1.1.2 实战攻防演练的发展现状

1. 实战攻防演练向规模化演变

我国实战攻防演练的发展分为两个阶段:第一阶段是试验阶段,以学习先进实战经验为主,参演单位少,演练范围小;第二阶段是推广阶段,实战演练发展飞速,参演单位数量暴增,演练走向规模化。

2016年《中华人民共和国网络安全法》的颁布,标志着我国的网络安全攻防演练进入试验阶段。当年,我国在举行第一场实战攻防演练后,迅速将网络安全实战演练推上日程,为日后发展打下了坚实基础。在试验阶段,世界上著名的“网络风暴”“锁盾”等网络攻防演练行动为我国实战攻防演练发展提供了参考。在各部门的高度重视下,演练范围越来越广,参演单位数量和涉及行业逐年增多,我国实战攻防演练开始走向规模化。时至今日,监管机构和各行业都已开展了实战攻防演练,在实战演练中诞生了一大批网络安全尖兵。

2. 演练规则向成熟化演变

随着国内实战攻防演练的规模逐渐扩大,演练规则也在逐年完善,覆盖面更广,内容更贴合实战,在发展过程中渐渐成熟。从规则设置看,数量逐年增加,规则进一步细化,要求更严。对攻击方而言,要尽可能地找出系统中存在的所有安全问题,穷尽所有已知的攻击方法,达到让终端、边界、目标系统失陷的目的;对防守方而言,要进行网络安全监测、预警、分析、验证、处置等一系列工作,并在后期复盘总结现有防护工作中的不足之处,为后续常态化的网络安全防护措施提供优化依据。从具体内容看,规则制定紧贴网络安全发展形势,向实战化倾斜。比如,针对APT攻击,要求防守方做到在攻击发生后,不仅要保证损失降到最低,更要掌握是谁、通过何种方式进入系统、做了什么。同时,针对网络安全“一失万无”的特性,除了保护目标系统外,也要保证相关的业务安全运营,在演练中培养从业者的全局意识。

3. 演练频度向常态化演变

在监管部门、政企机构的高度重视下,实战攻防演练逐渐走向常态化,影响力进一步扩大。一年一度的实战攻防演练周期逐渐拉长。同时,更多政企机构开始利用攻防演练检测自身的网络安全能力,从而为后续网络安全建设指路。网络攻击突破空间限制,攻击速度快,随时可能发生。应实战要求,攻防演练对抗周期逐年拉长。在贴合实战的攻防博弈中,防守方必须进行全天候、全方位的网络安全态势感知,增强网络安全防御能力和威慑力。实战攻防演练成为政企机构网络安全防御能力的常态化检查手段。只有打一遍,在攻防对抗中发现问题并解决问题,才能针对特定问题进行建设规划,全面提升网络安全能力。现在很多大型政企机构希望专业的网络安全服务商先做一次实战攻防演练,之后再根据演练结果进行定制化的网络安全规划与设计服务。只有不断进行网络攻防演练和渗透测试,才能不断提升安全防御能力,从而应对不断变化的新型攻击和高级威胁。

4. 攻击手段向多样化演变

随着演练经验的不断丰富和大数据安全技术的广泛应用,攻防演练的攻击手段不断丰富,开始使用越来越多的漏洞攻击、身份仿冒等新型作战策略,向多样化演变。

2016年,网络实战攻防演练处于起步阶段,攻防重点大多集中于互联网入口或内网边界。从演练成果来看,从互联网侧发起的直接攻击普遍十分有效,系统的外层防护一旦被突破,横向拓展、跨域攻击往往都比较容易实现。

2018年,防守方对攻击行为的监测、发现能力大幅增强,攻击难度加大,迫使攻击队全面升级。随着部分参与过演练的单位的防御能力大幅提升,攻击队开始尝试更隐蔽的攻击方式,比如身份仿冒、钓鱼Wi-Fi、供应链攻击、邮箱系统攻击、加密隧道等,攻防演练与网络实战的水平更加接近。

2020年,传统攻击方法越来越难取得成效,攻击队开始研究利用应用系统和安全产品中的漏洞发起攻击。比如:大部分行业会搭建VPN(Vitual Private Network,虚拟私人网络)设备,可以利用VPN设备的一些SQL注入、加账号、远程命令执行等漏洞展开攻击;也可以采取钓鱼、爆破、弱口令等方式来取得账号权限,绕过外网打点环节,直接接入内网实施横向渗透。

2021年,攻防对抗进一步升级,防守方攻击监测防护能力的大幅提升以及攻防技术的快速提高,使得攻击队攻击成本和攻击难度也快速提高。于是,攻击队开始大量使用社工攻击手段,从邮件钓鱼发展到微信等多种社交软件钓鱼,甚至到物理渗透、近源攻击,力求有效绕过防护壁垒,快速进入内网。网络安全实战演练是攻防对抗的过程,攻击手段多样化的最终目的是提升网络安全防护能力,应对不断变化的网络安全威胁。

5. 安全防御向体系化演变

近几年的实战攻防演练充分证明,没有攻不破的网络,没有打不透的“墙”。面对多样化的网络攻击手段,不能临阵磨枪、仓促应对,必须立足根本、打好基础,用系统思维开展体系化的网络安全建设。网络安全防护思路,急需从过去的被动防御走向主动防御。被动防御可以理解为“事后补救”,采用隔离、修边界等技术方法,是局部的,针对单点的,安全产品之间缺乏联动。这种“头痛医头,脚痛医脚”“哪里出问题堵哪里”的防御思路,已经不再适应当前的网络安全形势。主动防御可以理解为“事前防控”,将关口前移,防患于未然。在实战演练后,应对现有安全架构进行梳理,以安全能力建设为核心思路,重新设计企业整体安全架构,通过多种安全能力的组合和结构性设计,形成真正的纵深防御体系。