2022年,在日益不穩定的全球網路安全格局中,大規模針對性網路行動大幅增加,攻擊複雜性持續上升。網路強國建設已經從“粗放式”發展延伸至“精細化”耕耘的新階段,定期開展實戰化攻防演習已成為各類單位檢驗安全防護能力、完善應急處置流程和工作機制、提升安全事件應急處置綜合能力水平的重要舉措。
近日,一場由中國資訊協會資訊保安專業委員會、中國網路安全產業聯盟、建信金科安全攻防實驗室指導,三六零集團(股票程式碼:601360.SH) 旗下的360政企安全集團主辦的實戰攻防演習圓滿落下帷幕——360政企安全集團在真實的網路環境下,結合數百場實網攻防演練的實戰經驗,以及多年來支撐各行業攻防演習的組織管理能力,來檢驗360自身的網路安全防護能力,並將其製作成紀錄片對外發布,為各行業展開實戰攻防演習帶來參考。
在真實網路環境下面向真實系統開展網路攻防演習,必須保證整個演習過程安全可控。作為演習指揮排程平臺,由360自研的新一代實網攻防靶場平臺充分保障了演習的安全性、可靠性、時效性。依託該平臺,攻守雙方將人、謀略、工具、產品、資源的“排兵佈陣”展現得淋漓盡致,上演了“高階攻擊技戰術”與“空地一體化防禦體系”的終極博弈。
演習開始前,雙方都進行了充分的環境準備。防守隊利用天相、QUAKE、本腦等產品進行了資產測繪、資產監測、抗攻擊能力評估、資料接入等措施。攻擊隊則針對性梳理了漏洞儲備和武器儲備;在人員準備方面,攻擊隊分為攻擊組、釣魚組、能力組,防守隊分為安全監控組、應急響應組、安全分析組。
演習過程中,攻擊隊除了常規摸排,還採用了大量非常規手段,如釣魚郵件、AI對抗鍵盤竊聽、近源社工、0day漏洞、“水坑”利用等多種攻擊手段。在攻擊武器的運用上,利用XMap針對公司及其子公司、供應鏈等資產進行了摸排,併成功摸到某員工常用系統;使用經過“女媧”免殺的Vanilla特馬製造釣魚郵件,並利用甜美女聲最終誘導目標下載攜馬附件。
防守方則以嚴密的分析研判能力、臨危不亂的應急響應和危機處置作戰能力,構築起安全的“銅牆鐵壁”。如利用“NDR沙箱+本地安全大腦”及時處置釣魚郵件;通過“磐雲”發現摸排行為並封禁可疑終端,隨後扔進“威脅情報池”,秒級通知其他安全產品。綜合利用“EDR+NDR+本地安全大腦”,上演了網路隔離—關聯日誌分析樣本—成功溯源的“0day絕殺”。還通過“蜜罐”溯源成功,下線了攻擊隊唯一能進入內網的VPN許可權。
經過五個回合的背對背對抗,為期三天的攻防演習最終以攻擊隊拿下靶標B,防守隊成功防守住靶標A和靶標C畫上了句號。
在覆盤環節中,雙方整體發揮可圈可點。攻擊隊充分展現了工程化、武器化能力,以及充分的研究儲備,藉助後方能力實施了多樣立體式的對抗攻擊。防守隊充分運用了體系化防禦,展現了安全運營和安全服務的高效協同,同時利用自動化編排有效提升了響應時間。
中國資訊協會資訊保安專業委員會主任葉紅表示,360政企安全集團無論在攻擊技術、一體化防禦思想、安全運營體系等方面都具有豐富經驗,此次攻防演習對業內極具參考價值。
中國建設銀行金融科技部安全架構管理處副處長陳德鋒表示,360政企安全集團作為安全行業的領導企業,這次演習為各行各業做了一次全面示範,未來的攻防演練一定會向著常態化、體系化、實戰化發展。
正如360政企安全集團高階副總裁高瀚昭所說,“我們接下來也希望代表數字安全的領軍力量,能夠在未來的實戰攻防中貢獻自己的能力。幫助國家、城市、行業、企事業日後開展常態化實網攻防演練,推動自身安全能力不斷進化,錘鍊數字時代的安全防禦體系。”