2024HW藍(lán)紅攻防網(wǎng)絡(luò)安全防御體系

網(wǎng)絡(luò)安全防御體系目錄第一部分 紅藍(lán)對(duì)抗基第1章 認(rèn)識(shí)紅藍(lán)紫實(shí)戰(zhàn)攻防演練為什么要進(jìn)行實(shí)戰(zhàn)攻防演練實(shí)戰(zhàn)攻防演練的發(fā)展現(xiàn)狀藍(lán)隊(duì)什么是藍(lán)隊(duì)藍(lán)隊(duì)演變趨勢(shì)紅隊(duì)什么是紅隊(duì)紅隊(duì)演變趨勢(shì)紫隊(duì)什么是紫隊(duì)紫隊(duì)演變趨勢(shì)實(shí)戰(zhàn)攻防演練中暴露的薄弱環(huán)節(jié)建立實(shí)戰(zhàn)化的安全體系第二部分 藍(lán)隊(duì)視角下的防御體系突第2章 藍(lán)隊(duì)攻擊的4個(gè)階段準(zhǔn)備工作工具準(zhǔn)備專業(yè)技能儲(chǔ)備人才隊(duì)伍儲(chǔ)備目標(biāo)網(wǎng)情搜集何為網(wǎng)情搜集網(wǎng)情搜集的主要工作網(wǎng)情搜集的途徑外網(wǎng)縱向突破何為外網(wǎng)縱向突破外網(wǎng)縱向突破的主要工作外網(wǎng)縱向突破的途徑內(nèi)網(wǎng)橫向拓展何為內(nèi)網(wǎng)橫向拓展內(nèi)網(wǎng)橫向拓展的主要工作內(nèi)網(wǎng)橫向拓展的途第3章 藍(lán)隊(duì)常用的攻擊手段漏洞利用SQL注入漏洞跨站漏洞文件上傳或下載漏洞命令執(zhí)行漏洞敏感信息泄露漏洞授權(quán)驗(yàn)證繞過漏洞權(quán)限提升漏洞口令爆破弱口令口令復(fù)用釣魚攻擊外網(wǎng)釣魚內(nèi)網(wǎng)釣魚釣魚應(yīng)急措施供應(yīng)鏈攻擊網(wǎng)絡(luò)或平臺(tái)提供商安全服務(wù)提供商產(chǎn)品或應(yīng)用提供商VPN仿冒接入隱蔽隧道外連社會(huì)工程學(xué)攻擊近源攻擊第4章 藍(lán)隊(duì)攻擊的必備能力實(shí)戰(zhàn)化能力與傳統(tǒng)能力的區(qū)別實(shí)戰(zhàn)化藍(lán)隊(duì)人才能力圖譜基礎(chǔ)能力進(jìn)階能力高階能力第5章 藍(lán)隊(duì)經(jīng)典攻擊實(shí)例正面突破：跨網(wǎng)段控制工控設(shè)備渾水摸魚：社工釣魚，突破系統(tǒng)偷梁換柱：冒充客戶，突破邊界聲東擊西：混淆流量，躲避偵察迂回曲折：供應(yīng)鏈定點(diǎn)攻擊李代桃僵：旁路攻擊，搞定目標(biāo)順手牽羊：巧妙種馬，實(shí)施控制暗度陳倉：迂回滲透，取得突破短兵相接：近源滲透，直入內(nèi)第三部分 紅隊(duì)視角下的防御體系構(gòu)建第6章 紅隊(duì)防守的實(shí)施階段備戰(zhàn)階段：兵馬未動(dòng)，糧草先行臨戰(zhàn)階段：戰(zhàn)前動(dòng)員，鼓舞士氣實(shí)戰(zhàn)階段：全面監(jiān)測(cè)，及時(shí)處置總結(jié)階段：全面復(fù)盤，總結(jié)經(jīng)第7章 紅隊(duì)常用的防守策略信息清理：互聯(lián)網(wǎng)敏感信息收縮戰(zhàn)線：收斂互聯(lián)網(wǎng)暴露面縱深防御：立體防滲透守護(hù)核心：找到關(guān)鍵點(diǎn)協(xié)同作戰(zhàn)：體系化支撐主動(dòng)防御：全方位監(jiān)控應(yīng)急處突：完備的方案溯源反制：人才是關(guān)第8章 紅隊(duì)常用的防護(hù)手段防信息泄露防文檔信息泄露防代碼托管泄露防歷史漏洞泄露防人員信息泄露防其他信息泄露防釣魚防供應(yīng)鏈攻擊防物理攻擊防護(hù)架構(gòu)加強(qiáng)互聯(lián)網(wǎng)暴露面收斂網(wǎng)絡(luò)側(cè)防御主機(jī)側(cè)防御Web側(cè)防御App客戶端安全第9章 紅隊(duì)常用的關(guān)鍵安全設(shè)備邊界防御設(shè)備防火墻入侵防御系統(tǒng)Web應(yīng)用防火墻Web應(yīng)用安全云防護(hù)系統(tǒng)郵件威脅感知系統(tǒng)安全檢測(cè)設(shè)備互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)系統(tǒng)自動(dòng)化滲透測(cè)試系統(tǒng)開源組件檢測(cè)系統(tǒng)運(yùn)維安全管理與審計(jì)系統(tǒng)（堡壘機(jī)）流量監(jiān)測(cè)設(shè)備流量威脅感知系統(tǒng)態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)蜜罐系統(tǒng)終端防護(hù)設(shè)備終端安全響應(yīng)系統(tǒng)服務(wù)器安全管理系統(tǒng)虛擬化安全管理系統(tǒng)終端安全準(zhǔn)入系統(tǒng)終端安全管理系統(tǒng)威脅情報(bào)系統(tǒng)第10章 紅隊(duì)經(jīng)典防守實(shí)例嚴(yán)防死守零失陷：某金融單位防守實(shí)例領(lǐng)導(dǎo)掛帥，高度重視職責(zé)明確，全員參戰(zhàn)全面自查，管控風(fēng)險(xiǎn)頑強(qiáng)作戰(zhàn)，聯(lián)防聯(lián)控厘清現(xiàn)狀保核心：某集團(tuán)公司防守實(shí)例明確核心，總結(jié)經(jīng)驗(yàn)合理規(guī)劃，全面自查縱深防御，全面監(jiān)控聯(lián)動(dòng)處置，及時(shí)整改準(zhǔn)備充分迎挑戰(zhàn)：某政府單位防守實(shí)例三項(xiàng)措施，演練前期充分備戰(zhàn)三段作戰(zhàn)，破解演練防守困第四部分 紫隊(duì)視角下的實(shí)戰(zhàn)攻防演練組織第11章 如何組織一場(chǎng)實(shí)戰(zhàn)攻防演練實(shí)戰(zhàn)攻防演練的組織要素實(shí)戰(zhàn)攻防演練的組織形式實(shí)戰(zhàn)攻防演練的組織關(guān)鍵實(shí)戰(zhàn)攻防演練的風(fēng)險(xiǎn)規(guī)避措第12章 組織攻防演練的5個(gè)階段組織策劃階段前期準(zhǔn)備階段實(shí)戰(zhàn)攻防演練階段應(yīng)急演練階段演練總結(jié)階段第13章 組織沙盤推演的4個(gè)階段組織策劃階段推演準(zhǔn)備階段沙盤推演階段總結(jié)評(píng)估階段第一部分紅藍(lán)對(duì)抗基礎(chǔ)在網(wǎng)絡(luò)實(shí)戰(zhàn)攻防演練中的防守和攻擊兩方分別稱為紅隊(duì)和藍(lán)隊(duì)。通常在攻防演練中，除了紅藍(lán)雙方外，還需要有站在中立角度進(jìn)行演練組織、評(píng)判等的第三方，即紫隊(duì)。本部分詳細(xì)介紹了實(shí)戰(zhàn)攻防演練的概念、意義和現(xiàn)狀，對(duì)近幾年國(guó)內(nèi)實(shí)戰(zhàn)攻防演練中紅藍(lán)紫三方的定位和發(fā)展趨勢(shì)進(jìn)行了分析，同時(shí)描述了攻防演練中暴露的主要安全問題，并講解了如何建立實(shí)戰(zhàn)化的安全體系。第1章認(rèn)識(shí)紅藍(lán)紫實(shí)戰(zhàn)攻防演練為什么要進(jìn)行實(shí)戰(zhàn)攻防演練軍事上的實(shí)兵演練是除了實(shí)戰(zhàn)之外最能檢驗(yàn)軍隊(duì)?wèi)?zhàn)斗力的一種考核方式，可有效提高防御作戰(zhàn)能力，以應(yīng)對(duì)外部勢(shì)力發(fā)起的攻擊和襲擾，更好地維護(hù)國(guó)家主權(quán)和安全。同樣，在網(wǎng)絡(luò)安全上，真實(shí)環(huán)境下的網(wǎng)絡(luò)攻防演練也是網(wǎng)絡(luò)安全中最能檢驗(yàn)安全團(tuán)隊(duì)防御能力、發(fā)現(xiàn)當(dāng)前網(wǎng)絡(luò)環(huán)境中存在的安全風(fēng)險(xiǎn)的方式之一。政策要求驅(qū)動(dòng)2017年6月1絡(luò)安全法》（下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》）理邁入法治新階段，網(wǎng)絡(luò)空間法治體系建設(shè)加速開展。《網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全應(yīng)急演練，提高應(yīng)對(duì)網(wǎng)絡(luò)安全事件的水平和協(xié)同配合能力”，“負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門應(yīng)當(dāng)制定本行信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者、國(guó)家網(wǎng)信部門等定期組織開展應(yīng)急演練工作。2018年全國(guó)網(wǎng)絡(luò)安全和信息化工作會(huì)議于4月20日至21日在北京召開，會(huì)議強(qiáng)調(diào)，“沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全，就沒有經(jīng)濟(jì)社會(huì)穩(wěn)定運(yùn)行，廣大人民群眾利益也難以得到保障。要樹立正確的網(wǎng)絡(luò)安全觀，加強(qiáng)信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)，加強(qiáng)網(wǎng)絡(luò)安全信息統(tǒng)籌機(jī)制、手段、平臺(tái)建設(shè)，加強(qiáng)網(wǎng)絡(luò)安全事件應(yīng)急指揮能力建設(shè)，積極發(fā)展網(wǎng)絡(luò)安全產(chǎn)業(yè)，做到關(guān)口前移，防患于未然。要落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)責(zé)任，行業(yè)、企業(yè)作為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者承擔(dān)主體防護(hù)責(zé)任，主管部門履行好監(jiān)管責(zé)任?！鼻笥酶鼮榉e極主動(dòng)、行之有效的方式來應(yīng)對(duì)網(wǎng)絡(luò)安全問題。在做好雙方之間的對(duì)抗演練，實(shí)現(xiàn)“防患于未然”。2020年7月，公安部印發(fā)《貫徹落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度的指導(dǎo)意見》（下簡(jiǎn)稱《意見》），《意見》明確了網(wǎng)絡(luò)安全保護(hù)“實(shí)戰(zhàn)化、體系化、常態(tài)化”和“動(dòng)態(tài)防御、主動(dòng)防御、縱深防御、精準(zhǔn)防護(hù)、整體防控、聯(lián)防聯(lián)控”的“三化六防”要求，而實(shí)戰(zhàn)攻防演練是推動(dòng)和檢驗(yàn)“三化六防”水平的重要手段?！兑庖姟诽岢觯骸瓣P(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和第三級(jí)以上網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)定期開展應(yīng)急演練，有效處置網(wǎng)絡(luò)安全事件，并針對(duì)應(yīng)急演練中發(fā)現(xiàn)的突出問題和漏洞隱患，及時(shí)整改加固，完善保護(hù)措施。行業(yè)主管部門、網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)配合公安機(jī)關(guān)每年組織開展的網(wǎng)絡(luò)安全監(jiān)督檢查、比武演習(xí)等工作，不斷提升安全保護(hù)能力和對(duì)抗能力。”該文件明確了組織開展實(shí)戰(zhàn)化演練的責(zé)任主體和演練目的，即通過實(shí)戰(zhàn)化比武演練不斷提升安全保護(hù)能力和對(duì)抗能力。近年隨著國(guó)家對(duì)網(wǎng)絡(luò)安全工作的越發(fā)重視，尤其是《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)有關(guān)政策法規(guī)和標(biāo)準(zhǔn)的陸續(xù)出臺(tái)，實(shí)戰(zhàn)演練已成為國(guó)家各個(gè)重要行業(yè)用于檢驗(yàn)網(wǎng)絡(luò)安全保護(hù)水平的重要手段。網(wǎng)絡(luò)安全的本質(zhì)在對(duì)抗，對(duì)抗的本質(zhì)在攻防兩端能力較量。相信隨著國(guó)家在網(wǎng)絡(luò)安全方面政策文件的不斷完善，“實(shí)戰(zhàn)練兵”將成為提高抵御網(wǎng)絡(luò)攻擊能力、檢驗(yàn)網(wǎng)絡(luò)安全措施有效性的重要舉措。安全威脅驅(qū)動(dòng)關(guān)鍵信息基礎(chǔ)設(shè)施，指的是面向公眾提供網(wǎng)絡(luò)信息服務(wù)或支撐能源、通信、金融、交通、公共事業(yè)等重要行業(yè)運(yùn)行的信息系統(tǒng)或工業(yè)控制系統(tǒng)。這些系統(tǒng)一旦發(fā)生網(wǎng)絡(luò)安全事故，可能會(huì)對(duì)重要行業(yè)正常運(yùn)行產(chǎn)生較大影響，對(duì)國(guó)家政治、經(jīng)濟(jì)、科技、社會(huì)、文化、國(guó)防、環(huán)境及人民生命財(cái)產(chǎn)造成嚴(yán)重?fù)p失。有的系統(tǒng)長(zhǎng)期被控，面對(duì)高級(jí)持續(xù)性的網(wǎng)絡(luò)攻擊，防護(hù)能力十分欠有以下幾點(diǎn)。1）針對(duì)我國(guó)重要信息系統(tǒng)的高強(qiáng)度、有組織的攻擊威脅形勢(shì)嚴(yán)峻。2020類公開報(bào)告642篇，涉及151及率最高的5個(gè)（高級(jí)持續(xù)性威脅）組織分別是Lazarus（10.3%）、Kimsuky（7.8%）、海蓮花（5.4%）、Darkhotel（4.8%）和蔓靈花（3.2%）。監(jiān)測(cè)顯示，高級(jí)威脅攻擊活動(dòng)覆蓋了全球絕大部分國(guó)家/區(qū)，其中，提及率最高的5個(gè)受害國(guó)家分別為中國(guó)（7.4%）、韓國(guó)（6.6%）、美國(guó)（4.9%）、巴基斯坦（3.2%）和印度（3.2%）。中國(guó)首次超過美國(guó)、韓國(guó)、中東等國(guó)家/地區(qū)，成為全球APT攻擊的首要地區(qū)性目標(biāo)。醫(yī)療衛(wèi)生行業(yè)首次超過政府、金融、國(guó)防、能源、電信等領(lǐng)域，成為全球APT活動(dòng)關(guān)注的首要目標(biāo)。2020年，新冠肺炎疫情信息成為APT活動(dòng)常用誘餌，供應(yīng)鏈和遠(yuǎn)程辦公成為切入點(diǎn)，定向勒索威脅成為APT活動(dòng)新趨勢(shì)。海蓮花依舊是東南亞地區(qū)最為活躍的APT組織。2）工業(yè)互聯(lián)網(wǎng)面臨的網(wǎng)絡(luò)安全威脅加劇。2020年，根據(jù)我國(guó)國(guó)家信息安全漏洞共享平臺(tái)（CNVD）統(tǒng)計(jì)，通用軟硬件漏洞為19964個(gè)，其中，Web應(yīng)用漏洞占總比為27.7%，操作系統(tǒng)漏洞占總比為10.3%，網(wǎng)絡(luò)設(shè)備漏洞占總比為6.8%，數(shù)據(jù)庫漏洞占總比為1.4%，電信行業(yè)漏洞占總比為4.4%，移動(dòng)互聯(lián)網(wǎng)占總比為7.3%，工控漏洞占總比為3.2%，物聯(lián)網(wǎng)終端設(shè)備占總比為2.1%，其他類型占比為36.8%。工控漏洞雖然在2020年全年漏洞中占總比相對(duì)較小，但其重要性不可忽視，涉及西門子、施耐德、研華科技等在中國(guó)廣泛應(yīng)用的工控系統(tǒng)產(chǎn)品。2021年5月7日，美國(guó)燃油管道公司ColonialPipeline管網(wǎng)遭受攻擊，攻擊者竊取這家公司的重要數(shù)據(jù)文件，燃油管道運(yùn)輸管理系統(tǒng)也遭遇“劫持”，一度致使美國(guó)東部沿海各州的關(guān)鍵供油管道被迫關(guān)閉。國(guó)外實(shí)戰(zhàn)演練開展情況2017年11月中旬北美舉辦了第二輪“GridEx-IV”網(wǎng)絡(luò)戰(zhàn)演練，來自美國(guó)、加拿大、墨西哥的450家組織和機(jī)構(gòu)的6300人共同參與了北美電網(wǎng)故障場(chǎng)景的演練。該演練由美國(guó)政府與各電力企業(yè)合作開展，于2011年首次舉辦之后，每?jī)赡昱e辦一次。主要參與對(duì)象有電力企業(yè)、地區(qū)（地方、州、?。┖吐?lián)邦政府執(zhí)法機(jī)構(gòu)、第一響應(yīng)和情報(bào)機(jī)構(gòu)、關(guān)鍵基礎(chǔ)設(shè)施跨部門合作伙伴（公共事業(yè)單位等）、能源供應(yīng)鏈企業(yè)等，規(guī)模較大。該演練的目的是：證明各參與方應(yīng)如何應(yīng)對(duì)物理安全威脅事件并恢復(fù)演練中的模擬協(xié)調(diào)網(wǎng)絡(luò)，從而讓各參與方加強(qiáng)危機(jī)意識(shí)，并彼此交流經(jīng)驗(yàn)教訓(xùn)；協(xié)調(diào)各方資源、努力籌備與提出應(yīng)對(duì)舉措，解決國(guó)家層面的災(zāi)難或針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的安全威脅。2018年4月23日至27日，來自30個(gè)國(guó)家/地區(qū)的1000在一個(gè)虛擬國(guó)家Berylia進(jìn)行了為期5天的“戰(zhàn)斗”，最終北約隊(duì)折際性實(shí)戰(zhàn)網(wǎng)絡(luò)防御演練——鎖盾（LockedShields）辦方為北約，具體操辦機(jī)構(gòu)為北約網(wǎng)絡(luò)防御中心（CCDCOE，成立于2008年），自2010年始，每年舉辦一次。該演練的目的是為各國(guó)/地區(qū)網(wǎng)絡(luò)防御專家提供保護(hù)國(guó)家/地區(qū)信息技術(shù)IT系統(tǒng)和重要基礎(chǔ)設(shè)施的演練機(jī)會(huì)，同時(shí)評(píng)估大規(guī)模網(wǎng)絡(luò)攻擊對(duì)民用和軍事領(lǐng)域的IT系統(tǒng)所造成的影響。2020年8月13日，為期三天的美國(guó)“網(wǎng)絡(luò)風(fēng)暴2020”（CyberStorm2020）演練落幕，在美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）的組織下，近2000名來自政府機(jī)構(gòu)和私營(yíng)企業(yè)的人員參加了演練。本次演練汲取了往屆的經(jīng)驗(yàn)，跟進(jìn)了當(dāng)今網(wǎng)絡(luò)安全的格局變化，并以此為基礎(chǔ)，對(duì)網(wǎng)絡(luò)響應(yīng)方面取得的成績(jī)進(jìn)行評(píng)估和改進(jìn)。本次演練促進(jìn)并加強(qiáng)了公私伙伴關(guān)系，對(duì)新的關(guān)鍵基礎(chǔ)設(shè)施合作伙伴進(jìn)行整合，不僅強(qiáng)調(diào)了信息共享和分析機(jī)構(gòu)的關(guān)鍵作用，還強(qiáng)調(diào)了實(shí)體有必要充分了解自己對(duì)第三方服務(wù)的依賴。2021年11月15日至20日，美國(guó)網(wǎng)絡(luò)司令部舉行了“網(wǎng)絡(luò)旗幟21-1”演練。此次演練是美國(guó)網(wǎng)絡(luò)司令部規(guī)模最大的跨國(guó)網(wǎng)絡(luò)演練，以網(wǎng)絡(luò)空間集體防御為重點(diǎn)，加強(qiáng)了來自23個(gè)國(guó)家/地區(qū)的200多名網(wǎng)絡(luò)作戰(zhàn)人員的防御技能。演練利用“國(guó)家網(wǎng)絡(luò)靶場(chǎng)”測(cè)試了參與人員檢測(cè)敵人、驅(qū)逐敵人和確定解決方案的能力，以加強(qiáng)其模擬網(wǎng)絡(luò)的技能。此次演練是美國(guó)對(duì)SolarWinds滲透攻擊的回應(yīng)舉措之一，旨在加強(qiáng)網(wǎng)絡(luò)空間集體防御，確認(rèn)開放、可靠和安全的互聯(lián)網(wǎng)的重要性。1.實(shí)戰(zhàn)攻防演練向規(guī)?；葑兾覈?guó)實(shí)戰(zhàn)攻防演練的發(fā)展分為兩個(gè)階段：第一階段是試驗(yàn)階段，以學(xué)習(xí)先進(jìn)實(shí)戰(zhàn)經(jīng)驗(yàn)為主，參演單位少，演練范圍??；第二階段是推廣階段，實(shí)戰(zhàn)演練發(fā)展飛速，參演單位數(shù)量暴增，演練走向規(guī)?；?。2016練行動(dòng)為我國(guó)實(shí)戰(zhàn)攻防演練發(fā)展提供了參考。在各部門的高度重視了實(shí)戰(zhàn)攻防演練，在實(shí)戰(zhàn)演練中誕生了一大批網(wǎng)絡(luò)安全尖兵。演練規(guī)則向成熟化演變隨著國(guó)內(nèi)實(shí)戰(zhàn)攻防演練的規(guī)模逐漸擴(kuò)大，演練規(guī)則也在逐年完設(shè)置看，數(shù)量逐年增加，規(guī)則進(jìn)一步細(xì)化，要求更嚴(yán)。對(duì)攻擊方而形勢(shì)，向?qū)崙?zhàn)化傾斜。比如，針對(duì)APT生后，不僅要保證損失降到最低，更要掌握是誰、通過何種方式進(jìn)入系統(tǒng)、做了什么。同時(shí)，針對(duì)網(wǎng)絡(luò)安全“一失萬無”的特性，除了保護(hù)目標(biāo)系統(tǒng)外，也要保證相關(guān)的業(yè)務(wù)安全運(yùn)營(yíng)，在演練中培養(yǎng)從業(yè)者的全局意識(shí)。演練頻度向常態(tài)化演變?cè)诒O(jiān)管部門、政企機(jī)構(gòu)的高度重視下，實(shí)戰(zhàn)攻防演練逐漸走向常態(tài)化，影響力進(jìn)一步擴(kuò)大。一年一度的實(shí)戰(zhàn)攻防演練周期逐漸拉長(zhǎng)。同時(shí)，更多政企機(jī)構(gòu)開始利用攻防演練檢測(cè)自身的網(wǎng)絡(luò)安全能力，從而為后續(xù)網(wǎng)絡(luò)安全建設(shè)指路。網(wǎng)絡(luò)攻擊突破空間限制，攻擊速度快，隨時(shí)可能發(fā)生。應(yīng)實(shí)戰(zhàn)要求，攻防演練對(duì)抗周期逐年拉長(zhǎng)。在貼合實(shí)戰(zhàn)的攻防博弈中，防守方必須進(jìn)行全天候、全方位的網(wǎng)絡(luò)安全態(tài)勢(shì)感知，增強(qiáng)網(wǎng)絡(luò)安全防御能力和威懾力。實(shí)戰(zhàn)攻防演練成為政企機(jī)構(gòu)網(wǎng)絡(luò)安全防御能力的常態(tài)化檢查手段。只有打一遍，在攻防對(duì)抗中發(fā)現(xiàn)問題并解決問題，才能針對(duì)特定問題進(jìn)行建設(shè)規(guī)劃，全面提升網(wǎng)絡(luò)安全能力?，F(xiàn)在很多大型政企機(jī)構(gòu)希望專業(yè)的網(wǎng)絡(luò)安全服務(wù)商先做一次實(shí)戰(zhàn)攻防演練，之后再根據(jù)演練結(jié)果進(jìn)行定制化的網(wǎng)絡(luò)安全規(guī)劃與設(shè)計(jì)服務(wù)。只有不斷進(jìn)行網(wǎng)絡(luò)攻防演練和滲透測(cè)試，才能不斷提升安全防御能力，從而應(yīng)對(duì)不斷變化的新型攻擊和高級(jí)威脅。攻擊手段向多樣化演變隨著演練經(jīng)驗(yàn)的不斷豐富和大數(shù)據(jù)安全技術(shù)的廣泛應(yīng)用，攻防演練的攻擊手段不斷豐富，開始使用越來越多的漏洞攻擊、身份仿冒等新型作戰(zhàn)策略，向多樣化演變。2016年，網(wǎng)絡(luò)實(shí)戰(zhàn)攻防演練處于起步階段，攻防重點(diǎn)大多集中于互聯(lián)網(wǎng)入口或內(nèi)網(wǎng)邊界。從演練成果來看，從互聯(lián)網(wǎng)側(cè)發(fā)起的直接攻擊普遍十分有效，系統(tǒng)的外層防護(hù)一旦被突破，橫向拓展、跨域攻擊往往都比較容易實(shí)現(xiàn)。2018年，防守方對(duì)攻擊行為的監(jiān)測(cè)、發(fā)現(xiàn)能力大幅增強(qiáng)，攻擊難度加大，迫使攻擊隊(duì)全面升級(jí)。隨著部分參與過演練的單位的防御能力大幅提升，攻擊隊(duì)開始嘗試更隱蔽的攻擊方式，比如身份仿冒、釣魚Wi-Fi、供應(yīng)鏈攻擊、郵箱系統(tǒng)攻擊、加密隧道等，攻防演練與網(wǎng)絡(luò)實(shí)戰(zhàn)的水平更加接近。2020年，傳統(tǒng)攻擊方法越來越難取得成效，攻擊隊(duì)開始研究利用應(yīng)用系統(tǒng)和安全產(chǎn)品中的漏洞發(fā)起攻擊。比如：大部分行業(yè)會(huì)搭建VPN（VitualPrivateNetwork，虛擬私人網(wǎng)絡(luò)）設(shè)備，可以利用VPN設(shè)備的一些SQL注入、加賬號(hào)、遠(yuǎn)程命令執(zhí)行等漏洞展開攻擊；也可以采取釣魚、爆破、弱口令等方式來取得賬號(hào)權(quán)限，繞過外網(wǎng)打點(diǎn)環(huán)節(jié)，直接接入內(nèi)網(wǎng)實(shí)施橫向滲透。2021繞過防護(hù)壁壘，快速進(jìn)入內(nèi)網(wǎng)。網(wǎng)絡(luò)安全實(shí)戰(zhàn)演練是攻防對(duì)抗的過變化的網(wǎng)絡(luò)安全威脅。安全防御向體系化演變透的“墻”。面對(duì)多樣化的網(wǎng)絡(luò)攻擊手段，不能臨陣磨槍、倉促應(yīng)和結(jié)構(gòu)性設(shè)計(jì)，形成真正的縱深防御體系。藍(lán)隊(duì)什么是藍(lán)隊(duì)在本書中，藍(lán)隊(duì)是指網(wǎng)絡(luò)實(shí)戰(zhàn)攻防演練中的攻擊一方。藍(lán)隊(duì)一般會(huì)針對(duì)目標(biāo)單位的從業(yè)人員以及目標(biāo)系統(tǒng)所在網(wǎng)絡(luò)內(nèi)的軟件、硬件設(shè)備執(zhí)行多角度、全方位、對(duì)抗性的混合式模擬攻擊，通過技術(shù)手段實(shí)現(xiàn)系統(tǒng)提權(quán)、控制業(yè)務(wù)、獲取數(shù)據(jù)等滲透目標(biāo)，從而發(fā)現(xiàn)系統(tǒng)、技術(shù)、人員、管理和基礎(chǔ)架構(gòu)等方面存在的網(wǎng)絡(luò)安全隱患或薄弱環(huán)節(jié)。藍(lán)隊(duì)人員并不是一般意義上的黑客，黑客往往以攻破系統(tǒng)、獲取利益為目標(biāo)，而藍(lán)隊(duì)則是以發(fā)現(xiàn)系統(tǒng)薄弱環(huán)節(jié)、提升系統(tǒng)安全性為目標(biāo)。此外，對(duì)于一般的黑客來說，只要發(fā)現(xiàn)某一種攻擊方法可以達(dá)成目標(biāo)，通常就沒有必要再去嘗試其他的攻擊方法和途徑；而藍(lán)隊(duì)的目標(biāo)則是盡可能找出系統(tǒng)中存在的所有安全問題，因此藍(lán)隊(duì)往往會(huì)窮盡已知的所有方法來完成攻擊。換句話說，藍(lán)隊(duì)人員需要的是全面的攻防能力，而不僅僅是一兩項(xiàng)很強(qiáng)的黑客技術(shù)。藍(lán)隊(duì)的工作與業(yè)界熟知的滲透測(cè)試也有所區(qū)別。滲透測(cè)試通常是指按照規(guī)范技術(shù)流程對(duì)目標(biāo)系統(tǒng)進(jìn)行安全性測(cè)試；而藍(lán)隊(duì)攻擊一般只限定攻擊范圍和攻擊時(shí)段，對(duì)具體的攻擊方法則沒有太多限制。滲透測(cè)試過程一般只要驗(yàn)證漏洞的存在即可，而藍(lán)隊(duì)攻擊則要求實(shí)際獲取系統(tǒng)權(quán)限或系統(tǒng)數(shù)據(jù)。此外，滲透測(cè)試一般都會(huì)明確要求禁止使用社工手段（通過對(duì)人的誘導(dǎo)、欺騙等方法完成攻擊），而藍(lán)隊(duì)則可以在一定范圍內(nèi)使用社工手段。還有一點(diǎn)必須說明，雖然實(shí)戰(zhàn)攻防演練過程中通常不會(huì)嚴(yán)格限定藍(lán)隊(duì)的攻擊手法，但所有技術(shù)的使用、目標(biāo)的達(dá)成都必須嚴(yán)格遵守國(guó)家相關(guān)的法律法規(guī)。在演練中，藍(lán)隊(duì)通常會(huì)以3人為一個(gè)戰(zhàn)斗小組，1人為組長(zhǎng)。組長(zhǎng)通常是藍(lán)隊(duì)中綜合能力最強(qiáng)的，需要具備較強(qiáng)的組織意識(shí)、應(yīng)變能力和豐富的實(shí)戰(zhàn)經(jīng)驗(yàn)。而2名組員則往往需要各有所長(zhǎng)，具備邊界突破、橫向拓展（利用一臺(tái)受控設(shè)備攻擊其他相鄰設(shè)備）、情報(bào)搜集或武器研制等某一方面或幾方面的專長(zhǎng)。藍(lán)隊(duì)工作對(duì)人員的能力要求往往是綜合性的、全面的，藍(lán)隊(duì)人員不僅要會(huì)熟練使用各種黑客工具、分析工具，還要熟知目標(biāo)系統(tǒng)及其安全配置，并具備一定的代碼開發(fā)能力，以便應(yīng)對(duì)特殊問題。藍(lán)隊(duì)演變趨勢(shì)防守能力不斷提升的同時(shí)，攻擊能力也在與時(shí)俱進(jìn)。目前，藍(lán)隊(duì)的工作已經(jīng)變得非常體系化、職業(yè)化和工具化。1）體系化。從漏洞準(zhǔn)備、工具準(zhǔn)備到情報(bào)搜集、內(nèi)網(wǎng)滲透等，藍(lán)隊(duì)的每個(gè)人都有明確的分工，還要具備團(tuán)隊(duì)作戰(zhàn)能力，已經(jīng)很少再有一個(gè)人干全套的情況了。2）職業(yè)化。藍(lán)隊(duì)人員都來自專職實(shí)戰(zhàn)演練團(tuán)隊(duì)，有明確分工和職責(zé)，具備協(xié)同配合的職業(yè)操守，平時(shí)會(huì)開展專業(yè)訓(xùn)練。3）工具化。工具專業(yè)化程度持續(xù)提升，除了使用常用滲透工具，對(duì)基于開源代碼的定制工具的應(yīng)用也增多，自動(dòng)化攻擊也被大規(guī)模應(yīng)用，如采用多IP出口的自動(dòng)化攻擊平臺(tái)進(jìn)行作業(yè)。從實(shí)戰(zhàn)對(duì)抗的手法來看，現(xiàn)如今的藍(lán)隊(duì)還呈現(xiàn)出社工化、強(qiáng)對(duì)抗和迂回攻擊的特點(diǎn)。1）社工化。利用人的弱點(diǎn)實(shí)施社會(huì)工程學(xué)攻擊，是黑產(chǎn)團(tuán)伙和高級(jí)威脅組織的常用手段，如今也被大量引入實(shí)戰(zhàn)攻防演練當(dāng)中。除了釣魚、水坑等傳統(tǒng)社工攻擊手法外，藍(lán)隊(duì)還會(huì)經(jīng)常通過在線客服、私信好友等多種交互方式進(jìn)行社工攻擊，以高效地獲取業(yè)務(wù)信息。社工手段的多變性往往會(huì)讓防守方防不勝防。2）強(qiáng)對(duì)抗。利用0day漏洞、Nday漏洞、免殺技術(shù)等方式與防守方進(jìn)行高強(qiáng)度的技術(shù)對(duì)抗，也是近一兩年來藍(lán)隊(duì)在實(shí)戰(zhàn)攻防演練中表現(xiàn)出的明顯特點(diǎn)。藍(lán)隊(duì)人員大多出自安全機(jī)構(gòu)，受過專業(yè)訓(xùn)練，因而往往會(huì)比民間黑客更加了解安全軟件的防護(hù)機(jī)制和安全系統(tǒng)的運(yùn)行原理，其使用的對(duì)抗技術(shù)也往往更具針對(duì)性。3）迂回攻擊。對(duì)于防護(hù)嚴(yán)密、有效監(jiān)控的目標(biāo)系統(tǒng)，正面攻擊往往難以奏效。這就迫使藍(lán)隊(duì)越來越多地采用迂回的攻擊方式，將戰(zhàn)線拉長(zhǎng)：從目標(biāo)系統(tǒng)的同級(jí)單位和下級(jí)單位下手，從供應(yīng)鏈及業(yè)務(wù)合作方下手，在防護(hù)相對(duì)薄弱的關(guān)聯(lián)機(jī)構(gòu)中尋找突破點(diǎn)，迂回地攻破目標(biāo)系統(tǒng)。紅隊(duì)什么是紅隊(duì)紅隊(duì)，在本書中是指網(wǎng)絡(luò)實(shí)戰(zhàn)攻防演練中的防守一方。攻防演練期間組建的防守隊(duì)伍。紅隊(duì)的主要工作包括演練前安全檢查、整改與加固，演練期間網(wǎng)絡(luò)安全監(jiān)測(cè)、預(yù)警、分析、驗(yàn)證、處的網(wǎng)絡(luò)安全防護(hù)措施提供優(yōu)化依據(jù)等。實(shí)戰(zhàn)攻防演練時(shí)，紅隊(duì)通常會(huì)在日常安全運(yùn)維工作的基礎(chǔ)上以實(shí)戰(zhàn)思維進(jìn)一步加強(qiáng)安全防護(hù)措施，包括提升管理組織規(guī)格、擴(kuò)大威脅監(jiān)控范圍、完善監(jiān)測(cè)與防護(hù)手段、加快安全分析頻率、提高應(yīng)急響應(yīng)速度、增強(qiáng)溯源反制能力、建立情報(bào)搜集利用機(jī)制等，進(jìn)而提升整體防守能力。需要特別說明的是，紅隊(duì)并不是由實(shí)戰(zhàn)演練中目標(biāo)系統(tǒng)運(yùn)營(yíng)單位一家獨(dú)力組建的，而是由目標(biāo)系統(tǒng)運(yùn)營(yíng)單位、安全運(yùn)營(yíng)團(tuán)隊(duì)、攻防專家、安全廠商、軟件開發(fā)商、網(wǎng)絡(luò)運(yùn)維隊(duì)伍、云提供商等多方共同組成的。組成紅隊(duì)的各個(gè)團(tuán)隊(duì)在演練中的角色與分工情況如下?！つ繕?biāo)系統(tǒng)運(yùn)營(yíng)單位：負(fù)責(zé)紅隊(duì)整體的指揮、組織和協(xié)調(diào)?！ぐ踩\(yùn)營(yíng)團(tuán)隊(duì)：負(fù)責(zé)整體防護(hù)和攻擊監(jiān)控工作?！すシ缹＜遥贺?fù)責(zé)對(duì)安全監(jiān)控中發(fā)現(xiàn)的可疑攻擊進(jìn)行分析和研列工作。·安全廠商：負(fù)責(zé)對(duì)自身產(chǎn)品的可用性、可靠性和防護(hù)監(jiān)控策略進(jìn)行調(diào)整?！ぼ浖_發(fā)商：負(fù)責(zé)對(duì)自身系統(tǒng)進(jìn)行安全加固、監(jiān)控，配合攻防專家對(duì)發(fā)現(xiàn)的安全問題進(jìn)行整改。·網(wǎng)絡(luò)運(yùn)維隊(duì)伍：負(fù)責(zé)配合攻防專家進(jìn)行網(wǎng)絡(luò)架構(gòu)安全維護(hù)、網(wǎng)絡(luò)出口整體優(yōu)化、網(wǎng)絡(luò)監(jiān)控以及溯源等工作?！ぴ铺峁┥蹋ㄈ缬校贺?fù)責(zé)對(duì)自身云系統(tǒng)進(jìn)行安全加固，對(duì)云上系統(tǒng)的安全性進(jìn)行監(jiān)控，同時(shí)協(xié)助攻防專家對(duì)發(fā)現(xiàn)的問題進(jìn)行整改?！て渌耗承┣闆r下還會(huì)有其他組成人員，需要根據(jù)實(shí)際情況分配具體工作。特別強(qiáng)調(diào)，對(duì)于紅隊(duì)來說，了解對(duì)手（藍(lán)隊(duì)）法，了解攻擊隊(duì)的思維，并結(jié)合本單位實(shí)際網(wǎng)絡(luò)環(huán)境、運(yùn)營(yíng)管理情的主動(dòng)權(quán)。紅隊(duì)演變趨勢(shì)2016年和2017年，由于監(jiān)管單位的推動(dòng)，部分單位開始逐步參與監(jiān)管單位組織的實(shí)戰(zhàn)攻防演練。這個(gè)階段各單位主要作為防守方參加演練。到了2018年和2019年，實(shí)戰(zhàn)攻防演練不論單場(chǎng)演練的參演單位數(shù)量、攻擊隊(duì)伍數(shù)量，還是攻守雙方的技術(shù)能力等都迅速增強(qiáng)。實(shí)戰(zhàn)攻防演練已經(jīng)成為公認(rèn)的檢驗(yàn)各單位網(wǎng)絡(luò)安全建設(shè)水平和安全防護(hù)能力的重要手段，各單位也從以往單純參與監(jiān)管單位組織的演練逐漸轉(zhuǎn)變，開始自行組織內(nèi)部演練或聯(lián)合組織行業(yè)演練。2020年后，隨著在實(shí)戰(zhàn)攻防演練中真刀實(shí)槍地不斷對(duì)抗和磨礪，攻守雙方都取得了快速發(fā)展和進(jìn)步。迫于攻擊隊(duì)技戰(zhàn)法迅速發(fā)展帶來的壓力，防守隊(duì)也發(fā)生了很大的變化。防守重心擴(kuò)大2020年之前的實(shí)戰(zhàn)攻防演練主要以攻陷靶標(biāo)系統(tǒng)為目標(biāo)，達(dá)到發(fā)現(xiàn)防守隊(duì)安全建設(shè)和防護(hù)短板、提升各單位安全意識(shí)的目的。攻擊隊(duì)的主要得分點(diǎn)是拿下靶標(biāo)系統(tǒng)和路徑中的關(guān)鍵集權(quán)系統(tǒng)、服務(wù)器等權(quán)限，在非靶標(biāo)系統(tǒng)上得分很少。因此，防守隊(duì)的防守重心往往會(huì)聚焦到靶標(biāo)系統(tǒng)及相關(guān)路徑資產(chǎn)上。防演練檢驗(yàn)更多重要系統(tǒng)的安全性，并更全面地發(fā)現(xiàn)安全風(fēng)險(xiǎn)。因此，從2020年開始，不論監(jiān)管單位還是單位自身，在組織攻防演練級(jí)單位。持續(xù)加強(qiáng)監(jiān)測(cè)防護(hù)手段重威脅以及防守的巨大壓力，防守隊(duì)的監(jiān)測(cè)和防護(hù)體系面臨巨大挑有加，投入大量資金來采購和部署。2018～2019年，除了傳統(tǒng)安全產(chǎn)品外，全流量威脅檢測(cè)類產(chǎn)品在攻防對(duì)抗中證明了自己，獲取了各單位的青睞。2020年后，主機(jī)威脅檢測(cè)、蜜罐及威脅情報(bào)等產(chǎn)品和服務(wù)迅速成熟并在演練中證明了自己對(duì)主流攻擊的監(jiān)測(cè)和防護(hù)能力，防守隊(duì)開始大規(guī)模部署使用。除此之外，對(duì)于釣魚攻擊、供應(yīng)鏈攻擊等還沒有有效的防護(hù)產(chǎn)品，不過隨著在實(shí)戰(zhàn)中的不斷打磨，相應(yīng)產(chǎn)品也會(huì)迅速成熟和廣泛使用。被動(dòng)防守到正面對(duì)抗要說變化，這兩年防守隊(duì)最大的變化應(yīng)該是從被動(dòng)挨打迅速轉(zhuǎn)變?yōu)檎鎸?duì)抗、擇機(jī)反制。之前，演練中的大部分防守隊(duì)發(fā)現(xiàn)攻擊后基本就是封堵IP、下線系統(tǒng)、修復(fù)漏洞，之后接著等待下一波攻擊。敵在暗，我在明，只能被動(dòng)挨打?，F(xiàn)在，大量的防守隊(duì)加強(qiáng)了溯源和反制能力，與攻擊隊(duì)展開了正面對(duì)抗，并取得了很多戰(zhàn)果。要具備正面對(duì)抗能力，需要重點(diǎn)加強(qiáng)以下幾方面。1）認(rèn)攻擊方式、定位受害主機(jī)、采取處置措施，才能夠有效阻止攻擊，并為下一步的溯源和反制爭(zhēng)取時(shí)間。2）準(zhǔn)確溯源?！秾O子兵法》云：“知己知彼，百戰(zhàn)不殆。”要想和攻擊隊(duì)正面對(duì)抗，首先得找到攻擊隊(duì)的位置，并想辦法獲取足夠多的攻擊隊(duì)信息，才能有針對(duì)性地制定反制策略，開展反擊。3）精準(zhǔn)反制。反制其實(shí)就是防守隊(duì)發(fā)起的攻擊。在準(zhǔn)確溯源的基礎(chǔ)上，需要攻擊經(jīng)驗(yàn)豐富的防守人員來有效、精準(zhǔn)地實(shí)施反制。當(dāng)然，也有些單位會(huì)利用蜜罐等產(chǎn)品埋好陷阱，誘導(dǎo)攻擊隊(duì)跳進(jìn)來，之后再利用陷阱中的木馬等快速攻陷攻擊隊(duì)系統(tǒng)。紫隊(duì)什么是紫隊(duì)在本書中，紫隊(duì)是指網(wǎng)絡(luò)實(shí)戰(zhàn)攻防演練中的組織方。調(diào)工作，負(fù)責(zé)演練組織、過程監(jiān)控、技術(shù)指導(dǎo)、應(yīng)急保障、風(fēng)險(xiǎn)控制、演練總結(jié)、技術(shù)措施與優(yōu)化策略建議等各類工作。通過演練檢驗(yàn)參演單位的安全威脅應(yīng)對(duì)能力、攻擊事件檢測(cè)發(fā)現(xiàn)能的有效性，提升參演單位的安全實(shí)戰(zhàn)能力。此外，針對(duì)某些不宜在實(shí)網(wǎng)中直接攻防的系統(tǒng)，或某些不宜實(shí)際執(zhí)行的危險(xiǎn)操作，紫隊(duì)可以組織攻防雙方進(jìn)行沙盤推演，以便進(jìn)一步深入評(píng)估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及可能面臨的損失與破壞。紫隊(duì)演變趨勢(shì)隨著攻防演練的發(fā)展，演練規(guī)模和成熟度逐年上升，攻防對(duì)抗過程已進(jìn)入白熱化階段，無論攻擊手段向多樣化、體系化轉(zhuǎn)變，還是防守投入增多，防守能力進(jìn)化，攻防演練的組織工作都會(huì)隨之演變。種種跡象表明，實(shí)戰(zhàn)演練已逐步走向常態(tài)化、實(shí)戰(zhàn)化、體系化。從2016年至2019年，實(shí)戰(zhàn)攻防演練歷時(shí)四年，參演單位逐年遞從2018的實(shí)戰(zhàn)攻防演練；2020圍的實(shí)戰(zhàn)演練?？芍^是遍地開花，實(shí)戰(zhàn)攻防演練已成為各關(guān)基（信息基礎(chǔ)設(shè)施）開展。此外，還有一個(gè)顯著變化是，2020年，在實(shí)戰(zhàn)攻防演練中首次增加沙盤推演環(huán)節(jié)，沙盤推演應(yīng)運(yùn)而生。沙盤推演的目的是：將實(shí)網(wǎng)攻擊成果加以延伸，在沙盤中進(jìn)行更深入的攻擊推演；全面、深入地開展實(shí)戰(zhàn)演練，找到安全脆弱點(diǎn)，對(duì)實(shí)戰(zhàn)攻防演練階段遇到的“不敢打不能打不讓打的可能性以及被攻陷后產(chǎn)生的政治、經(jīng)濟(jì)、聲譽(yù)等方面的影響。推演形式為：每一場(chǎng)選取實(shí)網(wǎng)演練階段問題多、問題影響大的參演單位作為防守方，同時(shí)選取針對(duì)該防守單位實(shí)網(wǎng)成果多的攻擊隊(duì)作為攻擊方，開展第二階段的沙盤推演。在2021年的實(shí)戰(zhàn)攻防演練的第二階段，沙盤推演規(guī)模有增無減，在范圍、周期、場(chǎng)次、人員投入等多個(gè)維度上都進(jìn)行了大幅度的升級(jí)。實(shí)戰(zhàn)攻防演練中暴露的薄弱環(huán)節(jié)實(shí)戰(zhàn)攻防演練已成為檢驗(yàn)參演機(jī)構(gòu)網(wǎng)絡(luò)安全防御能力和水平的實(shí)戰(zhàn)攻防演練中，針對(duì)大型網(wǎng)絡(luò)的攻擊一般會(huì)組合利用多種攻擊方式：0day攻擊、供應(yīng)鏈攻擊、進(jìn)攻流量隧道加密等。面對(duì)此類攻擊時(shí)，傳統(tǒng)安全設(shè)備構(gòu)筑的防護(hù)網(wǎng)顯得有些力不從心，暴露出諸多問題?？偟膩砜?，實(shí)戰(zhàn)攻防演練中主要暴露出以下薄弱環(huán)節(jié)。互聯(lián)網(wǎng)未知資產(chǎn)或服務(wù)大量存在在實(shí)戰(zhàn)攻防演練中，資產(chǎn)的控制權(quán)和所有權(quán)始終是攻防雙方的爭(zhēng)奪焦點(diǎn)?；ヂ?lián)網(wǎng)暴露面作為流量的入口，是攻擊方重要的攻擊對(duì)象。資產(chǎn)不清是很多政企單位面臨的現(xiàn)狀。數(shù)字化轉(zhuǎn)型帶來的互聯(lián)網(wǎng)暴露面不斷擴(kuò)大，政企單位的資產(chǎn)范圍不斷外延。除了看得到的“冰面資產(chǎn)”之外，還有大量的冰面之下的資產(chǎn)，包括無主資產(chǎn)、灰色資產(chǎn)、僵尸資產(chǎn)等。在實(shí)戰(zhàn)攻防演練中，一些單位存在年久失修、無開發(fā)維護(hù)保障的老舊系統(tǒng)和僵尸系統(tǒng)，因?yàn)榍謇聿患皶r(shí)，這些系統(tǒng)容易成為攻擊者的跳板，構(gòu)成嚴(yán)重的安全隱患。史遺留問題以及管理混亂問題，攻擊隊(duì)可以通過分析它們的已知漏和攻擊防護(hù)造成很大影響。網(wǎng)絡(luò)及子網(wǎng)內(nèi)部安全域之間隔離措施不到位網(wǎng)絡(luò)內(nèi)部的隔離措施是考驗(yàn)企業(yè)網(wǎng)絡(luò)安全防護(hù)能力的重要因素。很多機(jī)構(gòu)沒有嚴(yán)格的訪問控制（ACL）策略，在DMZ（隔離區(qū)）和辦公網(wǎng)之間不進(jìn)行或很少進(jìn)行網(wǎng)絡(luò)隔離，辦公網(wǎng)和互聯(lián)網(wǎng)相通，網(wǎng)絡(luò)區(qū)域劃分不嚴(yán)格，可以直接使遠(yuǎn)程控制程序上線，導(dǎo)致攻擊方可以輕易實(shí)現(xiàn)跨區(qū)攻擊。大中型政企機(jī)構(gòu)還存在“一張網(wǎng)”的情況，它們習(xí)慣于使用單獨(dú)架設(shè)的專用網(wǎng)絡(luò)來打通各地區(qū)之間的內(nèi)部網(wǎng)絡(luò)連接，而不同區(qū)域內(nèi)網(wǎng)間缺乏必要的隔離管控措施，缺乏足夠有效的網(wǎng)絡(luò)訪問控制。這就導(dǎo)致藍(lán)隊(duì)一旦突破了子公司或分公司的防線，便可以通過內(nèi)網(wǎng)進(jìn)行橫向滲透，直接攻擊集團(tuán)總部，或是漫游整個(gè)企業(yè)內(nèi)網(wǎng)，攻擊任意系統(tǒng)。在實(shí)戰(zhàn)攻防演練中，面對(duì)防守嚴(yán)密的總部系統(tǒng)，藍(lán)隊(duì)很難正面突破，直接撬開內(nèi)部網(wǎng)絡(luò)的大門。因此繞過正面防御，嘗試通過攻擊防守相對(duì)薄弱的下屬單位，再迂回攻入總部的目標(biāo)系統(tǒng)，成為一種“明智”的策略。從2020年開始，各個(gè)行業(yè)的總部系統(tǒng)被藍(lán)隊(duì)從下級(jí)單位路徑攻擊甚至攻陷的案例比比皆是?；ヂ?lián)網(wǎng)應(yīng)用系統(tǒng)常規(guī)漏洞過多在歷年的實(shí)戰(zhàn)攻防演練期間，已知應(yīng)用系統(tǒng)漏洞、中間件漏洞以及因配置問題產(chǎn)生的常規(guī)漏洞，是攻擊方發(fā)現(xiàn)的明顯問題和主要攻擊渠道。從中間件來看，WebLogic、WebSphere、Tomcat、Apache、Nginx、IIS都有人使用。WebLogic應(yīng)用比較廣泛，因存在反序列化漏洞，所以常常會(huì)被作為打點(diǎn)和內(nèi)網(wǎng)滲透的突破點(diǎn)。所有行業(yè)基本上都有對(duì)外開放的郵件系統(tǒng)，可以針對(duì)郵件系統(tǒng)漏洞，比如跨站漏洞、CoreMail漏洞、XXE攻擊來開展社工工作，這些均是比較好的突破點(diǎn)?；ヂ?lián)網(wǎng)敏感信息泄露明顯網(wǎng)絡(luò)拓?fù)洹⒂脩粜畔?、登錄憑證等敏感信息在互聯(lián)網(wǎng)上被大量泄露，成為攻擊方突破點(diǎn)。實(shí)際上，2020年是有記錄以來數(shù)據(jù)泄露最嚴(yán)重的一年。根據(jù)Canalys的報(bào)告，2020年泄露的記錄比過去15年的總和還多。大量互聯(lián)網(wǎng)敏感數(shù)據(jù)泄露，為攻擊者進(jìn)入內(nèi)部網(wǎng)絡(luò)和開展攻擊提供了便利。邊界設(shè)備成為進(jìn)入內(nèi)網(wǎng)的缺口互聯(lián)網(wǎng)出口和應(yīng)用都是攻入內(nèi)部網(wǎng)絡(luò)的入口和途徑。目前政企機(jī)構(gòu)的接入防護(hù)措施良莠不齊，給藍(lán)隊(duì)創(chuàng)造了大量的機(jī)會(huì)。針對(duì)VPN系統(tǒng)等開放于互聯(lián)網(wǎng)邊界的設(shè)備或系統(tǒng)，為了避免影響員工使用，很多政企機(jī)構(gòu)沒有在其傳輸通道上增加更多的防護(hù)手段；再加上此類系統(tǒng)多會(huì)集成統(tǒng)一登錄，一旦獲得了某個(gè)員工的賬號(hào)密碼，藍(lán)隊(duì)可以通過這些系統(tǒng)突破邊界直接進(jìn)入內(nèi)部網(wǎng)絡(luò)。此外，防火墻作為重要的網(wǎng)絡(luò)層訪問控制設(shè)備，隨著網(wǎng)絡(luò)架構(gòu)與業(yè)務(wù)的增長(zhǎng)與變化，安全策略非常容易混亂，甚至一些政企機(jī)構(gòu)為了解決可用性問題，采取了“anytoany”的策略。防守單位很難在短時(shí)間內(nèi)梳理和配置涉及幾十個(gè)應(yīng)用、上千個(gè)端口的精細(xì)化訪問控制策略。缺乏訪問控制策略的防火墻，就如同敞開的大門，安全域邊界防護(hù)形同虛設(shè)。內(nèi)網(wǎng)管理設(shè)備成為擴(kuò)大戰(zhàn)果的突破點(diǎn)可利用的重要途徑，可以用來順利拿下內(nèi)部網(wǎng)絡(luò)服務(wù)器及數(shù)據(jù)庫權(quán)限。臺(tái)、核心網(wǎng)絡(luò)設(shè)備、堡壘機(jī)、SOC平臺(tái)、VPN期的維護(hù)升級(jí)，已經(jīng)成為擴(kuò)大權(quán)限的突破點(diǎn)。集權(quán)類系統(tǒng)一旦被突點(diǎn)打面，掌握對(duì)其所屬管轄范圍內(nèi)的所有主機(jī)的控制權(quán)。安全設(shè)備自身安全成為新的風(fēng)險(xiǎn)點(diǎn)對(duì)較高，但實(shí)際上安全產(chǎn)品自身也無法避免0day測(cè)能力沒有做到位，給藍(lán)隊(duì)留下了后門，形成新的風(fēng)險(xiǎn)點(diǎn)。2020戰(zhàn)攻防演練的一大特點(diǎn)是，安全產(chǎn)品的漏洞挖掘和利用現(xiàn)象非常普遍，多家企業(yè)的多款安全產(chǎn)品被挖掘出新漏洞（0day漏洞）危漏洞。歷年實(shí)戰(zhàn)攻防演練中，被發(fā)現(xiàn)和利用的各類安全產(chǎn)品0day漏洞主要涉及安全網(wǎng)關(guān)、身份與訪問管理、安全管理、終端安全等類型的安全產(chǎn)品。利用這些安全產(chǎn)品的漏洞，藍(lán)隊(duì)可以：突破網(wǎng)絡(luò)邊界，獲取控制權(quán)限并進(jìn)入網(wǎng)絡(luò)；獲取用戶賬戶信息，并快速拿下相關(guān)設(shè)備和網(wǎng)絡(luò)的控制權(quán)限。近兩三年，出現(xiàn)了多起VPN、堡壘機(jī)、終端管理等重要安全設(shè)備被藍(lán)隊(duì)利用重大漏洞完成突破的案例，這些安全設(shè)備被攻陷，直接造成網(wǎng)絡(luò)邊界防護(hù)失效，大量管理權(quán)限被控制。供應(yīng)鏈攻擊成為攻擊方的重要突破口藍(lán)隊(duì)會(huì)從IT（設(shè)備及軟件）弱點(diǎn)并實(shí)施攻擊。常見的系統(tǒng)突破口有郵件系統(tǒng)、OA系統(tǒng)、安全設(shè)備、社交軟件等，常見的突破方式有利用軟件漏洞、管理員弱口令重要突破口，給政企安全防護(hù)帶來了極大的挑戰(zhàn)。從奇安信在2021服務(wù)提供商等成為迂回攻擊的重要通道。員工安全意識(shí)淡薄是攻擊的突破口很多情況下，攻擊人要比攻擊系統(tǒng)容易得多。利用人員安全意識(shí)不足或安全能力不足，實(shí)施社會(huì)工程學(xué)攻擊，通過釣魚郵件或社交平臺(tái)進(jìn)行誘騙，是攻擊方經(jīng)常使用的手法。釣魚郵件是最常用的攻擊手法之一。即便是安全意識(shí)較強(qiáng)的IT人員或管理員，也很容易被誘騙點(diǎn)開郵件中的釣魚鏈接或木馬附件，進(jìn)而導(dǎo)致關(guān)鍵終端被控，甚至整個(gè)網(wǎng)絡(luò)淪陷。在歷年攻防演練過程中，攻擊隊(duì)通過郵件釣魚等方式攻擊IT運(yùn)維人員辦公用機(jī)并獲取數(shù)據(jù)及內(nèi)網(wǎng)權(quán)限的案例數(shù)不勝數(shù)。人是支撐安全業(yè)務(wù)的最重要因素，專業(yè)人才缺乏是政企機(jī)構(gòu)面臨的挑戰(zhàn)之一。在攻防演練期間，有大量防守工作需要開展，而且專業(yè)性較強(qiáng)，要求企業(yè)配備足夠強(qiáng)大的專業(yè)化網(wǎng)絡(luò)安全人才隊(duì)伍。內(nèi)網(wǎng)安全檢測(cè)能力不足攻防演練中，攻擊方攻擊測(cè)試，對(duì)防守方的檢測(cè)能力要求更高。網(wǎng)絡(luò)安全監(jiān)控設(shè)備的部署、網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)的建設(shè)，是實(shí)現(xiàn)安全可視化、安全可控的基礎(chǔ)。部分企業(yè)采購并部署了相關(guān)工具，但是每秒上千條告警，很難從中甄別出實(shí)際攻擊事件。此外，部分老舊的防護(hù)設(shè)備，策略配置混亂，安全防護(hù)依靠這些系統(tǒng)發(fā)揮中堅(jiān)力量，勢(shì)必力不從心。流量監(jiān)測(cè)及主機(jī)監(jiān)控工具缺失，僅依靠傳統(tǒng)防護(hù)設(shè)備的告警，甚至依靠人工翻閱海量日志來判斷攻擊，會(huì)導(dǎo)致“巧婦難為無米之炊”。更重要的是，精于內(nèi)部網(wǎng)絡(luò)隱蔽滲透的攻擊方在內(nèi)部網(wǎng)絡(luò)進(jìn)行非常謹(jǐn)慎而隱蔽的橫向拓展，很難被流量監(jiān)測(cè)設(shè)備或態(tài)勢(shì)感知系統(tǒng)檢測(cè)。網(wǎng)絡(luò)安全監(jiān)控是網(wǎng)絡(luò)安全工作中非常重要的方面。重視并建設(shè)好政企機(jī)構(gòu)網(wǎng)絡(luò)安全監(jiān)控體系，持續(xù)運(yùn)營(yíng)并優(yōu)化網(wǎng)絡(luò)安全監(jiān)控策略，是讓政企機(jī)構(gòu)真正可以經(jīng)受實(shí)戰(zhàn)化考驗(yàn)的重要舉措。建立實(shí)戰(zhàn)化的安全體系安全的本質(zhì)是對(duì)抗。對(duì)抗是攻防雙方能力的較量，是一個(gè)動(dòng)態(tài)的過程。業(yè)務(wù)在發(fā)展，網(wǎng)絡(luò)在變化，技術(shù)在變化，人員在變化，攻擊手段也在不斷變化。網(wǎng)絡(luò)安全沒有“一招鮮”的方式，只有在日常工作中不斷積累，不斷創(chuàng)新，不斷適應(yīng)變化，持續(xù)構(gòu)建自身的安全能力，才能應(yīng)對(duì)隨時(shí)可能威脅系統(tǒng)的各種攻擊。不能臨陣磨槍、倉促應(yīng)對(duì)，而應(yīng)立足根本、打好基礎(chǔ)。加強(qiáng)安全建設(shè)，構(gòu)建專業(yè)化的安全團(tuán)隊(duì)，優(yōu)化安全運(yùn)營(yíng)過程，并針對(duì)各種攻擊事件進(jìn)行重點(diǎn)防護(hù)，這些才是根本。防守隊(duì)不應(yīng)再以“修修補(bǔ)補(bǔ)，哪里出問題堵哪里”的思維來解決問題，而應(yīng)未雨綢繆，從管理、技術(shù)、運(yùn)行等方面建立系統(tǒng)化、實(shí)戰(zhàn)化的安全體系，從而有效應(yīng)對(duì)實(shí)戰(zhàn)環(huán)境下的安全挑戰(zhàn)。完善面向?qū)崙?zhàn)的縱深防御體系攻擊隊(duì)只需要撕開一個(gè)點(diǎn)，就會(huì)有所收獲，甚至可以通過攻擊一個(gè)攻擊則完全無拘無束，與實(shí)戰(zhàn)攻防演練相比，更加隱蔽而強(qiáng)大。力將安全工作前移，確保安全與信息化“三同步”（建設(shè)、同步運(yùn)行），建立起具備實(shí)戰(zhàn)防護(hù)能力、有效應(yīng)對(duì)高級(jí)威脅、持續(xù)迭代演進(jìn)提升的安全防御體系。形成面向過程的動(dòng)態(tài)防御能力在實(shí)戰(zhàn)攻防對(duì)抗中，攻擊隊(duì)總是延續(xù)信息收集、攻擊探測(cè)、提安全策略長(zhǎng)期保持不變，一定會(huì)被“意志堅(jiān)定”的攻擊隊(duì)得手。所定適應(yīng)性的動(dòng)態(tài)檢測(cè)能力和響應(yīng)能力。的響應(yīng)處置，把攻擊隊(duì)阻擋在邊界之外。同時(shí)，在設(shè)備響應(yīng)處置方封堵IP、攔截具有漏洞的URL訪問等策略。通過建立動(dòng)態(tài)防御體系，不僅可以有效攔截攻擊隊(duì)的攻擊行為，還可以迷惑攻擊隊(duì)，讓攻擊隊(duì)的探測(cè)行為失去方向，讓更多的攻擊隊(duì)知難而退，從而在對(duì)抗中占得先機(jī)。建設(shè)以人為本的主動(dòng)防御能力安全的本質(zhì)是對(duì)抗，對(duì)抗是人與人的較量。攻防雙方都在對(duì)抗中不斷提升各自的攻防能力。在這個(gè)過程中，就需要建立一個(gè)技術(shù)水平高的安全運(yùn)營(yíng)團(tuán)隊(duì)。該團(tuán)隊(duì)要能夠利用現(xiàn)有的防御體系和安全設(shè)備，持續(xù)檢測(cè)并分析內(nèi)部的安全事件告警與異常行為，發(fā)現(xiàn)已進(jìn)入內(nèi)部的攻擊隊(duì)并對(duì)其采取安全措施，壓縮其在內(nèi)部的停留時(shí)間。構(gòu)建主動(dòng)防御的基礎(chǔ)是可以采集到內(nèi)部的大量有效數(shù)據(jù)，包括安全設(shè)備的告警、流量信息、賬號(hào)信息等。為了將對(duì)內(nèi)部網(wǎng)絡(luò)的影響最小化，采用流量威脅分析的方式，實(shí)現(xiàn)全網(wǎng)流量威脅感知，特別是關(guān)鍵的邊界流量、內(nèi)部重要區(qū)域的流量。安全運(yùn)營(yíng)團(tuán)隊(duì)?wèi)?yīng)利用專業(yè)的攻防技能，從這些流量威脅告警數(shù)據(jù)中發(fā)現(xiàn)攻擊線索，并對(duì)已發(fā)現(xiàn)的攻擊線索進(jìn)行威脅巡獵、拓展，一步步找到真實(shí)的攻擊點(diǎn)和受害目標(biāo)。主動(dòng)防御能力主要表現(xiàn)為構(gòu)建安全運(yùn)營(yíng)的閉環(huán)，包括以下三方面。1）在漏洞運(yùn)營(yíng)方面，形成持續(xù)的評(píng)估發(fā)現(xiàn)、風(fēng)險(xiǎn)分析、加固處置的閉環(huán)，減少內(nèi)部的受攻擊面，使網(wǎng)絡(luò)環(huán)境達(dá)到內(nèi)生安全。2）在安全事件運(yùn)營(yíng)方面，對(duì)實(shí)戰(zhàn)中攻擊事件的行為做到“可發(fā)現(xiàn)、可分析、可處置”的閉環(huán)管理，實(shí)現(xiàn)安全事件的全生命周期管理，壓縮攻擊隊(duì)在內(nèi)部的停留時(shí)間，降低安全事件的負(fù)面影響。3）在資產(chǎn)運(yùn)營(yíng)方面，逐步建立起配置管理庫（CMDB），定期開展暴露資產(chǎn)發(fā)現(xiàn)工作，并定期更新配置管理庫，這樣才能使安全運(yùn)營(yíng)團(tuán)隊(duì)快速定位攻擊源和具有漏洞的資產(chǎn)，通過未知資產(chǎn)處置和漏洞加固，減少內(nèi)外部的受攻擊面。建立基于情報(bào)數(shù)據(jù)的精準(zhǔn)防御能力在實(shí)戰(zhàn)攻防對(duì)抗中，封堵IP是很多防守隊(duì)的主要響應(yīng)手段。這種手段相對(duì)簡(jiǎn)單、粗暴，容易造成對(duì)業(yè)務(wù)可用性的影響，主要體現(xiàn)在：·如果檢測(cè)設(shè)備誤報(bào)，結(jié)果被封堵的IP并非真實(shí)的攻擊IP，就會(huì)影響到互聯(lián)網(wǎng)用戶的業(yè)務(wù)；·如果攻擊IP自身是一個(gè)IDC出口IP，那么封堵該IP就可能造成IDC后端大量用戶的業(yè)務(wù)不可用。所以，從常態(tài)化安全運(yùn)行角度來看，防守隊(duì)?wèi)?yīng)當(dāng)逐步建立基于情報(bào)數(shù)據(jù)的精準(zhǔn)防御能力。具體來說，主要包括以下三方面。1）防守隊(duì)需要培養(yǎng)精準(zhǔn)防御的響應(yīng)能力，在實(shí)戰(zhàn)攻防對(duì)抗中針對(duì)不同的攻擊IP、攻擊行為采用更細(xì)粒度、更精準(zhǔn)的防御手段。結(jié)合實(shí)戰(zhàn)攻防對(duì)抗場(chǎng)景，防守隊(duì)可以利用威脅情報(bào)數(shù)據(jù)共享機(jī)共同作用，可以形成多樣化、細(xì)粒度的精準(zhǔn)防御。2）為了最小化攻防活動(dòng)對(duì)業(yè)務(wù)可用性的影響，需要設(shè)計(jì)多樣化的精準(zhǔn)防御手段與措施，既可延緩攻擊，又可滿足業(yè)務(wù)連續(xù)性需要。例如，從受害目標(biāo)系統(tǒng)維度考慮建立精準(zhǔn)防御能力，圍繞不同的目標(biāo)系統(tǒng)，采取不同的響應(yīng)策略。針對(duì)非實(shí)時(shí)業(yè)務(wù)系統(tǒng)的攻擊，可以考慮通過防火墻封禁IP的模式；而針對(duì)實(shí)時(shí)業(yè)務(wù)系統(tǒng)的攻擊，就應(yīng)考慮在WAF設(shè)備上攔截具有漏洞的頁面訪問請(qǐng)求，從而達(dá)到對(duì)實(shí)時(shí)業(yè)務(wù)系統(tǒng)的影響最小化。3）為了保證在實(shí)戰(zhàn)攻防對(duì)抗過程中防守方不會(huì)大面積失陷，應(yīng)對(duì)于重要主機(jī)，例如域控服務(wù)器、網(wǎng)管服務(wù)器、OA服務(wù)器、郵件服務(wù)器等，加強(qiáng)主機(jī)安全防護(hù)，阻止主機(jī)層面的惡意代碼運(yùn)行與異常進(jìn)程操作。打造高效一體的聯(lián)防聯(lián)控機(jī)制在實(shí)戰(zhàn)攻防對(duì)抗中，攻擊是一個(gè)點(diǎn)，攻擊隊(duì)可以從一個(gè)點(diǎn)攻破整座“城池”。所以在防守的各個(gè)階段，不應(yīng)只是安全部門孤軍奮戰(zhàn)，而應(yīng)有更多的資源支持，有更多的部門協(xié)同工作，這樣才有可能做好全面的防守工作。例如，一個(gè)攻擊隊(duì)正在對(duì)某個(gè)具有漏洞的應(yīng)用系統(tǒng)進(jìn)行滲透攻通知網(wǎng)絡(luò)部門進(jìn)行臨時(shí)封堵攻擊IP，系統(tǒng)的漏洞。這樣才能在最短時(shí)間內(nèi)讓攻擊事件的處置形成閉環(huán)。在實(shí)戰(zhàn)攻防對(duì)抗中，防守隊(duì)一定要建立起聯(lián)防聯(lián)控的機(jī)制，分工明確，信息通暢。唯有如此，才能打好實(shí)戰(zhàn)攻防演練的戰(zhàn)斗工作。聯(lián)防聯(lián)控的關(guān)鍵點(diǎn)如下。1）安全系統(tǒng)協(xié)同。通過安全系統(tǒng)的接口實(shí)現(xiàn)系統(tǒng)之間的集成，加強(qiáng)安全系統(tǒng)的聯(lián)動(dòng)，實(shí)現(xiàn)特定安全攻擊事件的自動(dòng)化處置，提高安全事件的響應(yīng)處置效率。2）內(nèi)部人員協(xié)同。內(nèi)部的安全部門、網(wǎng)絡(luò)部門、開發(fā)部門、業(yè)務(wù)部門全力配合實(shí)戰(zhàn)攻防對(duì)抗工作組完成每個(gè)階段的工作，并在安全值守階段全力配合工作組做好安全監(jiān)控與處置工作。3）外部人員協(xié)同。實(shí)戰(zhàn)攻防對(duì)抗是一個(gè)高頻的對(duì)抗活動(dòng)，在這期間，需要外部的專業(yè)安全廠商配合工作組防守，各個(gè)廠商之間應(yīng)依據(jù)產(chǎn)品特點(diǎn)和職能分工落實(shí)各自的工作，并做到信息通暢、聽從指揮。4）平臺(tái)支撐，高效溝通。為了加強(qiáng)內(nèi)部團(tuán)隊(duì)的溝通與協(xié)同，在內(nèi)部通過指揮平臺(tái)實(shí)現(xiàn)各部門、各角色之間的流程化、電子化溝通，提升溝通協(xié)同效率，助力聯(lián)防聯(lián)控有效運(yùn)轉(zhuǎn)。強(qiáng)化行之有效的整體防御能力2020年實(shí)戰(zhàn)攻防演練的要求是：如果與報(bào)備目標(biāo)系統(tǒng)同等重要的系統(tǒng)被攻陷，也要參照?qǐng)?bào)備目標(biāo)系統(tǒng)規(guī)則扣分。這就給大型機(jī)構(gòu)的防守隊(duì)帶來了前所未有的防守壓力。原來通行的防守策略是重兵屯在總部（目標(biāo)系統(tǒng)一般在總部），提升總部的整體防御能力；但隨著實(shí)戰(zhàn)攻防演練規(guī)則的演變，總部和分支機(jī)構(gòu)變得同等重要。從攻擊路徑來看，分支機(jī)構(gòu)的安全能力一般弱于總部，同時(shí)分支機(jī)構(gòu)和總部網(wǎng)絡(luò)層面是相通的，并且在早期進(jìn)行安全建設(shè)的時(shí)候往往會(huì)默認(rèn)對(duì)方的網(wǎng)絡(luò)是可信的；在安全防護(hù)層面，總部一般僅僅對(duì)來自分支機(jī)構(gòu)的訪問請(qǐng)求設(shè)置一些比較粗糙的訪問控制措施。這些安全隱患都會(huì)給攻擊隊(duì)留出機(jī)會(huì)，使攻擊隊(duì)可以從薄弱點(diǎn)進(jìn)入，然后橫向拓展到總部的目標(biāo)系統(tǒng)。因此，防守隊(duì)只有將總部和分支機(jī)構(gòu)進(jìn)行統(tǒng)一的安全規(guī)劃和管力上，建議防守隊(duì)開展如下工作。1）互聯(lián)網(wǎng)出入口統(tǒng)一管理。條件允許的情況下，應(yīng)盡量上收分支機(jī)構(gòu)的互聯(lián)網(wǎng)出入口。統(tǒng)一管理的好處是集中防御、節(jié)約成本、降低風(fēng)險(xiǎn)。同時(shí)，在整體上開展互聯(lián)網(wǎng)側(cè)的各類風(fēng)險(xiǎn)排查，包括互聯(lián)網(wǎng)未知資產(chǎn)、敏感信息泄露、社工信息的清理等工作。2）加強(qiáng)分支機(jī)構(gòu)防御能力。如果無法實(shí)現(xiàn)分支機(jī)構(gòu)的互聯(lián)網(wǎng)出入口統(tǒng)一管理，則讓分支機(jī)構(gòu)參考總部的安全體系建設(shè)完善其自身的防御能力，避免讓出入口成為安全中的短板。3）全面統(tǒng)籌，協(xié)同防御。在準(zhǔn)備階段，應(yīng)讓分支機(jī)構(gòu)配合總部開展風(fēng)險(xiǎn)排查；在實(shí)戰(zhàn)值守階段，讓分支機(jī)構(gòu)與自己一起安全值守，并配置適當(dāng)?shù)陌踩O(jiān)控人員、安全分析處置人員，配合自己做好整體的防御、攻擊的應(yīng)急處置等工作。第二部分藍(lán)隊(duì)視角下的防御體系突破藍(lán)隊(duì)作為實(shí)戰(zhàn)攻防演練中的攻擊方，根據(jù)隊(duì)員的不同攻擊能力特點(diǎn)組織攻擊團(tuán)隊(duì)。隊(duì)員們?cè)诰W(wǎng)絡(luò)攻擊各階段各司其職，采用適當(dāng)?shù)墓羰侄魏凸舨呗詫?duì)目標(biāo)系統(tǒng)展開網(wǎng)絡(luò)攻擊，最終獲取目標(biāo)網(wǎng)絡(luò)和系統(tǒng)的控制權(quán)限和數(shù)據(jù)，檢驗(yàn)?zāi)繕?biāo)單位的網(wǎng)絡(luò)安全防護(hù)能力。人員必備的技能，最后通過多個(gè)實(shí)戰(zhàn)案例對(duì)攻擊手段進(jìn)行了直觀展示。第2章藍(lán)隊(duì)攻擊的4個(gè)階段藍(lán)隊(duì)的攻擊是一項(xiàng)系統(tǒng)的工作，整個(gè)攻擊過程是有章可循、科學(xué)合理的，涵蓋了從前期準(zhǔn)備、攻擊實(shí)施到靶標(biāo)控制的各個(gè)步驟和環(huán)節(jié)。按照任務(wù)進(jìn)度劃分，一般可以將藍(lán)隊(duì)的工作分為4個(gè)階段：準(zhǔn)備工作、目標(biāo)網(wǎng)情搜集、外網(wǎng)縱向突破和內(nèi)網(wǎng)橫向拓展（見圖2-1）。圖2-1 藍(lán)隊(duì)攻擊的4個(gè)階段準(zhǔn)備工作實(shí)戰(zhàn)攻防演練一般具有時(shí)間短、任務(wù)緊的特點(diǎn)，前期各項(xiàng)準(zhǔn)備工作是否充分是決定藍(lán)隊(duì)能否順利完成攻擊任務(wù)的關(guān)鍵因素。在一場(chǎng)實(shí)戰(zhàn)攻防演練開始前，藍(lán)隊(duì)主要會(huì)從工具、技能和隊(duì)伍三方面來進(jìn)行準(zhǔn)備（見圖2-2）。圖2-2 藍(lán)隊(duì)準(zhǔn)備工作工具準(zhǔn)備行搜集匹配或調(diào)試往往會(huì)耽誤寶貴的時(shí)間，甚至錯(cuò)過極佳的突破時(shí)集、掃描探測(cè)、口令爆破、漏洞利用、遠(yuǎn)程控制、Webshell道穿透、網(wǎng)絡(luò)抓包分析和集成平臺(tái)等各類工具。信息搜集工具藍(lán)隊(duì)主要利用信息搜集工具搜集目標(biāo)網(wǎng)絡(luò)IP、域名等詳細(xì)網(wǎng)絡(luò)信息，并利用搜集到的信息準(zhǔn)確確定滲透攻擊范圍。常用的工具如下。（1）WhoisWhois（音同“Whois”，非縮寫）是用來查詢域名的IP及所有者等信息的傳輸協(xié)議。簡(jiǎn)單來說，Whois就是一個(gè)用來查詢域名是否已經(jīng)被注冊(cè)、注冊(cè)域名詳細(xì)信息（如域名所有人、域名注冊(cè)商）的數(shù)據(jù)庫。通過Whois可實(shí)現(xiàn)對(duì)域名信息的查詢。早期的Whois查詢多以命令列接口存在，現(xiàn)在出現(xiàn)了一些基于網(wǎng)頁接口的簡(jiǎn)化線上查詢工具，可以一次向不同的數(shù)據(jù)庫查詢。APNIC（Asia-PacificNetworkInformationCenter，亞太互聯(lián)網(wǎng)絡(luò)信息中心），是全球五大區(qū)域性因特網(wǎng)注冊(cè)管理機(jī)構(gòu)之一，負(fù)責(zé)亞太地區(qū)IP地址、ASN（自治域系統(tǒng)號(hào)）的分配并管理一部分根域名服務(wù)器鏡像。CNNIC（ChinaInternetNetworkInformationCenter，中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心）是我國(guó)的域名體系注冊(cè)管理機(jī)構(gòu)。APNIC和CNNIC均提供所轄范圍內(nèi)域名信息查詢的Whois服務(wù)。（2）nslookup命令工具nslookup是Windows接DNS服務(wù)器、查詢域名信息。它可以指定查詢的類型，可以查到DNS記錄的生存時(shí)間，還可以指定使用哪個(gè)DNSTCP/IP協(xié)議的電腦上均可以使用這個(gè)命令工具探測(cè)域名系統(tǒng)（DNS）礎(chǔ)結(jié)構(gòu)的信息。（3）DIG命令工具DIG（DomainInformationGroper，域名信息搜索器）是LinuxUnix環(huán)境下與Windows環(huán)境下的nslookup作用相似的域名查詢命令工具。DIG工具能夠顯示詳細(xì)的DNS查詢過程，是一個(gè)非常強(qiáng)大的DNS查詢工具，具有設(shè)置靈活、輸出清晰的特點(diǎn)。一般Linux和Unix已內(nèi)置了該功能，而在Windows環(huán)境下只有nslookup安裝和部署DIG工具。（4）OneForAll子域名搜集工具OneForAll是一款基于CPython具有全面的接口和模塊支持，集成證書透明度、網(wǎng)絡(luò)爬蟲、常規(guī)檢查、DNS數(shù)據(jù)集、DNS查詢與搜索引擎6調(diào)用，對(duì)搜集的子域結(jié)果自動(dòng)去重，有較高的掃描效率，并且支持將搜集結(jié)果以多種格式導(dǎo)出利用。掃描探測(cè)工具藍(lán)隊(duì)主要利用掃描探測(cè)工具對(duì)目標(biāo)Web主機(jī)或服務(wù)器進(jìn)行漏洞和薄弱點(diǎn)發(fā)現(xiàn)，為進(jìn)一步利用掃描探測(cè)到的漏洞實(shí)施滲透攻擊做準(zhǔn)備。網(wǎng)上公開、免費(fèi)的掃描探測(cè)工具非常多，有的藍(lán)隊(duì)還會(huì)自主開發(fā)掃描探測(cè)工具。比較有名的開源掃描探測(cè)工具有以下幾個(gè)。（1）NmapNmap（NetworkMapper）核工具，具備對(duì)Windows、Linux、macOS等多個(gè)操作系統(tǒng)的良好兼容性，功能包括在線主機(jī)探測(cè)（檢測(cè)存活在網(wǎng)絡(luò)上的主機(jī)）探測(cè)（檢測(cè)主機(jī)上開放的端口和應(yīng)用服務(wù)）、設(shè)備指紋探測(cè)（監(jiān)測(cè)目標(biāo)系統(tǒng)類型和版本信息）和漏洞探測(cè)（借助Nmap腳本對(duì)目標(biāo)脆弱性進(jìn)行掃描和檢測(cè)）。Nmap掃描示例見圖2-3。圖2-3 Nmap掃描示例（2）NessusNessus稱是“全球使用人數(shù)最多的系統(tǒng)漏洞掃描與分析軟件，全世界超過75000個(gè)組織在使用它”。Nessus采用集成技術(shù)幫助執(zhí)行物理和虛擬設(shè)備發(fā)現(xiàn)及軟件安全審核，通過插件庫實(shí)現(xiàn)功能拓展和最新漏洞補(bǔ)丁檢測(cè)，并提供對(duì)包括移動(dòng)設(shè)備在內(nèi)的廣泛的網(wǎng)絡(luò)資產(chǎn)覆蓋和架構(gòu)環(huán)境探測(cè)。（3）AWVSAWVS（AcunetixWebVulnerabilityScanner）是一款知名的網(wǎng)絡(luò)漏洞掃描工具，利用網(wǎng)絡(luò)爬蟲原理來測(cè)試Web網(wǎng)站的安全性。采用AcuSensor的SQL注入和跨站腳本測(cè)試，集成了HTTPEditor和HTTPFuzzer滲透測(cè)試工具，允許對(duì)AJAX和Web2.0通過多線程高速掃描Web網(wǎng)絡(luò)服務(wù)來檢測(cè)流行安全漏洞。AWVS務(wù)界面如圖2-4所示。圖2-4 AWVS掃描任務(wù)界面（4）DirsearchDirsearch是一款用Python文件在內(nèi)的網(wǎng)站W(wǎng)eb數(shù)據(jù)庫、弱口令、安裝包、網(wǎng)站源碼和后臺(tái)編輯器類型等敏感信息的信息。（5）NiktoNikto是一款開源的Web安全掃描工具，可對(duì)Web多項(xiàng)安全測(cè)試，掃描指定主機(jī)的Web類型、主機(jī)名、目錄、特定CGI漏洞。Nikto使用RainForestPuppy的LibWhisker實(shí)現(xiàn)HTTP功能，并且可以檢查HTTP和HTTPS，否運(yùn)行在其他開放端口上?？诹畋乒ぞ哂每诹畋乒ぞ邅硗瓿蓪?duì)目標(biāo)網(wǎng)絡(luò)認(rèn)證接口用戶名和口令的窮盡破標(biāo)的滲透控制。（1）超級(jí)弱口令檢查工具超級(jí)弱口令檢查工具（弱口令掃描檢測(cè)）是可在Windows平臺(tái)運(yùn)行的弱密碼口令檢測(cè)工具，支持批量多線程檢查，可以快速檢測(cè)弱密碼、弱密碼賬戶、密碼支持和用戶名組合檢查，從而大大提高檢查成功率，并且支持自定義服務(wù)。該工具目前支持SSH、RDP、Telnet、MySQL、SQLServer、Oracle、FTP、MongoDB、Memcached、PostgreSQL、SMTP、SMTP_SSL、POP3、POP3_SSL、IMAP、IMAP_SSL、SVN、VNC、Redis等服務(wù)的弱密碼檢查爆破（見圖2-5）。圖2-5 超級(jí)弱口令檢查工具（2）MedusaMedusa是KaliLinux于多線程并行可同時(shí)對(duì)多個(gè)主機(jī)、服務(wù)器進(jìn)行用戶名或密碼強(qiáng)力爆破，以嘗試獲取遠(yuǎn)程驗(yàn)證服務(wù)訪問權(quán)限。Medusa登錄的服務(wù)，包括FTP、HTTP、SSHv2、SQLServer、MySQL、SMB、SMTP、SNMP、SVN、Telnet、VNC、AFP、CVS、IMAP、NCP、NNTP、POP3、PostgreSQL、rlogin、rsh等（見圖2-6）。圖2-6 Medusa可爆破種類列表（3）HydraHydra是一個(gè)自動(dòng)化的爆破工具，可暴力破解弱密碼，已經(jīng)集成到KaliLinux系統(tǒng)中。Hydra可對(duì)多種協(xié)議執(zhí)行字典攻擊，包括RDP、SSH（v1和v2）、Telnet、FTP、HTTP、HTTPS、SMB、POP3、LDAP、SQLServer、MySQL、PostgreSQL、SNMP、SOCKS5、CiscoAAA、Ciscoauth、VNC等。它適用于多種平臺(tái)，包括Linux、Windows、Cygwin、Solaris、FreeBSD、OpenBSD、macOS和QNX/BlackBerry等。Hydra命令參數(shù)見圖2-7。圖2-7 Hydra命令示意圖（4）HashcatHashcat是一款免費(fèi)的密碼破解工具，號(hào)稱是基于CPU碼破解工具，適用于Linux、Windows和macOS平臺(tái)。Hashcat散列算法，包括LMHashes、MD4、MD5、SHA系列、UNIXCryptMySQL、CiscoPIX。它支持各種攻擊形式，包括暴力破解、組合攻擊圖2-8 Hashcat破譯示意圖漏洞利用工具的自動(dòng)化應(yīng)用。根據(jù)不同的漏洞類型，漏洞利用工具可以分為許多種，多通過單個(gè)Poc&Exp現(xiàn)而不停更換漏洞利用工具。以下是最近攻防演練中比較典型的幾個(gè)。（1）WebLogic全版本漏洞利用工具WebLogic是基于JavaEE和管理大型分布式Web應(yīng)用、網(wǎng)絡(luò)應(yīng)用和數(shù)據(jù)庫應(yīng)用的Java應(yīng)用服務(wù)器。該漏洞利用工具集成WebLogic組件各版本多個(gè)漏洞自動(dòng)化檢測(cè)和利用功能，可對(duì)各版本W(wǎng)ebLogic漏洞進(jìn)行自動(dòng)化檢測(cè)和利用，根據(jù)檢測(cè)結(jié)果進(jìn)行執(zhí)行命令等針對(duì)性利用并獲取服務(wù)器控制權(quán)限（見圖2-9）。圖2-9 WebLogic漏洞工具（2）Struts2綜合漏洞利用工具Struts2是一個(gè)相當(dāng)強(qiáng)大的JavaWeb開源框架，在MVC中，Struts2作為控制器來建立模型與視圖的數(shù)據(jù)交互。Struts2綜合漏洞利用工具集成了Struts2漏洞的檢測(cè)和利用功能，可實(shí)現(xiàn)利用Struts2漏洞進(jìn)行任意代碼執(zhí)行和任意文件上傳（見圖2-10）。圖2-10 Struts2漏洞利用工具（3）sqlmap注入工具sqlmap是一個(gè)自動(dòng)化的SQL注入工具，可用來自動(dòng)檢測(cè)和利用SQL注入漏洞并接管數(shù)據(jù)庫服務(wù)器。它具有強(qiáng)大的檢測(cè)引擎，集成眾多功能，包括數(shù)據(jù)庫指紋識(shí)別、從數(shù)據(jù)庫中獲取數(shù)據(jù)、訪問底層文件系統(tǒng)以及在操作系統(tǒng)上內(nèi)連接執(zhí)行命令，同時(shí)內(nèi)置了很多繞過插件，支持的數(shù)據(jù)庫有MySQL、Oracle、PostgreSQL、SQLServer、Access、IBMDB2、SQLite、Firebird、Sybase和SAPMaxDB（見圖2-11）。圖2-11 sqlmap模擬執(zhí)行（4）vSphereClientRCE漏洞（CVE-2021-21972）利用工具vSphere是VMware推出的虛擬化平臺(tái)套件，包含ESXi、vCenterServer等一系列的軟件，其中vCenterServer為ESXi的控制中心，可從單一控制點(diǎn)統(tǒng)一管理數(shù)據(jù)中心的所有vSphere主機(jī)和虛擬機(jī)。vSphereClient（HTML5）在vCenterServer代碼漏洞。藍(lán)隊(duì)可以通過開放443端口的服務(wù)器向vCenterServer精心構(gòu)造的請(qǐng)求，寫入Webshell，控制服務(wù)器（見圖2-12）。圖2-12 vCenterServer管理界面（5）WindowsPrintSpooler權(quán)限提升漏洞（CVE-2021-1675）WindowsPrintSpooler是Windows的服務(wù)。在域環(huán)境中合適的條件下，無須進(jìn)行任何用戶交互，未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者就可以利用CVE-2021-1675漏洞以system權(quán)限在域控制器上執(zhí)行任意代碼，從而獲得整個(gè)域的控制權(quán)。（6）ExchangeServer漏洞組合利用（CVE-2021-26855&2021-27065）ExchangeServer是微軟公司的一套電子郵件服務(wù)組件，是個(gè)消息與協(xié)作系統(tǒng)。CVE-2021-26855是一個(gè)SSRF（服務(wù)器端請(qǐng)求偽造）漏HTTP請(qǐng)求。CVE-2021-27065認(rèn)證。此漏洞還伴生著一個(gè)目錄跨越漏洞，藍(lán)隊(duì)可以利用該漏洞將文件寫入服務(wù)器的任何路徑。兩個(gè)漏洞相結(jié)合可以達(dá)到繞過權(quán)限直接獲取反彈執(zhí)行命令權(quán)限。遠(yuǎn)程控制工具藍(lán)隊(duì)主要利用遠(yuǎn)程控制工具對(duì)目標(biāo)網(wǎng)絡(luò)內(nèi)服務(wù)器、個(gè)人計(jì)算機(jī)或安全設(shè)備進(jìn)行管理控制。借助于一些好的遠(yuǎn)程控制工具，藍(lán)隊(duì)可以跨不同系統(tǒng)平臺(tái)進(jìn)行兼容操作，實(shí)現(xiàn)高效拓展。（1）XshellXshell是一款強(qiáng)大的安全終端模擬軟件，支持SSH1、SSH2Windows平臺(tái)的TELNET協(xié)議。Xshell可以用來在Windows界面下訪問遠(yuǎn)端不同系統(tǒng)下的服務(wù)器，從而比較好地達(dá)到遠(yuǎn)程控制終端的目的（見圖2-13）。圖2-13 Xshell遠(yuǎn)程連接界面（2）SecureCRTSecureCRT是一款終端仿真程序，支持Windows下遠(yuǎn)程登錄UnixLinux服務(wù)器主機(jī)。SecureCRT支持SSH，同時(shí)支持Telnet和rlogin協(xié)議，是一款用于連接運(yùn)行Windows、Unix和VMS的遠(yuǎn)程系統(tǒng)的理想工具（見圖2-14）。（3）PuTTYPuTTY對(duì)Windows平臺(tái)、各類Unix平臺(tái)SSH、Telnet、Serial等協(xié)議的連接（見圖2-15）。圖2-14 SecureCRT初始連接界面圖2-15 PuTTY連接配置截圖（4）NavicatNavicat是一款數(shù)據(jù)庫管理工具，可用來方便地管理MySQL、Oracle、PostgreSQL、SQLite、SQLServer、MariaDB和MongoDB等不同類型的數(shù)據(jù)庫，并與AmazonRDS、AmazonAurora、OracleCloudMicrosoftAzure持同時(shí)創(chuàng)建多個(gè)連接、無縫數(shù)據(jù)遷移、SQL全連接等功能（見圖2-16）。圖2-16 Navicat管理維護(hù)數(shù)據(jù)庫Webshell管理工具藍(lán)隊(duì)主要利用Webshell管理工具對(duì)攻擊載荷進(jìn)行管理和運(yùn)用，借助Webshell規(guī)避免殺、遠(yuǎn)程注入和跨網(wǎng)間隱蔽通信等技術(shù)實(shí)現(xiàn)對(duì)目標(biāo)系統(tǒng)的滲透拓展。（1）冰蝎冰蝎（Behinder）Java，被攻擊者廣泛采用。冰蝎集成了命令執(zhí)行、虛擬終端、文件管理、SOCKS代理、反彈shell、數(shù)據(jù)庫管理、自定義代碼、Java內(nèi)存馬注入、支持多種Web容器、反向DMZ等功能（見圖2-17）。（2）中國(guó)蟻劍中國(guó)蟻劍（AntSword）一款非常優(yōu)秀的Webshell管理工具。它集成了shell代理、shell管攻擊載荷加密或編碼免殺實(shí)現(xiàn)WAF、防火墻等一些防御手段規(guī)避繞過，通過豐富的插件庫支持自定義載荷實(shí)現(xiàn)靜態(tài)、動(dòng)態(tài)免殺，進(jìn)而實(shí)現(xiàn)Webshell高效滲透利用（見圖2-18）。圖2-17 冰蝎界面圖2-18 利用中國(guó)蟻劍連接初始化（3）哥斯拉哥斯拉（Godzilla）是一款相對(duì)較新的Webshell管理工具，它基于Java開發(fā)，具有較強(qiáng)的各類shell靜態(tài)查殺規(guī)避和流量加密WAF繞過優(yōu)勢(shì)，且自帶眾多拓展插件，支持對(duì)載荷進(jìn)行AESHTTP頭、內(nèi)存shell以及豐富的Webshell功能（見圖2-19）。圖2-19 哥斯拉遠(yuǎn)程管理內(nèi)網(wǎng)穿透工具攻擊過程中需要利用內(nèi)網(wǎng)穿透工具實(shí)現(xiàn)外網(wǎng)到內(nèi)網(wǎng)的跨邊界跳轉(zhuǎn)訪標(biāo)內(nèi)網(wǎng)IP個(gè)安全通信通道，為進(jìn)一步從外到內(nèi)滲透拓展提供便利。（1）FRPFRP是一個(gè)可用于內(nèi)網(wǎng)穿透的高性能反向代理工具，支持TCPUDP、HTTP、HTTPS等協(xié)議類型，主要利用處于內(nèi)網(wǎng)或防火墻后的機(jī)器，對(duì)外網(wǎng)環(huán)境提供HTTP或HTTPS（見圖2-20）。（2）ngrokngrok是一個(gè)開源的反向代理工具。藍(lán)隊(duì)可利用ngrok器（如Web服務(wù)器）之間建立一個(gè)安全通道，客戶端可通過反向代理服務(wù)器間接訪問后端不同服務(wù)器上的資源（見圖2-21）。圖2-20 FRP服務(wù)端和客戶端配置文件圖2-21 ngrok用法示例（3）reGeorgreGeorg是一款利用Web進(jìn)行代理的工具，可用于在目標(biāo)服務(wù)器在內(nèi)網(wǎng)或做了端口策略的情況下連接目標(biāo)服務(wù)器內(nèi)部開放端口，利用Webshell建立一個(gè)SOCKSHTTP/HTTPS隧道轉(zhuǎn)發(fā)到本機(jī)，形成通信回路（見圖2-22）。（4）SSHSecureShell（SSH）是專為遠(yuǎn)程登錄會(huì)話和其他網(wǎng)絡(luò)服務(wù)提供安全性的協(xié)議，支持SOCKS代理和端口轉(zhuǎn)發(fā)。SSH的端口轉(zhuǎn)發(fā)就是利用SSH作為中間代理，繞過兩個(gè)網(wǎng)絡(luò)之間的限制，順利進(jìn)行任意端口的訪問。SSH適用于多種平臺(tái)，Linux系統(tǒng)環(huán)境下自帶該工具，Windows環(huán)境下需要借助SecureCRT或Putty等工具實(shí)現(xiàn)SSH訪問操作。圖2-22 reGeorg模擬掃描（5）NetshNetsh（NetworkShell）是Windows本工具，可用來通過修改本地或遠(yuǎn)程網(wǎng)絡(luò)配置實(shí)現(xiàn)端口轉(zhuǎn)發(fā)功能，支持配置從IPv4或IPv6端口轉(zhuǎn)發(fā)代理，或者IPv4與IPv6的雙向端口轉(zhuǎn)發(fā)代理。網(wǎng)絡(luò)抓包分析工具網(wǎng)絡(luò)抓包分析工具是攔截并查看網(wǎng)絡(luò)數(shù)據(jù)包內(nèi)容的軟件工具，可對(duì)通信過程中的網(wǎng)絡(luò)數(shù)據(jù)的所有IP報(bào)文進(jìn)行捕獲并逐層拆包分析，從中提取有用信息。借助網(wǎng)絡(luò)抓包分析工具，藍(lán)隊(duì)可進(jìn)行目標(biāo)網(wǎng)絡(luò)通聯(lián)分析、攻擊工具通信分析和安全通信認(rèn)證信息截獲等操作。（1）WiresharkWireshark包、顯示封包資料、檢測(cè)網(wǎng)絡(luò)通信數(shù)據(jù)、查看網(wǎng)絡(luò)通信數(shù)據(jù)包中的詳細(xì)內(nèi)容等非常實(shí)用的功能，更強(qiáng)大的功能有包含強(qiáng)顯示過濾器語言和查看TCP信數(shù)據(jù)，檢測(cè)其抓取的通信數(shù)據(jù)快照文件等（見圖2-23）。圖2-23 Wireshark數(shù)據(jù)抓包示例（2）FiddlerFiddler是一個(gè)非常好用的HTTP記錄所有客戶端與服務(wù)器的HTTP和HTTPS點(diǎn)，對(duì)通過網(wǎng)絡(luò)傳輸發(fā)送與接收的數(shù)據(jù)包進(jìn)行截獲、重發(fā)、編輯、轉(zhuǎn)存等操作，用其檢測(cè)與調(diào)試Web瀏覽器和服務(wù)器的交互情況（見圖2-24）。圖2-24 Fiddler網(wǎng)絡(luò)數(shù)據(jù)調(diào)試（3）tcpdumptcpdump是Linux平臺(tái)下一款非常知名、非常強(qiáng)大的網(wǎng)絡(luò)抓包分析工具，它可以將網(wǎng)絡(luò)中傳送的數(shù)據(jù)包完全截獲下來提供分析。不僅支持針對(duì)網(wǎng)絡(luò)層、協(xié)議、主機(jī)、網(wǎng)絡(luò)或端口的過濾，還支持功能強(qiáng)大和靈活的截取策略，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的篩選和分組輸出（見圖2-25）。圖2-25 tcpdump抓包示例開源集成工具平臺(tái)（1）Linux集成環(huán)境（Kali）Kali是基于Debian的Linux件，集成了包括Metasploit在內(nèi)的超過300個(gè)滲透測(cè)試工具。（2）Windows集成環(huán)境（CommandoVM）CommandoVM是基于Windows的高度可定制的滲透測(cè)試虛擬機(jī)環(huán)境，集成了超過140個(gè)開源Windows工具，包含一系列常用的工具，比如Python和Go編程語言，Nmap和Wireshark網(wǎng)絡(luò)掃描器，BurpSuite之類的網(wǎng)絡(luò)安全測(cè)試框架，以及Sysinternals、Mimikatz等Windows安全工具。（3）CobaltStrikeCobaltStrike是一款由美國(guó)RedTeam業(yè)界人士稱為CS。CS采用Metasploit為基礎(chǔ)的滲透測(cè)試GUI多種協(xié)議上線方式，集成了Socket代理、端口轉(zhuǎn)發(fā)、Office攻擊、文件捆綁、釣魚、提權(quán)、憑證導(dǎo)出、服務(wù)掃描、自動(dòng)化溢出、多模式端口監(jiān)聽、exe和PowerShell木馬生成等功能。（4）BurpSuiteBurpSuite是用于攻擊Web集成了Web訪問代理、Web數(shù)據(jù)攔截與修改、網(wǎng)絡(luò)爬蟲、枚舉探測(cè)、數(shù)據(jù)編解碼等一系列功能。BurpSuite為這些工具設(shè)計(jì)了許多接口，可以加快攻擊應(yīng)用程序的部署與調(diào)用。專業(yè)技能儲(chǔ)備專業(yè)技能是藍(lán)隊(duì)快速應(yīng)對(duì)攻擊任務(wù)中各種情況、解決各種困難問題、順利推進(jìn)任務(wù)的保障。藍(lán)隊(duì)的專業(yè)技能儲(chǔ)備涉及漏洞、工具、戰(zhàn)法策略等多方面，主要有以下4種。工具開發(fā)技能“工欲善其事，必先利其器?！睂?duì)于藍(lán)隊(duì)來說也一樣，好的攻擊工具往往能起到事半功倍的效果。通過公開手段常常能搜集到好用的開源工具，但公開特征太過明顯，往往容易被防守方態(tài)勢(shì)感知系統(tǒng)和防火墻發(fā)現(xiàn)并攔截，從而極大地影響工作效率，因此需要借助自主開發(fā)或開源工具改版來開展工作。熟練的工具開發(fā)技能，可以讓藍(lán)隊(duì)通過借鑒他人的高效思路，快速實(shí)現(xiàn)新的工具開發(fā)或?qū)υ泄ぞ哕浖軜?gòu)和模塊功能的針對(duì)性改進(jìn)，為攻擊工作提供有力的工具保障。漏洞挖掘技能漏洞挖掘技能是利用動(dòng)態(tài)或靜態(tài)調(diào)試方法，通過白盒或黑盒代碼審計(jì)，對(duì)程序代碼流程和數(shù)據(jù)流程進(jìn)行深入分析與調(diào)試，分析各類應(yīng)用、系統(tǒng)所包含的編程語言、系統(tǒng)內(nèi)部設(shè)計(jì)、設(shè)計(jì)模式、協(xié)議、框架的缺陷，并利用此類缺陷執(zhí)行一些額外的惡意代碼實(shí)現(xiàn)攻擊破壞的能力。對(duì)于藍(lán)隊(duì)來說，漏洞是大殺器，往往能起到一招斃命的效果。前期的漏洞準(zhǔn)備對(duì)于外網(wǎng)打開突破口和內(nèi)網(wǎng)橫向拓展都非常重要，但公開的漏洞往往由于時(shí)效問題作用有限，而自主挖掘的0day卻總能作為秘密武器出奇制勝，同時(shí)漏洞貢獻(xiàn)能力是藍(lán)隊(duì)在實(shí)戰(zhàn)攻防演練中的一個(gè)重要的得分項(xiàng)。因此，藍(lán)隊(duì)需要有足夠多的漏洞挖掘技能儲(chǔ)備，尤其是與藍(lán)隊(duì)攻擊密切相關(guān)的互聯(lián)網(wǎng)邊界應(yīng)用、網(wǎng)絡(luò)設(shè)備、辦公應(yīng)用、移動(dòng)辦公、運(yùn)維系統(tǒng)、集權(quán)管控等方面的漏洞挖掘技能。代碼調(diào)試技能析、解讀、調(diào)試與審計(jì)等一系列技術(shù)能力。藍(lán)隊(duì)攻擊中情況千變?nèi)f技能對(duì)其進(jìn)行解讀和代碼審計(jì)，以快速發(fā)現(xiàn)程序bug并利用；漏洞挖掘過程中，需要對(duì)某些未知程序和軟件的逆向分析與白盒/黑盒代碼審計(jì)能力；注入攻擊過程中，對(duì)于一些注入異常，需要對(duì)注入代碼進(jìn)行解析和調(diào)試，通過代碼變形轉(zhuǎn)換實(shí)現(xiàn)規(guī)避；藍(lán)隊(duì)使用的滲透工具經(jīng)常會(huì)被殺毒軟件攔截或查殺，這時(shí)需要運(yùn)用代碼調(diào)試技能快速定位查殺點(diǎn)或特征行為，實(shí)現(xiàn)快速免殺應(yīng)對(duì)；等等。偵破拓展技能偵破拓展技能是在滲透攻擊過程中對(duì)滲透工具使用、關(guān)鍵節(jié)點(diǎn)研判、滲透技巧把握、戰(zhàn)法策略運(yùn)用等一系列技能的綜合體現(xiàn)。實(shí)戰(zhàn)攻防演練存在時(shí)間短、任務(wù)緊的特點(diǎn)，因此對(duì)藍(lán)隊(duì)在偵破拓展技能方面就有比較高的要求。偵破拓展技能是建立在藍(lán)隊(duì)豐富的實(shí)戰(zhàn)經(jīng)驗(yàn)積累上的，是經(jīng)驗(yàn)向效率轉(zhuǎn)換的直接體現(xiàn)。藍(lán)隊(duì)良好偵破拓展技能主要表現(xiàn)在三方面：一是對(duì)攻防一體理念的深刻理解，作為攻擊者，可以從防守者的角度思考問題，能快速定位防守弱點(diǎn)和突破口；二是對(duì)目標(biāo)網(wǎng)絡(luò)和系統(tǒng)的正確認(rèn)識(shí)，能根據(jù)不同攻擊目標(biāo)快速確定攻擊策略和戰(zhàn)法，針對(duì)性開展攻擊工作；三是對(duì)滲透工具的高效運(yùn)用，能快速根據(jù)攻擊策略實(shí)現(xiàn)對(duì)各類工具的部署應(yīng)用，能夠快速將攻擊思路轉(zhuǎn)化為實(shí)踐，高效開展攻擊工作。人才隊(duì)伍儲(chǔ)備藍(lán)隊(duì)不可能是一個(gè)人，而是一支由各類網(wǎng)絡(luò)安全專長(zhǎng)人才組成的綜合技能隊(duì)伍。因?yàn)榫W(wǎng)絡(luò)安全建設(shè)涵蓋了軟件應(yīng)用、硬件部署、網(wǎng)絡(luò)架構(gòu)和數(shù)據(jù)安全等多方面，所以開展網(wǎng)絡(luò)攻擊的人也必須具備包括代碼調(diào)試、逆向工程、系統(tǒng)攻擊和數(shù)據(jù)分析在內(nèi)的許多專業(yè)技術(shù)知識(shí)，而一個(gè)人不可能同時(shí)專精于所有這些專業(yè)技術(shù)知識(shí)。藍(lán)隊(duì)攻擊隊(duì)伍需要各類專長(zhǎng)人才進(jìn)行搭配組合，團(tuán)隊(duì)人員包括擁有情報(bào)搜集、滲透拓展、工具開發(fā)、漏洞挖掘與免殺等各類特長(zhǎng)的人員。人才隊(duì)伍是各項(xiàng)技能的載體，有了充足而全面的人才隊(duì)伍儲(chǔ)備，藍(lán)隊(duì)就可以從容應(yīng)對(duì)攻擊任務(wù)中的各類情況，有效解決各類專業(yè)問題。各類專長(zhǎng)人才的科學(xué)組合是一支藍(lán)隊(duì)隊(duì)伍高水平的體現(xiàn)（見圖2-26）。圖2-26 綜合團(tuán)隊(duì)是藍(lán)隊(duì)高效運(yùn)轉(zhuǎn)的基礎(chǔ)目標(biāo)網(wǎng)情搜集何為網(wǎng)情搜集網(wǎng)情搜集是指圍繞攻擊目標(biāo)系統(tǒng)的網(wǎng)絡(luò)架構(gòu)、IT資產(chǎn)、敏感信而收集了IT路徑的選擇（見圖2-27）。圖2-27 網(wǎng)情搜集工作網(wǎng)情搜集的主要工作網(wǎng)情搜集的內(nèi)容主要包括目標(biāo)系統(tǒng)的組織架構(gòu)、IT資產(chǎn)、敏感信息、供應(yīng)商信息等方面：·組織架構(gòu)包括單位部門劃分、人員信息、工作職能、下屬單位等；·IT資產(chǎn)包括域名、IP、C段、開放端口、運(yùn)行服務(wù)、Web中間件、Web應(yīng)用、移動(dòng)應(yīng)用、網(wǎng)絡(luò)架構(gòu)等；·敏感信息包括代碼信息、文檔信息、郵箱信息、歷史漏洞信息等；·供應(yīng)商信息包括合同、系統(tǒng)、軟件、硬件、代碼、服務(wù)、人員等的相關(guān)信息。1.專業(yè)網(wǎng)站（1）專業(yè)網(wǎng)絡(luò)信息網(wǎng)站通過專業(yè)網(wǎng)絡(luò)信息網(wǎng)站搜集目標(biāo)的IP范圍、域名、互聯(lián)網(wǎng)側(cè)開放服務(wù)端口、設(shè)備指紋與網(wǎng)絡(luò)管理等相關(guān)信息。下面介紹幾個(gè)比較典型的網(wǎng)絡(luò)信息查詢網(wǎng)站。Shodan（https://www.shodan.io）。Shodan的搜索引擎，百度百科里這樣描述：“Shodan可以說是一款‘黑暗’谷歌，一刻不停地在尋找著所有和互聯(lián)網(wǎng)關(guān)聯(lián)的服務(wù)器、攝像頭、打印機(jī)、路由器等?！盨hodan爬取的是互聯(lián)網(wǎng)上所有設(shè)備的IP址及其端口號(hào)，其官網(wǎng)提供了強(qiáng)大的搜索功能，可通過IP備進(jìn)行條件搜索，獲取大量有價(jià)值的網(wǎng)絡(luò)信息。Censys（https://censys.io）。Censys網(wǎng)設(shè)備信息的新型搜索引擎，其功能與Shodan十分相似。與Shodan比，其優(yōu)勢(shì)在于它是一款由谷歌提供支持的免費(fèi)搜索引擎。Censys集目標(biāo)信息的利器。ZoomEye（）。中文名字“鐘馗之眼”，是國(guó)內(nèi)一款類似于Shodan的搜索引擎。ZoomEye分?jǐn)?shù)據(jù)資源搜索：網(wǎng)站組件指紋，包括操作系統(tǒng)、Web言、Web開發(fā)框架、Web應(yīng)用、前端庫及第三方組件等；終端設(shè)備指紋，主要對(duì)NMAP大規(guī)模掃描結(jié)果進(jìn)行整合。FOFA（https://fofa.so）。FOFA（網(wǎng)絡(luò)空間資產(chǎn)檢索系統(tǒng)）也是一款網(wǎng)絡(luò)設(shè)備搜索引擎，號(hào)稱擁有更全的全球聯(lián)網(wǎng)IT設(shè)備的DNA息，數(shù)據(jù)覆蓋更完整。通過其官網(wǎng)可搜索全球互聯(lián)網(wǎng)的資產(chǎn)信息，進(jìn)行資產(chǎn)及漏洞影響范圍分析、應(yīng)用分布統(tǒng)計(jì)、應(yīng)用流行度態(tài)勢(shì)感知等。APNIC（）。APNIC提供全球性的支持互聯(lián)網(wǎng)操作的分派和注冊(cè)服務(wù)。通過其官網(wǎng)可對(duì)公共APNICWhois庫進(jìn)行查詢，獲取目標(biāo)網(wǎng)絡(luò)IP地址、域名網(wǎng)絡(luò)服務(wù)提供商、國(guó)家互聯(lián)網(wǎng)登記等相關(guān)信息。CNN