对抗中的主动防御——攻防演练及小规模网络对抗的战术

一、序言

2016年4月，国家领导人在网络安全和信息化工作座谈会上发表重要讲话指出，“网络安全的本质是对抗，对抗的本质是攻防两端能力的较量。”

同年，《网络安全法》颁布，出台网络安全演练相关规定：关键信息基础设施的运营者应“制定网络安全事件应急预案，并定期进行演练”。

结合在知道创宇四年来的经验，以及对近年来国内外网络对抗的总结后，我认为要想把攻防演练和小规模网络对抗的防御工作做好，必须解决两个问题：

在网络对抗方案中，大部分的方案都在做“点”的堆叠，这些堆叠往往是基于方案厂商自有的产品和服务能力，并没有考虑到网络对抗中的效果，主要是将以往安全建设的方案进行重新包装，即：新坛装老酒；

以往的方法论，包括：等保、ISMS、ITIL等等，在目标、宏观、指导性层面上虽然极具参考性，但在实际中却缺乏落地策略及直接有效的操作方针来阻挡攻击者。

对此，本文将参考一部专门针对小规模对抗的著作提出的战术中心思想，落实在实际的网络攻防中，利用主动防御进行黑客对抗。本文重在提出对抗方针，即：在已经进行了基础的信息安全建设后（例如，已经通过等保、分保、ISO 27001、Cobit、SOX404等等），应该从哪些方面入手和加强，以防御真正的网络攻击。具体操作指南需要根据实际业务场景和IT环境进行细化。

本文不求像纲领性文件、要求或一些方法论中做到的全面，仅从最有效的方面进行阐述。

二、对抗，对抗，对抗

实际的小规模网络攻防中，面对的攻击对象，主要包括国内外敌对势力、商业和民间黑客以及执行攻防演练行动中进行安全性检测的攻击队等。

攻击对象不乏有使用1day，甚至是0day的攻击手段，在某些特定对象和场景中，也可能会遇到APT攻击。面对这些攻击时，一味地进行被动防御，即使不断提高防御手段，往往只是增加资源投入和成本，并不能起到更好的效果。

例如：

防火墙或网闸买得再多、访问控制策略做得再细致和规范，若它们自身就存在0day漏洞或1day漏洞未修补，则直接可被攻破；

业务系统接入了云防御，即使云端防御再好，一旦攻击者找到了未做信任策略的源站地址，一切防御将全部失效；

内网部署了很好的防御产品和策略，包括防病毒、反垃圾邮件等，但内部员工被鱼叉攻击，依然会泄露重要和敏感信息；

业务系统防范严密，却在某个具有出口的测试环境中存在暗资产，或者在GitHub上泄露了数据，导致其成为跳板甚至被进行内网漫游或使攻击者直接获得了某些重要资料和信息；

等等场景，不胜枚举。

被动防御永远在亡羊补牢。基于网络安全发展史的经验来看，面对攻击，是可以进行如下两个判断的：

对每种攻击手段、防御措施的资源投入，平均下来一定远远大于攻击成本；

每个攻击者的攻击手段可能无限多。

所以得出的结论是：仅考虑防御，将会耗尽无限多的资源，而即使如此，也未必能做到最好。

所以强调指出：网络安全的本质是对抗。

对抗，不是被动防御。对抗的目标是“敌人”，是攻击者，防御方案不仅是为了免责和心里安慰，目的是在实际的小规模网络中保护自己的业务系统，保护社会数据，保护国家信息资产。

三、不管资源多少，要将资源尽可能用于主动防御对抗中

只有将目标聚焦到攻击者、聚焦到对“人”的对抗上，才能在网络攻防中取得胜利。

主动防御或机动防御理念，是在入侵成功之前通过精确预警，有针对性、机动地集中资源重点防御并伺机进行反击。在网络安全领域，目前其方法论和技术方案尚不成熟。

在小规模对抗中，攻击者可能来自于任何地方，但具备攻击能力的人群总数是有限的，对有生力量的精力和时间的打击和消耗，以及进行可能的自然人溯源，是目前我认为的主动防御思想的核心。

在传统安全模型中经常提到“木桶原理”、PDCA、PDRR等概念，旨在强调加强短板建设、形成周期性闭环等等，这些理论是正确的，但这些理论的出发点更多的是考虑通过“知己”及“内建”，以应对外界威胁，更适合用来作为指导性思想，进行常态化和持久化信息安全建设。而在主动防御理论中，更优先考虑的是“知彼”，依据攻击者可能的手段及弱点协调资源进化自己。

所以在整体资源有限、时间周期不长、攻击者相对较明确的网络攻防中，应将资源用于主动防御对抗中，这样能更加明显地实现预期效果并取得更优的成果。

主动防御的出发点应该围绕“敌人”，方案应该更强调“立竿见影”。

以下部分将进行主动防御思想体系下，应对攻防演练及小规模网络对抗的战术方法介绍。

四、如果内部安全人员有限，可以更多地使用自动化工具或外采人工服务

包括政府、事业单位、央企、国企、大中型企业等在内的大部分组织中，受内部信息安全岗位编制、人员专业技能等的局限，往往对于突发性或阶段性高强度的网络对抗感到资源有限、力不从心。在这种情况下，长期或阶段性使用自动化工具会让工作事半功倍。

这里指出的自动化工具，包括：网络资产测绘、漏洞扫描器、IDS/IPS、防火墙、防病毒、云防御、WAF、堡垒机、日志审计、蜜罐、SOC等等常态化信息安全产品，更重要的是需要使用SOAR（安全编排自动化响应工具）。

SOAR是Gartner缔造及推广的。一个好的SOAR，在网络对抗中应该可以做到以下两方面：

可以进行综合数据处理和分析，这些数据应该包括资产、风险、威胁、日志、防御状态等等，如果有可能，最好是能够内置或挂载一些开源情报和秘密情报，能够快速构建及调整数据处理和分析模型。高效、准确地处理和分析数据，与各类情报数据进行匹配，可以在攻击初始即发现其动机，甚至可以预知攻击的方向及强度，再配合人性化的UI界面、大屏展示和趋势分析图，可以达到“态势感知”的效果；

可以进行设备联动处理，并能够进行一定针对安全工作的流程处理，以简化安全事件响应流程，极大地缩短事件处理时间。在网络对抗中，至为关键的因素就是平均检测时间（MTTD）和平均修复时间（MTTR）。越准确地发现自己的薄弱点、越高效地发现攻击行为、越快速地进行修复、越简化的工作流程，就能使攻击者浪费更多的时间和精力，进而耗尽其有生力量。而需要达到这样的效果，必须依托于自动化处理手段；

（编辑：应用网_阳江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!