什么是網(wǎng)絡(luò)安全攻防演習(xí)？

自2006年美國組織“網(wǎng)絡(luò)風(fēng)暴”系列演習(xí)開始，網(wǎng)絡(luò)安全攻防演習(xí)在全球范圍內(nèi)蓬勃興起。2016年，公安部組織開展了“護網(wǎng)”網(wǎng)絡(luò)安全攻防演習(xí)活動，同年《網(wǎng)絡(luò)安全法》正式公布，我國進入網(wǎng)絡(luò)安全攻防演習(xí)元年。近幾年，各行業(yè)、各地區(qū)組織的網(wǎng)絡(luò)安全攻防演習(xí)越來越多，規(guī)模和強度也越來越大，攻防演習(xí)已成為檢驗各單位網(wǎng)絡(luò)安全綜合防護水平的“試金石”和提升網(wǎng)絡(luò)安全應(yīng)急處置能力的“磨刀石”。2020年以來，教育部科技司會同教育部教育管理信息中心連續(xù)組織教育系統(tǒng)網(wǎng)絡(luò)安全攻防演習(xí)，每年都取得良好效果。

習(xí)近平總書記指出，“網(wǎng)絡(luò)安全的本質(zhì)在對抗，對抗的本質(zhì)在攻防兩端能力較量”。網(wǎng)絡(luò)安全攻防演習(xí)是在真實網(wǎng)絡(luò)環(huán)境中，通過組織攻擊方以盡可能接近實戰(zhàn)的方式，對防守方目標(biāo)系統(tǒng)進行模擬攻擊，防守方可采用各類防御方法，感知安全態(tài)勢，及時發(fā)現(xiàn)攻擊行為并應(yīng)急處置，保護本方數(shù)據(jù)、系統(tǒng)和網(wǎng)絡(luò)。攻擊方以獲取權(quán)限和數(shù)據(jù)為目標(biāo)，在不影響業(yè)務(wù)系統(tǒng)正常運行的前提下，不限制攻擊手段和路徑，最終戰(zhàn)績是檢驗演習(xí)成敗的重要標(biāo)準(zhǔn)。

網(wǎng)絡(luò)安全攻防演習(xí)高度模擬真實對抗場景，具有獨特的實戰(zhàn)價值，“仗怎么打，兵就怎么練”。演習(xí)能有效發(fā)現(xiàn)各類網(wǎng)絡(luò)安全漏洞和隱蔽風(fēng)險，找到網(wǎng)絡(luò)安全防護短板，檢驗和提高網(wǎng)絡(luò)安全應(yīng)急處置能力，同時有利于培養(yǎng)和提升網(wǎng)絡(luò)安全人員的實戰(zhàn)能力，強化全民網(wǎng)絡(luò)安全風(fēng)險意識，為加強安全體系下一步建設(shè)提供方向，是常態(tài)化網(wǎng)絡(luò)安全管理工作中的重要內(nèi)容。

典型攻擊技戰(zhàn)法

在攻防雙方的激烈較量中，攻擊方的能力越強，投入時間越多，能夠獲得的戰(zhàn)果就越大，攻擊方的精心組織對攻防演習(xí)的效果有重大影響。如果防守方能夠在早期發(fā)現(xiàn)攻擊方的蛛絲馬跡，并成功阻斷攻擊鏈，就往往可以避免重大的連片式安全失陷。

“工欲善其事，必先利其器?！惫舴匠思夹g(shù)和工具的準(zhǔn)備，在演習(xí)預(yù)備階段也會盡可能儲備公開漏洞、提前挖掘0day漏洞，對不同類型的業(yè)務(wù)系統(tǒng)、中間件和開發(fā)框架等，建立漏洞利用武器庫，在演習(xí)中快速根據(jù)應(yīng)用指紋特征識別目標(biāo)，進行精準(zhǔn)打擊。攻擊隊成員一般各有所長，有的擅長社會工程學(xué)獲取賬戶密碼，有的擅長快速漏洞挖掘并組合利用，有的擅長繞過防火墻內(nèi)網(wǎng)滲透。加強團隊分工合作，流水線作業(yè)會起到事半功倍的效果。

常規(guī)攻擊路徑

第一階段是信息收集。主要收集目標(biāo)單位的信息資產(chǎn)（如域名、IP地址段、App/小程序/公眾號等移動應(yīng)用、信息系統(tǒng)等）、人員信息（如師生學(xué)/工號、手機號、郵箱信息、身份證號等）、賬戶密碼（如統(tǒng)一身份認(rèn)證賬戶密碼、各系統(tǒng)初始密碼、社工庫密碼等）、網(wǎng)絡(luò)架構(gòu)、系統(tǒng)開發(fā)商、系統(tǒng)運維方等，這一階段的目標(biāo)是尋找外圍和內(nèi)部所有可能的薄弱點，為后續(xù)突破提供入口。

第二階段是邊界突破。根據(jù)收集的信息，攻擊者直接挖掘遠(yuǎn)程命令/代碼執(zhí)行漏洞、SQL注入、越權(quán)訪問等Web漏洞實現(xiàn)突破，也可利用統(tǒng)一身份認(rèn)證的VPN撥入等方式進入目標(biāo)單位網(wǎng)絡(luò)。針對收集到的人員郵箱、手機號、邊緣薄弱站點等，攻擊者也會嘗試開展釣魚、口令猜解等社會工程學(xué)攻擊，控制目標(biāo)單位人員郵箱或者電腦；通過聯(lián)網(wǎng)的硬件設(shè)備，如安防系統(tǒng)、網(wǎng)絡(luò)設(shè)備，甚至安全設(shè)備等，也可利用其漏洞作為跳板進入內(nèi)網(wǎng)，實現(xiàn)對目標(biāo)系統(tǒng)的迂回突破。

第三階段是內(nèi)網(wǎng)滲透。主要進行內(nèi)網(wǎng)信息收集，包括網(wǎng)絡(luò)拓?fù)?、單位人員通信錄、密碼本、數(shù)據(jù)庫賬號密碼、遠(yuǎn)程運維信息等敏感內(nèi)容，通過MS17-010等漏洞利用和使用泄露賬號遠(yuǎn)程登錄，在同子網(wǎng)內(nèi)進行橫向滲透，跨網(wǎng)段和安全域進行縱向滲透，控制域控服務(wù)器、虛擬化管理服務(wù)器、運維人員主機、堡壘機、數(shù)據(jù)庫服務(wù)器等關(guān)鍵設(shè)備，從而進一步突破區(qū)域隔離，接近并控制目標(biāo)系統(tǒng)。隨著攻防博弈的升級，為了防止被發(fā)現(xiàn)阻斷，攻擊者會使用加密通信回聯(lián)C2、混淆免殺維權(quán)等手段保護自身，并可能主動修復(fù)前期利用漏洞來避免被防守方發(fā)現(xiàn)。

靈活攻擊思路

為了拿下目標(biāo)系統(tǒng)，攻擊者往往不走尋常路，繞過防守方的馬奇諾防線，無所不用其極。以近年來教育系統(tǒng)網(wǎng)絡(luò)安全攻防演習(xí)為例，攻擊者首先會嘗試正面強攻，直接打擊主要目標(biāo)資產(chǎn)，一旦有所突破就長驅(qū)直入，迅速獲得目標(biāo)系統(tǒng)權(quán)限。但是主要目標(biāo)往往會受到重點保護，系統(tǒng)本身的漏洞相對較少，圍繞可能攻擊路徑的安全防護設(shè)備與監(jiān)測預(yù)警體系相對更為嚴(yán)密，攻擊易被察覺和阻斷，成功難度較大。

因此，靈活多變、出其不意的攻擊思路往往效果更佳。一是嘗試攻擊目標(biāo)單位邊緣脆弱資產(chǎn)或系統(tǒng)，如一些缺乏維護的老舊系統(tǒng)、測試環(huán)境和測試系統(tǒng)等，成功后利用其進一步接近目標(biāo)系統(tǒng)。二是在存在上下級信息系統(tǒng)的情況下，上級的系統(tǒng)一般資產(chǎn)暴露少，防護更加嚴(yán)密，攻擊者可以考慮優(yōu)先攻擊防護較為薄弱的下級單位分系統(tǒng)。拿到分系統(tǒng)的控制權(quán)限后，獲取系統(tǒng)源代碼或部署信息，挖掘出漏洞利用點，再利用其接近上級目標(biāo)系統(tǒng)。三是注意網(wǎng)絡(luò)設(shè)備、安全設(shè)備也可能不安全，如低版本的VPN、堡壘機等可能被遠(yuǎn)程利用。曾有攻擊方發(fā)現(xiàn)某些高校使用的WebVPN應(yīng)用URL編碼存在規(guī)律，訪問部分系統(tǒng)二級路徑和API不需要鑒權(quán)，利用該漏洞成功突破了網(wǎng)絡(luò)邊界進入高校內(nèi)網(wǎng)。

供應(yīng)鏈攻擊

供應(yīng)鏈攻擊不直接面向目標(biāo)單位，而轉(zhuǎn)向目標(biāo)系統(tǒng)的開發(fā)運維方環(huán)境尋找弱點，更加隱蔽但往往有效。學(xué)工、財務(wù)、網(wǎng)站群、教務(wù)、科研、一卡通、OA等教育系統(tǒng)都有通用的軟件供應(yīng)商，其產(chǎn)品覆蓋成百上千所學(xué)校。供應(yīng)鏈攻擊一旦成功，同樣的方法可以直接應(yīng)用到大量單位，造成連片式、大面積影響。近年的演習(xí)中，供應(yīng)鏈攻擊效果顯著，很多無法正面突破的目標(biāo)系統(tǒng)，往往從供應(yīng)鏈側(cè)找到了利用入口。

供應(yīng)鏈攻擊的第一步是確定目標(biāo)系統(tǒng)供應(yīng)商?？赏ㄟ^目標(biāo)系統(tǒng)頁面版權(quán)信息、目標(biāo)單位招標(biāo)采購信息和其他應(yīng)用指紋信息等來確認(rèn)系統(tǒng)供應(yīng)商。對于經(jīng)驗豐富的攻擊者，通過網(wǎng)站的前端代碼和后臺接口信息往往可以確定開發(fā)廠商。

供應(yīng)鏈攻擊是一個迂回策略，要專注目標(biāo)系統(tǒng)的信息獲取，不能擴大化。一是嘗試獲取目標(biāo)系統(tǒng)的運維信息，如項目管理系統(tǒng)或工單系統(tǒng)漏洞可獲取目標(biāo)單位遠(yuǎn)程運維信息；二是通過Gitlab等代碼管理平臺漏洞獲取到目標(biāo)系統(tǒng)的源碼，同時也可嘗試在Github等互聯(lián)網(wǎng)代碼托管平臺中搜索獲取源碼和部署信息，對源碼進行安全審計挖掘出0day漏洞，進而拿下目標(biāo)系統(tǒng)。

社會工程學(xué)攻擊

網(wǎng)絡(luò)安全本質(zhì)是人跟人的對抗，即使軟硬件安全防護做得再好，終究需要人來運營和使用。近幾年的攻防演習(xí)中，利用釣魚郵件等方式的社會工程學(xué)攻擊頻頻得手，成為突破各單位安全防護的重要手段。

社會工程學(xué)攻擊的方式主要通過郵件釣魚或即時聊天來開展。攻擊者發(fā)送精心設(shè)計的釣魚郵件或者發(fā)起聊天咨詢，誘導(dǎo)目標(biāo)單位的運維管理人員、系統(tǒng)開發(fā)人員運行木馬程序，進而控制其電腦，以獲得密碼本等信息來接近目標(biāo)系統(tǒng)。曾有攻擊者在第一封郵件釣魚失敗的情況下，以“警惕釣魚郵件”為主題向目標(biāo)單位開展第二輪郵件釣魚，成功拿下一名系統(tǒng)管理人員的主機權(quán)限。此外，有些攻擊者混入學(xué)校的QQ群或論壇社區(qū)，誘導(dǎo)學(xué)生提供統(tǒng)一身份認(rèn)證賬號密碼等敏感信息，利用VPN進入高校內(nèi)網(wǎng)。

攻擊者視角下的防守策略

互聯(lián)網(wǎng)技術(shù)日新月異，網(wǎng)絡(luò)攻擊手段層出不窮，一條完整的攻擊鏈?zhǔn)且惶住敖M合拳”，防守方要了解攻擊者的“三板斧”，知己知彼，才能更好地完善網(wǎng)絡(luò)安全防護體系。

一是建立縱深的安全防御體系。高校的網(wǎng)絡(luò)環(huán)境比較復(fù)雜，要在資產(chǎn)梳理、網(wǎng)絡(luò)區(qū)域合理劃分的基礎(chǔ)上，進一步縮小暴露面，明確防護重點。攻擊是一個過程，一定會留下蛛絲馬跡，要實時感知內(nèi)部安全態(tài)勢，加強監(jiān)測預(yù)警和安全日志分析，及時發(fā)現(xiàn)攻擊痕跡，迅速應(yīng)急處置，在極早期和早期阻斷攻擊行為。

二是供應(yīng)鏈安全問題日益突出。各單位對供應(yīng)商在招標(biāo)、開發(fā)、部署、測試、驗收、運維等各個階段都應(yīng)加強安全管理要求。教育軟件供應(yīng)商應(yīng)自我覺醒，意識到安全是企業(yè)的生命線，規(guī)范軟件安全開發(fā)活動，加強安全漏洞管理和公告。教育行政管理部門和網(wǎng)信、公安部門也要加強對教育軟件供應(yīng)商的安全監(jiān)管。

三是人員安全意識問題永不過時。在一輪輪攻防演習(xí)的磨煉下，各單位的網(wǎng)絡(luò)攻擊面逐漸縮小，老舊漏洞、易挖掘漏洞越來越少，針對人的攻擊嘗試會越來越多。這對人員的安全意識提出了更高的要求，需要定期組織內(nèi)部釣魚郵件演練，持續(xù)開展師生網(wǎng)絡(luò)安全宣傳教育。