1 概述

随着网络技术的不断发展和互联网应用的普及，网络空间安全问题成为了国家安全保障体系中的重要一环。攻防演练成为了一种重要的手段，用于检验及提升信息化安全防护能力，这对于保障国家网络安全稳定具有至关重要的作用。

攻防演练，本质是人与人之间的对抗。网络安全需网络安全人才来维护，是白帽和黑帽之间的较量，而白帽是建设网络强国的重要资源。攻防演练集结了国内顶尖的攻防力量，以不限制手段、路径，进行获取权限并攻陷指定靶机为目的实战攻防演练，攻防演练不仅能够发现清楚自身技术短板所在，并加以改进，还能发现网络安全人才，提升安全技术。

参与攻防演练，能够提早发现企业网络安全问题所在。针对问题及时整改，加强网络安全建设力度，提升企业的网络安全防护能力。

1.1 历年攻防演练现状
从历年攻防演练开展的情况来看，以下几个问题，一直以来都是防守方的痛点：
（1） 社工钓鱼一击即中：并非所有员工都具备良好的安全办公习惯和安全意意识，因此，在攻防演练期间社会工程学攻击往往是最为直接且最为有效能够获取重要资产信息的手段，攻击队为提高攻击成功率，往往会对目标企业的财务、商务等相关部门群发钓鱼邮件，进而引导其下载木马文件，最终控制其终端。
（2） 防护体系覆盖不全：大部分单位的防护重心放在边界，未覆盖完整的业务场景，忽略了内网安全建设，边界一旦被突破，攻击方如入无人之境。
（3） 自动化处理率低：没有建立有效的安全事件监控和响应机制，没有稳定可靠的威胁情报来源，主要靠人工分析，这就对安全运营人员提出了较高的要求，而许多单位的人员配备并不能满足攻防演练场景下的专业、高效运营需求，从而导致事件检出率和处理效率低，对攻击威胁的处理相对滞后，陷入被动局面。
（4） 弱口令存在高：弱口令一直是攻防演练期间最普遍的问题，除了对云计算平台、大数据平台等核心的业务系统及内网的弱口令问题重视程度不够，容易导致大量资产失陷。
（5） 资产管理难度大：往往在攻防演练期间发生的安全事件，都是平时疏于维护的信息资产，甚至意外发现还有很多未登记的资产系统，缺少全面化资产发现的手段，特别是互联网资产的管控不足，攻击面大、敏感信息泄露未关注。

1.2 2023年攻防演练展望
我们认为，在即将到来的2023攻防演练中，防守方的布防工作应该重点考虑以下几点：
（1） 攻击手法的变化：攻击手段会逐渐APT化，攻击更精准，0day数量持续上升，社工钓鱼攻击将成为最主要突破手段，社工对应攻击队来说是个捷径，效率直线上升；
（2） 供应链安全：越来越多的供应商在参与信息化建设，供应链可能庞大而复杂，涉及许多供应商做许多不同的事情，脆弱的供应链可能会造成系统损害或者数据丢失等重大安全事故。
（3） 攻击队的“声东击西”：攻击队可能采取“声东击西”的方式，通过大规模扫描分散防守方注意力，实际上是在悄悄攻击其他资产，以此延缓精准攻击被发现的时间；
（4） 外围打点：攻击队会提前储备一些社工资源，进行社工攻击，从终端突破边界；对于外网暴露面会通过自动化的手段全面覆盖，攻击队收集到的暴露面跟防守方感知到的暴露面可能不一样，且攻击队的扫描探测手段都是分布式的，如果被封了，会迅速更换IP继续扫描。

2 企业如何做好防护呢？
为高效、有序完成攻防演练的防护目标，落实防护内容，网宿安全建议企业将演练工作分为三个阶段执行：

5.1 事前阶段
5.1.1 建立防护团队
在攻防演练的事前、事中和事后都有大量的防守工作要开展，专业性的要求较高，繁重的工作任务需要有组织调度机制和足够的网络安全专业化人才，所以健全安全组织架构变成了重中之重，有责任清晰的重保团队才能应对新形势下的网络安全挑战，网宿建议，一个相对完整的重保工作团队至少应该具备以下角色：

5.1.2 互联网暴漏资产全面清查
企业的互联网出口有几个？发布的互联网应用都在用吗？哪些是必要开放的端口？开放的服务是否有漏洞？一些企业很难讲清楚，上述问题中任意一环的疏忽，都可能导致攻击队轻而易举地突破互联网边界。
网宿基于多年的防守经验推出的网宿互联网暴露面资产发现服务能够有效地帮助用户解决上述难题。该服务基于网宿大数据优势，通过智能分析平台和人工二次核查的方式对域名、IP及关键字的综合查询及关联分析，为用户提供互联网资产的发现、识别、监测、稽核等服务，帮助用户发现和梳理互联网未知资产。

5.1.3 脆弱性风险发现
在进行攻防演练前，发现系统中的脆弱性和安全风险非常重要，这有助于识别系统中的弱点并加以修补，并提高攻防演练的效果。
建议在演练前针对当前网络的业务资产的漏洞、配置合规、账号、敏感信息等多方面进行脆弱性风险发现，做好风险识别；并对相应的业务系统存在的安全风险提前做相应的安全加固处理。

5.1.4 安全意识培训与评估服务
要解决因社会工程学攻击造成的影响，最好的措施就是面向全体员工召开安全意识培训。目的是通过大量的当前典型安全事件导入，从感性认知层面对目前的信息安全威胁给予直观、形象的描述，使员工能对当前的信息安全威胁有一个深刻的认识。
基于多年防守经验，网宿提供的安全意识培训服务通过多个攻防实际案例的介绍，对员工日常工作、生活中经常用到的一些工具、系统的安全威胁和防范措施进行分析，以形象化的介绍、持续性的灌输不断强化员工的安全意识，有效预防演练期间的社工威胁。

除此之外，建议使用安全意识评估服务/工具来检验安全意识培训的效果，网宿通过给单位的被测试员工发送钓鱼测试邮件,统计点击钓鱼链接邮件员工数量,输出统计报表并进行全员宣贯,进一步加深员工对恶意邮件的防范意识。

5.1.5 安全体系优化
安全体系优化在攻防演练前是关键，因为攻防演练的目的是测试现有安全体系的强度和弱点，并找出需要改进的方面。只有在演练前先发现安全体系的弱点并加以改进，才能在攻防演练期间得到更好的成绩。
网宿安全在历年的实战演习中为客户引入的“纵深防护”理念的效果已经得到了广泛的验证。纵深防护体系不是安全设备或系统的简单堆积，而是在各个层面有针对性且合理地部署安全防护或检测系统，形成系统间的优势互补，从而实现对安全态势的全面感知能力。通过在云端建立纵深防护体系，与本地纵深防护体系结合，能够层层化解威胁，降低安全风险。
如下图所示，第一道防线为互联网业务系统提供Web应用防火墙、Bot管理、API安全、全站隔离、云封禁和攻击面管理来实现互联网暴露面的全面隐藏，提高应用安全的防护能力；第二道防线通过构建零信任架构体系，实现网络隐身，提高资产的信任指数；第三道防线作用与DMZ区，通过对网络的全流量监控，提高对业务流量的行为特征监控，从而提高内网安全事件的处置能力；第四道防线通过部署主机安全及容器安全进行业务主机的异常监控，提高内网东西流量的监控手段；在第五道防线上提供额外的威胁情报、攻防服务等来来提高对安全事件的监控和响应机制。

除此之外，攻击队IP情报是溯源反制和得分的关键，能力强的攻击队几乎不会使用“官方”IP资源，更多的是使用场外IP进行攻击，且IP资源十分庞大，此外，每个攻击队的目标行业都会均衡分配，政府、央企、国企、金融、媒体等。云安全平台重保情报的重要性便不言而喻，云安全平台拥有海量攻击样本，在演练期间实时分析平台上各行业客户攻击情况，提炼可疑IP并通过邮件或API方式实时同步给客户，还可以将情报一键应用于防护中，在演练期间一键封禁，进一步提升自动化响应的能力。
5.2 事中阶段
该阶段防护工作主要为监控分析，应急响应，事件上报。
 监控分析
演练工作是高密度、高强度的，所面对的攻击队伍专业性极高，因此，对防守方监控分析组成员的专业能力要求也很高，如何聚焦高危事件、收敛告警是其中的关键点，网宿安全建议，可通过以下规则来进行分析：

 应急处置
在攻防演练期间担心的不是发生安全事件，而是事件发生后无从下手，网宿安全专家团队会对真实入侵行为及时响应，并开展阻断工作，协助客户排查服务器上的木马程序，分析攻击者入侵途径并溯源。建议的处置步骤如下：
1、根据攻击者入侵痕迹及告警详情，判断攻击者的入侵途径。
2、排查服务器上是否留下后门，若存在后门，在客户的陪同下清理后门。
3、分析攻击者入侵之后在服务器上的详细操作。
4、根据排查过程中的信息进行溯源。
5、梳理应急处置过程，输出安全建议。
 事件上报
对发现确认的入侵事件，快速编写事件报告并进行上报。建议事先准备好不同类型的事件上报模板，在发生入侵事件后快速填充相关的数据和内容，及时上报挽回失分。
5.3 事后阶段
攻防演练结束后，总结与复盘是必不可少的，通常而言都需要开展总结会议，整理演练数据并分析缺陷，结合当前防护能力提出可落地的能力优化方案和攻防演练技战法，建议可通过以下几点进行分析：
1、演练数据分析：要全面收集确认演练期间的攻击方式、攻击路径、攻击目标及攻击效果等数据，并进行深入分析。通过分析演练数据，可以对自身的防护能力进行评估和优化。
2、模拟攻击效果分析：对演练期间的模拟攻击效果进行评估，包括攻击成功率、攻击持续时间、系统瘫痪时间等指标。通过评估攻击效果，可以了解当前防护措施的薄弱点，并提出有效的改进建议。
3、缺陷分析与整理：对演练中发现的缺陷进行整理和分析，包括漏洞、漏洞修复措施不完善、防护策略不合理等。通过缺陷分析，可以找到薄弱环节，并提出相应的防护措施改进方案。
4、能力优化方案：根据攻防演练的缺陷分析和整理结果，提出能力优化方案，包括漏洞修复、安全策略调整、加强攻击检测和防护等方面，以提升整体的防护能力。
5、技战法总结：总结攻防演练过程中有效的攻防技术和战术，包括攻击方式、防御策略、蓝队红队合作模式等。通过总结技战法，可以为今后的攻防演练提供有力的参考和指导。
攻防演练后的总结与复盘是一个全面评估和优化防护能力的过程，需要深入分析演练数据和攻防效果，找到问题症结并提出解决方案，以不断提升防护能力和提升组织的安全水平。
3 要点总结
随着演练的临近，各单位已进入紧锣密鼓的筹备工作中，无论规则和方式如何变化，“事前、事中、事后”各个阶段对应的各项工作内容都必不可少，网宿安全总结了各个阶段的工作要点，希望能够对演练工作起到帮助，顺利完成年度大考。
事前：
1、制定防御策略和应急预案来应对攻击方可能采取的攻击手段和方式。
2、对系统进行全面的脆弱性风险发现服务，提前规避安全风险。
3、对参与演练的人员进行培训和演练，提高应对攻击的能力和反应速度。
4、建立完善的监控和告警机制，及时发现和处理异常情况。
事中：
1、 实时监控系统运行情况，及时发现和处理异常情况。
2、对攻击行为进行追踪和分析，及时采取相应的防御措施。
3、加强与其他防守方单位的协作和沟通，共同应对攻击行为。
事后：
1、对演练过程进行总结和评估，发现不足之处并及时改进。
2、对攻击行为进行溯源和分析，总结攻击手段和方式，提高防御能力。
3、对参与演练的人员进行反思和总结，提高应对攻击的能力和反应速度。
4、梳理网络体系架构中存在的风险，并制定下一步建设计划。