近年來，全國性攻防演練逐漸常規(guī)化。攻防演練不僅是對各企事業(yè)單位網(wǎng)絡(luò)安全能力的大考，更是透視未來安全趨勢、升級防御策略的絕佳窗口。

在技術(shù)升級與威脅演變的雙重驅(qū)動下，2024年的攻防演練呈現(xiàn)出哪些新趨勢和新特點？這些變化對于企事業(yè)單位的安全能力建設(shè)又提出了哪些新要求？

瑞數(shù)信息作為多年深耕bots自動化攻擊和動態(tài)安全技術(shù)的專業(yè)安全廠商，已連續(xù)數(shù)年參與國家級攻防演練，助力眾多企事業(yè)單位提升攻防演練的防守競爭力。此次，瑞數(shù)信息安全響應(yīng)中心研究員陸攀對今年攻防演練的新趨勢做出了預(yù)判，并為企事業(yè)單位構(gòu)建實戰(zhàn)化的安全體系提出了對策。

2024攻防演練四大趨勢凸顯

自2016年以來，攻防演練已走過九個年頭，從最初的小規(guī)模試點，到如今的大范圍紅藍(lán)對抗，攻防演練的執(zhí)行力度逐年增強(qiáng)。

瑞數(shù)信息安全響應(yīng)中心研究員陸攀表示，隨著時間的推移，攻防演練的規(guī)模越來越大，也越來越呈現(xiàn)出攻擊力度強(qiáng)、攻擊點范圍廣、防護(hù)難度大的特點。

比如，2019年開始出現(xiàn)0day攻擊；2021年0day攻擊常態(tài)化，供應(yīng)鏈攻擊和社工開始展露頭腳，第一次出現(xiàn)沙盤推演；2023年更是達(dá)到了歷史規(guī)模之最大，防守隊和攻擊隊都接近300家，且0day、供應(yīng)鏈、社工成為三大攻擊利器。

隨著攻防演練的快速演進(jìn)，攻擊手法也在不斷變化升級?；跉v年攻防演練的攻擊情況，瑞數(shù)信息安全響應(yīng)中心研究員陸攀認(rèn)為，2024年攻防演練的攻擊手法將呈現(xiàn)四大趨勢：

• 趨勢一：0day漏洞轉(zhuǎn)向供應(yīng)鏈2023年攻防演練期間暴露出的0day漏洞數(shù)量接近300個，web漏洞占比90%以上，基本上覆蓋了VPN、遠(yuǎn)程工具、辦公軟件、OA系統(tǒng)、聊天工具、安全產(chǎn)品等。
  
  換句話說，0day攻擊方向已經(jīng)從之前的業(yè)務(wù)系統(tǒng)、安全設(shè)備逐步轉(zhuǎn)向個人辦公軟件，從web應(yīng)用組件轉(zhuǎn)向供應(yīng)鏈，即每個人都可能是被攻擊的對象。
  
• 趨勢二：多元化攻擊近幾年攻擊渠道也越來越多源，從傳統(tǒng)的網(wǎng)絡(luò)接口，演變成各種智能終端，如：辦公大廳自助機(jī)、攝像頭、微信、小程序、APP等。
  
  在這些供應(yīng)鏈攻擊中，攻擊方法也是花樣百出，結(jié)合社工釣魚玩出了新高度，不僅是技術(shù)的比拼，還是心理戰(zhàn)術(shù)的博弈。
  
  比如，在2023年攻防對抗中，攻擊隊利用供應(yīng)鏈的的補(bǔ)丁進(jìn)行投毒，欺騙用戶進(jìn)行升級，從而控制系統(tǒng)；還有各種主題的釣魚郵件，如：簡歷招聘、舉報信、高溫補(bǔ)貼、社保繳費，讓人忍不住點進(jìn)去。
  
• 趨勢三：工具攻擊更隱蔽、更智能相較于過去單兵工具作戰(zhàn)，現(xiàn)在的攻擊工具越來越智能化和一體化。
  
  一方面，各種特征流量都被加密，難以捕捉到攻擊特征，結(jié)合代理池的多源低頻繞過，更難以被發(fā)現(xiàn)；另一方面，一體化的攻擊工具可以實現(xiàn)一鍵快速打點，自動實現(xiàn)資產(chǎn)指紋收集、漏洞自動檢測、利用以及獲取權(quán)限等功能。
  
  此外，攻擊隊還精心設(shè)計了專門接口，以加快攻擊過程，實現(xiàn)工具集成化、平臺化，形成完整的自動化攻擊鏈。
  
• 趨勢四：API接口成為主要攻擊目標(biāo)

隨著國家對數(shù)據(jù)安全的重視，最近兩年攻防演練計分將數(shù)據(jù)分提到了新高度，API接口由此成為了主要的攻擊目標(biāo)，對API發(fā)起的業(yè)務(wù)攻擊層出不窮，如：Swagger文件、撞庫、批量獲取數(shù)據(jù)等。

如何做好常態(tài)化安全防御？

隨著攻防對抗強(qiáng)度的加大，安全工作者“疲于奔命”的感受越來越深。在攻防對抗中，攻易難守，攻擊只需要突破一個點就可能拿下目標(biāo)，而防守者卻要面面俱到。尤其是隨著業(yè)務(wù)系統(tǒng)的不斷擴(kuò)張，攻擊面也在與日俱增，安全運營成本不斷增高。

面對這種被動局面，作為防守方的企事業(yè)單位該如何應(yīng)對不斷升級的攻擊手法，構(gòu)建常態(tài)化的安全防御體系？對此，瑞數(shù)信息安全響應(yīng)中心研究員陸攀給出了四個對策：

• 防御策略一：戰(zhàn)線整理-縮小攻擊面

攻擊的本質(zhì)是信息收集，收集的情報越詳細(xì)，攻擊難度也就越小，成果也就會越豐富。因此，防守隊可以進(jìn)行戰(zhàn)線整理，加大攻擊隊信息收集的難度，縮小攻擊面。同時，做好以下六點，能夠減少90%以上的攻擊面：

1. 敏感信息排查：排查掃描敏感信息是否有泄露到公網(wǎng)上，如源碼、賬號密碼、人員信息等。
2. 攻擊面收斂：排查攻擊面，如常見的網(wǎng)站后臺、測試系統(tǒng)、僵尸系統(tǒng)、高危服務(wù)端口等。
3. 攻擊路徑梳理：梳理每個業(yè)務(wù)系統(tǒng)的訪問路徑，尤其是重要系統(tǒng)、全國聯(lián)網(wǎng)系統(tǒng)。
4. 安全措施排查：梳理每個系統(tǒng)的安全防御情況，如安全補(bǔ)丁、訪問策略、安全加固定等。
5. 外部接入網(wǎng)絡(luò)梳理：梳理外部接入情況，如上下級單位、供應(yīng)鏈服務(wù)商的網(wǎng)絡(luò)接入等。
6. 隱蔽入口梳理：梳理隱蔽入口的梳理，如私自搭建的WIFI、不用的VPN入口、遠(yuǎn)程辦公等。

• 防御對策二：供應(yīng)鏈安全

面對越來越多的供應(yīng)鏈攻擊，可以基于以下四點來建設(shè)：

1. 供應(yīng)鏈管理策略，建立健全內(nèi)部安全管理制度和標(biāo)準(zhǔn)規(guī)范，將軟件供應(yīng)鏈安全融入已有的安全管理安全技術(shù)體系中，審查供應(yīng)商的安全實踐、軟件開發(fā)生命周期等；
2. 保障供應(yīng)鏈完整性驗證，監(jiān)測是否被篡改過；
3. 供應(yīng)商訪問控制，比如實現(xiàn)最小權(quán)限訪問原則、制定高強(qiáng)度密碼機(jī)制等；
4. 安全測試，定期對供應(yīng)鏈軟件和產(chǎn)品做安全測試和漏洞評估。

• 防御對策三：社工安全

針對人員安全意識建設(shè)是一個永不過時的需求，可以從以下四點出發(fā)：

1. 安全意識：定期對全員工進(jìn)行安全培訓(xùn)，組織內(nèi)部釣魚郵件演練，不斷持續(xù)強(qiáng)化防范措施。
2. 部署釣魚郵件檢測設(shè)備：部署反垃圾郵件網(wǎng)關(guān)、釣魚郵件檢測設(shè)備、郵件內(nèi)容過濾系統(tǒng)等，過濾可疑郵件鏈接和附件，主動發(fā)現(xiàn)釣魚郵件惡意鏈接、惡意附件，主動攔截郵件并及時通知用戶。
3. 終端側(cè)安全：及時更新漏洞補(bǔ)丁，避免遠(yuǎn)程命令執(zhí)行、本地提權(quán)等常用漏洞，安裝殺毒軟件更新，對落地文件靜態(tài)+動態(tài)查殺掃描，做到即使被釣魚了，但是不淪陷。
4. 網(wǎng)絡(luò)側(cè)安全：釣魚成功但是不出網(wǎng)，危害小一大半。出網(wǎng)策略嚴(yán)格限制，如：根據(jù)白名單、IP域名白名單進(jìn)行全流量監(jiān)控、網(wǎng)絡(luò)安全訪問控制劃分；還可以針對釣魚郵件攻擊進(jìn)行溯源反制，獲取攻擊者信息。

• 防御對策四：0day防御

針對最難防御的0day，可以從以下四點去建設(shè)：

1. 全方位防控：針對所有流量、日志、主機(jī)行為進(jìn)行監(jiān)控分析。
2. 核心防御：集中力量辦大事，對核心系統(tǒng)、重要系統(tǒng)、集權(quán)系統(tǒng)、靶標(biāo)系統(tǒng)進(jìn)行重點防御，如：設(shè)置嚴(yán)格訪問策略、多因素登錄、安全加固等。
3. 安全設(shè)備：部署安全設(shè)備：一是蜜罐，對0day實施誘騙和誘捕；二是動態(tài)防御設(shè)備，防御0day批量探測、掃描和工具利用。
4. 威脅情報：建設(shè)威脅情報體系，第一時間獲取最新的0day信息，提前做好部署，防患于未然。

結(jié)語

無論是政策法規(guī)、行業(yè)標(biāo)準(zhǔn)引導(dǎo)，還是網(wǎng)絡(luò)安全態(tài)勢變得越來越復(fù)雜，攻防演練的標(biāo)準(zhǔn)都會越來越高。在這種實戰(zhàn)化安全的趨勢下，政企機(jī)構(gòu)需建立起常態(tài)化的防御體系，從人防到技防，從被動到主動。

瑞數(shù)信息已推出多項安全產(chǎn)品，覆蓋Web、移動App、H5、API及IoT應(yīng)用，從應(yīng)用防護(hù)到業(yè)務(wù)透視，建立了從動態(tài)防御到持續(xù)對抗的全面防護(hù)體系。

針對攻防演練、重大活動保障這樣的特殊場景，瑞數(shù)信息也相應(yīng)推出了“重大活動動態(tài)安全保障”、“網(wǎng)站護(hù)盾”等解決方案，助力企事業(yè)單位更高效、靈活地應(yīng)對復(fù)雜攻擊。