lái)做檢測(cè)。

通過(guò)這些方法，可以讓攻方的工具探測(cè)無(wú)功而返。除了對(duì)于傳統(tǒng)的漏洞掃描攻擊外，這種防護(hù)體系，還可以實(shí)現(xiàn)對(duì)0day漏洞的無(wú)規(guī)則防護(hù)，原理就是動(dòng)態(tài)防護(hù)體系不是基于已知特征的，而是基于請(qǐng)求行為的判斷，只要不是正常用戶(hù)的訪(fǎng)問(wèn)就會(huì)被攔截。

再如多源低頻攻擊，動(dòng)態(tài)防護(hù)的方法是通過(guò)令牌機(jī)制、指紋溯源的手段，對(duì)多源低頻攻擊做關(guān)聯(lián)性的識(shí)別分析，只要做到基于設(shè)備指紋的攻擊識(shí)別，攻擊者無(wú)論怎么換IP，都無(wú)法逃脫。還可以通過(guò)IP共用的現(xiàn)象，把幾個(gè)設(shè)備指紋進(jìn)行關(guān)聯(lián)，對(duì)整個(gè)攻擊團(tuán)隊(duì)進(jìn)行攻擊畫(huà)像。

其次是“擾人工”，對(duì)人工滲透的行為進(jìn)行迷惑干擾，加大攻擊者的分析判斷難度。

通過(guò)Web代碼混淆、JS混淆、Cookie混淆、前端反調(diào)試、中間人檢測(cè)等，對(duì)重要的信息進(jìn)行保護(hù)，對(duì)攻擊者進(jìn)行動(dòng)態(tài)的干擾，讓攻擊者步步維艱，既無(wú)法找到可利用的信息，更無(wú)法提交相應(yīng)的請(qǐng)求。

最后是“斷跳板”，當(dāng)攻擊者獲取了系統(tǒng)的權(quán)限時(shí)，對(duì)攻擊者所利用的WebShell等跳板工具進(jìn)行阻斷。動(dòng)態(tài)防護(hù)的優(yōu)勢(shì)在于對(duì)“冰蝎”這種動(dòng)態(tài)加密的工具，雖然不能通過(guò)固定特征來(lái)識(shí)別，但可以通過(guò)令牌檢測(cè)等方法來(lái)動(dòng)態(tài)判斷是否來(lái)自正常用戶(hù)，來(lái)做相應(yīng)的阻斷，而不再關(guān)心通訊的具體內(nèi)容。

動(dòng)態(tài)防護(hù)體系的價(jià)值，在于對(duì)自動(dòng)化攻擊、0day漏洞、多源低頻攻擊都能做到有效的防護(hù)，并且通過(guò)分級(jí)分層的對(duì)抗思路，多維度的方法組合，最終實(shí)現(xiàn)主動(dòng)防御。

更重要的是，動(dòng)態(tài)防護(hù)是一個(gè)平戰(zhàn)結(jié)合的理念。不只是針對(duì)攻防演練和大型重保，對(duì)企業(yè)日常的安全運(yùn)維，動(dòng)態(tài)防護(hù)也有很好的效果，既提升了企業(yè)的體系化防御能力，也極大地降低了人力成本。

最后，對(duì)企業(yè)如何在攻防演練中有備而戰(zhàn)。首先企業(yè)要對(duì)資產(chǎn)進(jìn)行梳理，摸清家底，明確有多少資產(chǎn)暴露在外，盡可能地收縮攻擊面。其次，對(duì)系統(tǒng)要做好體檢，及時(shí)打補(bǔ)丁，雖然0day攻擊越來(lái)越多，但實(shí)際上因?yàn)檠a(bǔ)丁不及時(shí)，而被通過(guò)已知漏洞攻陷的案例更為常見(jiàn)。再次，要謹(jǐn)防社工攻擊，人是安全防線(xiàn)最薄弱的一環(huán)，安全意識(shí)教育十分重要。最后，要盡可能深藏靶標(biāo)系統(tǒng)，做好訪(fǎng)問(wèn)控制，加大攻擊難度。