对抗中的主动防御——攻防演练及小规模网络对抗的战术

直接匹配。在大规模资产的组织中，如果有1day漏洞爆发，或者需要针对某一特定漏洞进行探测时，整体探测的效率太低，最好是能够依靠已有的资产地图直接进行漏洞版本匹配。这就需要存留一份完整的漏洞库，以及一份完整的资产（包括详细版本）地图，并且需要能快速地将两者进行匹配。

所以在绘制资产地图时，要以快速为目标，周期性进行高速测绘；再用精准的模式时刻补充、修正和更新；对1day和特定漏洞可以进行资产精确版本的直接匹配，以做到第一时间发现和处理可能存在的风险。

十二、组建应急小组，实时处理突发事件

应急响应小组，在对抗中起到“消防队员”的作用和效果，他们应该能够快速处理攻击中后期的各类紧急事件。应急响应小组只有由最高责任领导担任总指挥才能发挥其快速响应和贯穿多部门协调资源的效果。应急响应小组应该包括总协调人、安全技术专家、安全工程师、各业务接口人等组成。

在前期，应急响应小组应该建立好应急响应流程和安全事件定义。关于应急响应的指导性建设，可参考GB/Z 20985和GB/Z 20986，相关针对应急响应的各类方案在业界也比较成熟，在这里不进行累述。

在操作层面，比较推荐参考YD/T 1799，其中涉及到对于人员、工具、职责、质量等要求具有很高的操作指导价值。同时它对于准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、总结阶段的详细阶段描述和操作要求，极具指导性和实操性，建议根据其要求进行规范和使用，制定操作指南。

十三、对抗过程中尽量不要惊动攻击者

在实际与攻击者的对抗中，有两个时间，尽量不要惊动攻击者：

对攻击行为进行采集和分析时；

对攻击者进行溯源时。

在对攻击行为进行采集和分析时，可以使用旁路流量监视和分析，也可以在不惊动攻击者的情况下做其他的检测。可以将操作系统、中间件、各类访问日志，各类安全设备日志，各类流量分析结果统一汇总到非DMZ区或者业务区的分析平台进行分析，将攻击事件进行关联。

在进行攻击者溯源时，使用的JS、钓鱼等技术和手段，应该尽量加密、混淆、仿真、伪装和反溯源，尽量不要引起攻击者怀疑，尽量提高其分析难度，尽量使其难以进行反溯源。

在抓取足够数据时，立刻进行封堵、反击等操作，使其措不及防。

十四、只要有业务系统变更或模块升级，就应进行安全测试

业务系统经常会有变更和模块升级，包括网络架构、Web业务系统、APP、工控系统、小程序、各类接口等等，只要有变更，或者某些功能模块的升级，都应该对变更部分进行安全性测试，以保证新上线的功能没有安全隐患。更好的办法是在它们集成到现有业务系统之前，在测试阶段就进行安全性测试。但是测试环境和真实环境仍然是有差别的，有时在测试环境中没有发现问题，在真实环境下会出现问题。所以最好是能够在正式上线前的测试环境和正式上线后都进行一次安全性测试。

另外，应该在新系统或者新功能设计时就考虑到安全性，并将其设计在其中。如果有可能，建议建立统一威胁和漏洞管理。

十五、溯源能力越强，自查和修补措施越完善，被攻破的可能性越小

在网络对抗方案设计阶段，应该考虑到以上各部分的内容，考虑得越详尽，越贴合业务场景，约有实操性，对抗能力越强。

在实际环境中，往往要建设一个完善的主动防御体系，是需要分阶段、分步骤进行的。如果之前没有进行过这方面的建设，我建议按照如下步骤考虑，这里包括了对于成本、实施难度、立竿见影的效果等多方面的因素：

组织建设一支高效的应急小组，他们可以负责在前期进行必要的风险评估和修补，也负责在发生事件时进行处置；

全面进行弱口令排查；

建立一个“非白即黑”的处理机制，在确定发现攻击后，马上进行封堵。这里面有可能因为分析能力的不完善出现漏判和误判，需要应急小组能够进行紧急响应；

对1day漏洞进行专项跟踪，并对有可能受其影响的设备进行排查和修补；

采购或租用蜜罐/蜜网，他们能极大地减缓攻击成功的时间，消耗攻击者的精力，好的蜜罐还能进行溯源。可以为防御创造更多的时间，为反击提供可能；

采购各类自动化工具，协助和武装安全管理员和应急小组，使他们能够更快速、更高效地发挥战斗力。自动化工具的采购步骤，请依据实际的预算和安全基础建设成熟度逐步采购；

组建或租用安全服务团队，一方面进行安全性测试或者红蓝对抗测试，另一方面更有体系的长期进行安全事件处置和规划动态安全防御体系。

十六、信息安全负责人和项目经理既要积极主动，又要坚决果断

信息安全负责人和项目经理是整个网络对抗的总负责人，在整个工作中起到至关重要的作用。自古既有“物勒工名，以考其诚；工有不当，必行其罪”的说法。

总负责人既然要负起全部责任，就必须被赋予相应的权利。经常会遇到这样的场景：某些业务系统有极大的安全隐患，但是安全负责人不敢或者无法有效协调业务部门负责人，最终导致该业务系统被攻破。如果希望在网络对抗中达到效果，就需要组织高层在这些方面赋予相应的权利。

另外我曾经经常遇到的场景，也是特别需要注意的，在组织协调中，往往会出现“@甲、@乙、@丙，你们处理一下”这种情况。在这种工作安排下，一般被安排到的那个部门或者责任人都不会去很好地处理，这种工作安排实际上是一种“懒政”的表现。合理的安排应该是“@甲，授权全权负责该事情，@乙和@丙全力配合”。

十七、结尾

感谢看到结尾。以上写到的内容，都是从实操出发，针对小规模的攻击和攻防演练提出的。

对于“小规模”的理解：我认为小规模大致应该是持续数月、商业黑客或敌对组织攻击级别（非国家级）、会少量使用0day（具备一定的0day挖掘能力）、较大量使用社工手段（包括钓鱼等）和1day漏洞、不以DDoS为目的、具备完善的Web、APP和内网攻击等能力，具备一定的工控网络攻击能力，具备一定APT能力，不具备定向攻击能力（例如专门针对某一设备或工业组织），不具备全网攻击0day（例如某骨干网基础传输协议或设备的0day等），不具备通杀型0day（例如某常见操作系统远程溢出root权限0day等），不具备复杂工具制作能力，以窃取某些特定资料、信息或取得某些权限为目的的有组织的攻击行为。

作者：知道创宇主动防御产品线 总经理 王宇

（编辑：应用网_阳江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!