年度大型攻防實戰(zhàn)全景：紅藍(lán)深度思考及多方聯(lián)合推演

本文源起大家對現(xiàn)在以及未來網(wǎng)絡(luò)安全產(chǎn)業(yè)的深度思考，產(chǎn)業(yè)和行業(yè)都在持續(xù)尋找真正的安全能力者，無論甲乙雙方、紅藍(lán)雙方對攻防的理解都存在一定的錯位、局限、片面……于是大家決定進(jìn)行一次云碰撞、思想碰撞、實戰(zhàn)碰撞……

創(chuàng)新互聯(lián)是一家集網(wǎng)站建設(shè),梁山企業(yè)網(wǎng)站建設(shè),梁山品牌網(wǎng)站建設(shè),網(wǎng)站定制,梁山網(wǎng)站建設(shè)報價,網(wǎng)絡(luò)營銷,網(wǎng)絡(luò)優(yōu)化,梁山網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強企業(yè)競爭力?？沙浞譂M足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時我們時刻保持專業(yè)、時尚、前沿，時刻以成就客戶成長自我，堅持不斷學(xué)習(xí)、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實用型網(wǎng)站。

一張紅藍(lán)攻防全景框架、五張動態(tài)推演圖、紅藍(lán)雙方深度思考打磨、幾十位攻防技術(shù)高手博弈、上百次的線上線下會議，歷時三月，共性智慧、初具成果，分享業(yè)界，持續(xù)研究，質(zhì)由新生，信仰共造！

致敬和鳴謝以下紅藍(lán)雙方安全能力者和第三方機構(gòu)的點評和指導(dǎo)，一起為數(shù)字中國持續(xù)打造安全中樞貢獻(xiàn)力量。

科來、青藤云安全、長亭科技、圣博潤、安博通、華云安、白帽匯、可信華泰、中信網(wǎng)安、中睿天下、九州聚源、中安威士、杭州世平、微步在線、安芯網(wǎng)盾、美創(chuàng)科技、賽寧網(wǎng)安、深信服、新華三、太極股份、國信新網(wǎng)、中國信息協(xié)會信息安全專業(yè)委員會、信息產(chǎn)業(yè)信息安全測評中心、公安部信息安全等級保護(hù)評估中心。

-- 數(shù)世咨詢&PCSA安全能力者聯(lián)盟

概要：本報告通過六張實戰(zhàn)推演圖，結(jié)合安全能力者、第三方機構(gòu)和安全運營者的觀點，展示了攻擊方從攻擊面分析、邊界突破、橫向滲透到靶標(biāo)攻陷的攻擊過程，防守方從基礎(chǔ)保護(hù)、強化保護(hù)到協(xié)同保護(hù)的縱深防御體系，描繪了大型網(wǎng)絡(luò)安全攻防實戰(zhàn)演習(xí)的全景對象和步驟推演。

一、實戰(zhàn)推演

圖一

圖解：紅藍(lán)雙方圍繞保護(hù)對象（神經(jīng)中樞靶標(biāo)）進(jìn)行攻擊與防御策略制定，在攻擊面分析與暴露面收斂、邊界突破與防御、橫向滲透和區(qū)域控制，核心區(qū)攻陷或強控開展推演；

重點: 攻擊防守策略的制定猶如作戰(zhàn)計劃和防御計劃是推演的前提，不同階段制定不同的攻擊和防守策略，攻擊方總體是由點到面再回到點，防守方則是由面到面再回到核心點，策略方法與攻防雙方的能力結(jié)合進(jìn)行層層滲透和縱深防御；

攻擊：策略制定-攻擊面分析-邊界突破-橫向滲透-攻陷目標(biāo)-潛伏/掩蓋/撤退；

防御：策略制定-暴露面收斂-邊界防護(hù)-區(qū)域控制-強化控制-基礎(chǔ)/強化/協(xié)同；

圖二

圖解：紅藍(lán)攻守雙方圍繞保護(hù)對象（神經(jīng)中樞靶標(biāo)）進(jìn)行攻擊與防御策略制定后，第一步雙方開展的則是攻擊面分析與暴露面收斂；

重點：互聯(lián)網(wǎng)信息、組織結(jié)構(gòu)、人員信息、第三方平臺（開源平臺、云平臺等）、供應(yīng)鏈體系（設(shè)備、人員、服務(wù)、DNS、ISP、ICP）等，以及對外服務(wù)的業(yè)務(wù)應(yīng)用層、系統(tǒng)層、數(shù)據(jù)層、網(wǎng)絡(luò)層、平臺層等的弱點以及互聯(lián)網(wǎng)IP、端口、域名、VPN、郵件等以及各方面的用戶信息，口令等；

攻擊：信息收集、社工、多層掃描、爬蟲、釣魚、撞庫、SQL注入等；

防御：規(guī)范上線第三方平臺安全要求、提高供應(yīng)鏈服務(wù)商安全要求、規(guī)范組織互聯(lián)網(wǎng)信息、減少不必要的互聯(lián)網(wǎng)出口、關(guān)閉不必要的業(yè)務(wù)、服務(wù)和端口、常態(tài)化動態(tài)化實時深度監(jiān)測、識別嗅探者工具、清楚暴露面以及實時更新弱點問題及時加固、安全組織常態(tài)化、意識培訓(xùn)常態(tài)化等。

圖三

圖解：紅藍(lán)攻守雙方圍繞保護(hù)對象（神經(jīng)中樞靶標(biāo)）進(jìn)行攻擊與防御策略制定后，第一步雙方開展的則是攻擊面分析與暴露面收斂，第二步進(jìn)入到邊界突破/防守階段。

重點：攻擊方根據(jù)攻擊面分析與攻擊方案推演，洞悉可以利用的各種漏洞，進(jìn)行攻擊路徑的選擇、滲透與突破。邊界突破利用的攻擊手段將會是多種多樣，目的就是撕開靶標(biāo)的最外層防御系統(tǒng)，突破的點往往是常令人疏忽的或難于管理的地方。防守方意識是第一位的、應(yīng)清晰了解自身的邊界防御情況，了解短板，做好第一道防線，開展管理、技術(shù)、運營體系落地建設(shè)與運營；

攻擊：漏洞利用、自動及手工滲透、字典攻擊、口令爆 破、DDOS、后門、釣魚等

防守：多因素認(rèn)證、訪問控制、雙冗余、異構(gòu)、web監(jiān)測及防御、蜜罐、流量監(jiān)測與清洗、惡意代碼防護(hù)、入侵監(jiān)測與防護(hù)、實時弱點監(jiān)控與加固、特權(quán)用戶管控、弱口令策略及清理、清除冗余安全策略、威脅情報、攻擊溯源等。

圖四

圖解：紅藍(lán)攻守雙方圍繞保護(hù)對象（神經(jīng)中樞靶標(biāo)）進(jìn)行攻擊與防御策略制定后，第一步雙方開展的則是攻擊面分析與暴露面收斂，第二步進(jìn)入到邊界突破/防守階段，滲透成功將進(jìn)入第三步橫向滲透和區(qū)域控制的較量階段；

重點：攻擊方突破邊界防護(hù)的概率是和防守方防御成熟度有很大關(guān)系，突破第一道防線以后攻擊方一方面會盡可能的偽裝自己，同時在黑暗處持續(xù)尋找下一步進(jìn)攻路徑和跳板，防守方丟失第一防線其實還不算可怕，雖然形勢非常嚴(yán)峻和被動，如果深度監(jiān)測檢測方法有效、安全域控策略和加固做的到位，還可以及時發(fā)現(xiàn)滲透橫向移動的異常行為，致使攻擊方只能短期進(jìn)入，也可以通過強大的區(qū)域控制策略和手段，在第三階段取得勝利；

攻擊：漏洞利用、自動及手工滲透、字典攻擊、口令爆 破、提權(quán)攻擊等；

防守：安全域分層劃分、域訪問制定強控制策略、清除冗余策略、內(nèi)部賬號強認(rèn)證與監(jiān)控、分層區(qū)域邊界異構(gòu)、實施深度流量監(jiān)測與預(yù)警、惡意代碼防護(hù)異構(gòu)、實施可信、實時弱點監(jiān)控與加固、特權(quán)用戶管控、弱口令策略及清理、清除冗余安全策略等。

圖五

圖解：紅藍(lán)攻守雙方圍繞保護(hù)對象（神經(jīng)中樞靶標(biāo)）進(jìn)行攻擊與防御策略制定后，第一步雙方開展的則是攻擊面分析與暴露面收斂，第二步進(jìn)入到邊界突破/防守階段，第三步橫向滲透和區(qū)域控制后如果域控失陷，就將進(jìn)入核心較量的第四步神經(jīng)中樞靶標(biāo)攻陷/強控階段；

重點：攻擊方一旦突破域控，一般拿下核心靶標(biāo)不會遙遠(yuǎn)，雖然這個過程往往需要有較長的一段時間，但確實已到了關(guān)鍵時刻，如果這個時候防守方還沒有監(jiān)測發(fā)現(xiàn)，核心靶標(biāo)被攻陷的概率幾乎是100%，但并不是完全沒有機會，防守方如果在一些核心點做好，雖然肯定有較大損失，但還可以保護(hù)好核心神經(jīng)中樞靶標(biāo)不被攻陷；

攻擊：漏洞利用、自動及手工滲透、字典攻擊、口令爆 破、提權(quán)攻擊等；

防守：實時深度流量監(jiān)測與預(yù)警、實時弱點監(jiān)控與加固、強控特權(quán)用戶、關(guān)閉靶標(biāo)不必要的服務(wù)和端口，實施可信黑白名單強策略、清除靶標(biāo)不必要的用戶、強化靶標(biāo)多因素認(rèn)證和增強口令強度等。

圖六

圖解：綜上所述，攻擊方不會耗費大量資源和精力去攻擊沒有價值的系統(tǒng)，防守方的防御思路從被動到主動、從邊界到縱深、從基礎(chǔ)保護(hù)踏實做起（明確保護(hù)對象、暴露面進(jìn)行收斂、多因素認(rèn)證、訪問策略落地清晰、實時深度監(jiān)測和做好可信加固、管理好用戶信息、強管控特權(quán)用戶，杜絕弱口令等、以合規(guī)為基礎(chǔ)，完成管理、技術(shù)和運維體系基本要求），圍繞重點和關(guān)鍵環(huán)節(jié)，進(jìn)行強化保護(hù)建設(shè)（安全策略一體化、深度監(jiān)測與溯源、深度實時監(jiān)測、日常加強演練和推演、建立清晰的全量和動態(tài)的資產(chǎn)庫、建立完整和實時的風(fēng)險庫、建立較為全面的能力庫，建設(shè)安全運營一體化中心，實現(xiàn)防御、檢測、預(yù)測和響應(yīng)核心關(guān)鍵環(huán)節(jié)的ID、IP、ACT的動態(tài)的異常的精準(zhǔn)監(jiān)控和分析，進(jìn)行精準(zhǔn)響應(yīng)和防御），在大規(guī)模攻擊和緊急事件的發(fā)生時，可以調(diào)集運營者自身、行業(yè)單位、民間力量、監(jiān)管單位開展協(xié)同保護(hù)（信息共享和指揮協(xié)同）。

至此，2020年上半年的研究成果告一段落，紅藍(lán)雙方能力者還在持續(xù)開展研究，希望更多的監(jiān)管單位、行業(yè)用戶、安全從業(yè)者關(guān)注和指導(dǎo)，希望更多的安全能力者持續(xù)加入研究，期待2021版《紅藍(lán)攻防全景推演》。

二、安全能力者

網(wǎng)絡(luò)層安全能力者：科來

任何網(wǎng)絡(luò)活動必定會產(chǎn)生網(wǎng)絡(luò)流量，對網(wǎng)絡(luò)中全部的流量進(jìn)行全量記錄、實時深度監(jiān)測分析，就可以了解網(wǎng)絡(luò)中發(fā)生的任何情況，做到對未知威脅的第一時間發(fā)現(xiàn)、第一時間響應(yīng)。為用戶提供網(wǎng)絡(luò)安全的“上帝視角”，和其他能力者共同提高網(wǎng)絡(luò)安全門檻，

在攻防對抗中進(jìn)行安全事件的追溯和取證是必要的環(huán)節(jié)。通過高性能的檢索和分析能力，全程回溯任意時間段內(nèi)的歷史事件信息，還原真實攻擊過程，掌握攻擊來源、手法等信息，為安全防御提供策略依據(jù)，主動、智能、高效、多維度的提升安全運營者整體安全防護(hù)水平。

主機層安全能力者：青藤云安全

攻擊方從突破邊界到攻陷靶標(biāo)，主機安全是防御對抗最后一道防線，如何從主機層面減少資產(chǎn)“暴露面”，包括暴露面動態(tài)監(jiān)測、常態(tài)化自評估、實時加固等，是減少攻擊前提條件。此外，強“區(qū)域控制”，包括資產(chǎn)探測、安全加固、事件取證、病毒木馬查殺、漏洞檢測修補、異常監(jiān)控、深度檢測等，這將關(guān)系安全最后一道防線是否可靠。我們可以協(xié)助用戶通過全面資產(chǎn)清點、快速風(fēng)險發(fā)現(xiàn)、實時入侵檢測和一鍵合規(guī)檢查，讓主機穩(wěn)定又安全。

主機層安全能力者：可信華泰

核心主機是攻擊方最有價值的目標(biāo)，攻擊方利用計算機系統(tǒng)體系結(jié)構(gòu)的天然缺陷構(gòu)造了病毒木馬和漏洞。傳統(tǒng)的安全防護(hù)思路仍然針對特定的已知安全漏洞及特定的已知攻擊方式完成防護(hù)。用可信的思想，構(gòu)建“白細(xì)胞”操作系統(tǒng)免疫平臺將安全防護(hù)與系統(tǒng)運行結(jié)合起來，以可信度量和可信驗證為基礎(chǔ)，對系統(tǒng)運行的所有關(guān)鍵環(huán)節(jié)形成主動監(jiān)視和控制，實現(xiàn)對已知和未知威脅的主動防御。既符合等級保護(hù)2.0可信驗證的技術(shù)要求，又實現(xiàn)主機可信統(tǒng)一管理。

應(yīng)用層安全能力者：長亭科技

經(jīng)過攻防演練實戰(zhàn)后，很多防守方甚至發(fā)現(xiàn)，傳統(tǒng)邊界防御正在逐步失效，新的漏洞正在以幾何倍數(shù)的速度層出不窮，所搭建的邊界防御體系一旦疏忽就會使預(yù)期的防護(hù)作用大打折扣，防護(hù)規(guī)則屢屢被繞過，甚至有的安全防護(hù)產(chǎn)品由于自身存在漏洞風(fēng)險隱患成為了攻擊方打開內(nèi)網(wǎng)的入口。防守者需調(diào)整其防護(hù)體系適應(yīng)新的安全態(tài)勢，新時代、新形勢，魔高一尺、道高一丈、防守方采用攻擊方的偽裝欺騙術(shù)，可邊界外部和內(nèi)部采用蜜罐引誘并溯源尚在資產(chǎn)探測階段的攻擊方，在應(yīng)用層采用更先進(jìn)的語義分析型WAF攔截占大多數(shù)的Web攻擊，這些防護(hù)手段讓攻擊方無處遁形。

紅方實戰(zhàn)平臺能力者：圣博潤

網(wǎng)絡(luò)攻防對抗的核心是兩端技術(shù)能力的較量，攻防兩端只有不斷的進(jìn)行真實演練碰撞，才能持續(xù)提升整理攻防技術(shù)。目前，如何保證演練過程的真實性和安全性成為熱門話題。日常演練需要常態(tài)化，紅軍實戰(zhàn)協(xié)同平臺可實現(xiàn)模擬攻擊、協(xié)同作戰(zhàn)、數(shù)據(jù)共享、全稱審計等作用，提升防守方理解攻擊方攻擊效率，同時保障網(wǎng)絡(luò)攻防工作的真實性及安全性。

網(wǎng)絡(luò)安全策略可視化能力者：安博通

網(wǎng)絡(luò)攻擊過程是層層突破邊界的過程，作為防護(hù)方應(yīng)該以安全策略作為有力抓手強化區(qū)域隔離和邊界防護(hù)能力，站在頂層視角規(guī)劃網(wǎng)絡(luò)安全控制策略并定期審計策略配置內(nèi)容，讓冗余策略、過期策略、空策略等錯誤配置無處藏身，讓違規(guī)訪問、高危端口開放等網(wǎng)絡(luò)風(fēng)險無所遁形，形成有效的安全策略集中管理、定期審計與自動維護(hù)機制，并為資產(chǎn)探測、弱點檢測、訪問控制、入侵監(jiān)測等眾多安全能力提供全局業(yè)務(wù)視角，構(gòu)建可視、可管、可控的網(wǎng)絡(luò)安全策略一體化新視野。

漏洞管理安全能力者：華云安

漏洞永遠(yuǎn)是攻守雙方爭奪的焦點。但時間和資源是有限的，基于漏洞情報、資產(chǎn)暴露面和嚴(yán)重程度等，為安全人員提供漏洞修復(fù)優(yōu)先級指導(dǎo)，在最短的時間內(nèi)進(jìn)行一鍵式自動化漏洞修復(fù)，通過建立自身的威脅與漏洞管理平臺，將有效降低企業(yè)的安全風(fēng)險，解決漏洞管理中的痛點問題。

網(wǎng)絡(luò)資產(chǎn)測繪安全能力者：白帽匯

隨著新應(yīng)用和技術(shù)的不斷推出、新漏洞的不斷發(fā)現(xiàn)，攻擊面的規(guī)模和復(fù)雜性也在不斷擴大。在這樣的情況下防御者如何實現(xiàn)網(wǎng)絡(luò)攻擊面的監(jiān)測、評估與收斂是防御者亟需解決的問題。新的IT設(shè)施越來越普遍、我們持續(xù)研究，在網(wǎng)絡(luò)空間測繪領(lǐng)域、建立大量指紋規(guī)則，通過主動掃描的方式采集資產(chǎn)信息，有效測繪包括IP、資產(chǎn)名稱、端口、協(xié)議、操作系統(tǒng)、設(shè)備類型、所屬廠商、應(yīng)用組件等信息，形成信息系統(tǒng)資產(chǎn)庫，幫助防守方收斂攻擊面。同時結(jié)合最新暴露的 POC，通過風(fēng)險特征等規(guī)則進(jìn)行專項風(fēng)險驗證，精準(zhǔn)描繪漏洞風(fēng)險影響面，形成應(yīng)急通報與處置。

數(shù)據(jù)安全管理能力者：中信網(wǎng)安

網(wǎng)絡(luò)安全本質(zhì)是攻防，沒有攻的前提，就沒有防的必要。攻者掘洞，或主機、或網(wǎng)絡(luò)、或應(yīng)用、或數(shù)據(jù)庫，乃至人性，意在泄露、竊取和破壞。御者多思，或管理體系、或技術(shù)體系、或運營體系，意在防丟、防損、?？捎?。然，攻者已不滿于炫技破壞之事，趨之?dāng)?shù)據(jù)。從已掘漏洞，均被勒索病毒所利用，可見一斑。數(shù)據(jù)作為攻防的核心焦點，要站在數(shù)據(jù)安全監(jiān)管角度，通過資產(chǎn)畫像，幫助用戶掌握數(shù)據(jù)資產(chǎn)分布、價值和資產(chǎn)脆弱性，結(jié)合威脅行為評估數(shù)據(jù)資產(chǎn)風(fēng)險。

攻擊溯源安全能力者：中睿天下

隨著網(wǎng)絡(luò)攻防對抗日益加劇，越來越多的企業(yè)考慮基于全局視角，對全網(wǎng)安全事件進(jìn)行發(fā)現(xiàn)、響應(yīng)、追蹤和溯源，以提升整體的安全防護(hù)能力?！妇W(wǎng)絡(luò)攻擊溯源」正是在這一背景下出現(xiàn)的新安全需求，從攻擊方視角出發(fā)，通過分析將不同時點、不同部位的攻擊碎片重組為攻擊事件，并對攻擊方手法、目的、背景等進(jìn)行深度溯源，實現(xiàn)更精準(zhǔn)、高效的威脅發(fā)現(xiàn)與處置。采用「攻擊溯源」，為安全運營者單位帶來全新的威脅監(jiān)測思路，通過實現(xiàn)web、郵件等關(guān)鍵節(jié)點進(jìn)行威脅監(jiān)測和溯源，為安全運營單位構(gòu)建面向?qū)崙?zhàn)對抗的新一代威脅監(jiān)測體系。

安全滲透服務(wù)能力者：九州聚源

攻與防好比“矛”與“盾”，想不被“矛”輕易刺穿，就要不斷強化“盾”的防御能力，這就需要從技術(shù)角度充分了解“矛”的作戰(zhàn)方式，網(wǎng)絡(luò)攻擊方都會針對目標(biāo)搜集盡可能多的目標(biāo)信息、包括不局限于一些開源的應(yīng)用、服務(wù)器開發(fā)的特殊端口、第三方共享平臺的一些源代碼及帳號等等。防守方需要對網(wǎng)絡(luò)安全狀態(tài)合理的評估，識別出風(fēng)險及暴露面信息及網(wǎng)絡(luò)入口點等。

攻擊方的對象是一個點，目標(biāo)系統(tǒng)規(guī)模越大可被利用的薄弱點就越多，尤其人在行為上的弱點。比如定向漏洞挖掘、APT攻擊、提權(quán)漏洞利用、weblogic RCE系列以及自動化攻擊工具等，針對SVN、gitlab、zabbix、redis、企業(yè)wiki、OA系統(tǒng)等進(jìn)行攻擊。防守者借用攻防場景異常行為識別告警工具，結(jié)合多線索的關(guān)聯(lián)分析以提高發(fā)現(xiàn)并響應(yīng)攻擊的能力。攻防本質(zhì)是人與人之間的投入、技術(shù)的博弈，進(jìn)而通過攻防技術(shù)演進(jìn)從而獲得更高效的安全防護(hù)策略。

數(shù)據(jù)安全能力者：中安威士

SQL注入攻擊是對數(shù)據(jù)庫安全攻擊的主要手段之一。數(shù)據(jù)庫防御設(shè)備如果內(nèi)置大量SQL注入特性庫、虛擬補丁，并通過對訪問行為的自動學(xué)習(xí)形成基線，可對外來CVE漏洞攻擊，以及SQL注入行為進(jìn)行綜合診斷，并實時阻斷非法操作，從而確保數(shù)據(jù)庫免受SQL注入攻擊。

數(shù)據(jù)庫審計對數(shù)據(jù)庫訪問行為進(jìn)行全面監(jiān)控與審計，可通過內(nèi)置的數(shù)據(jù)庫攻擊識別特征對數(shù)據(jù)庫的訪問做攻擊檢測，發(fā)現(xiàn)攻擊行為立即告警。并可對數(shù)據(jù)庫所有訪問行為進(jìn)行追蹤溯源。

數(shù)據(jù)安全能力者：美創(chuàng)科技

攻防是網(wǎng)絡(luò)安全世界永遠(yuǎn)繞不開的話題，也只有真實的攻防對抗，才能真正檢驗出防御體系的健壯性。面對層出不窮的漏洞以及千變?nèi)f化的黑客攻擊，我們長期作為零信任數(shù)據(jù)安全理念的實踐廠商，以ATT&CK 模型為抓手，從身份、資產(chǎn)、行為三方面分析全面透視數(shù)據(jù)安全，定義基于確定性資產(chǎn)的安全新邊界，從資產(chǎn)數(shù)據(jù)安全風(fēng)險進(jìn)行全面防護(hù)，從而解決傳統(tǒng)網(wǎng)絡(luò)安全體系中黑客攻擊的"不確定性"。

數(shù)據(jù)安全能力者：杭州世平

網(wǎng)絡(luò)攻防的對象是系統(tǒng)和數(shù)據(jù)，攻擊者的目標(biāo)一般是破壞系統(tǒng)穩(wěn)定性或者竊取數(shù)據(jù)，數(shù)據(jù)安全一直是網(wǎng)絡(luò)攻防中的重中之重。等保2.0及《大數(shù)據(jù)基本要求》對數(shù)據(jù)安全檢測評估技術(shù)能力提出了新的更高的要求。數(shù)據(jù)安全合規(guī)性檢查是數(shù)據(jù)安全防護(hù)的基石。數(shù)據(jù)運營及管理機構(gòu)需要確認(rèn)敏感數(shù)據(jù)及重要數(shù)據(jù)的分布，同時在數(shù)據(jù)全生命周期每個環(huán)節(jié)，確保數(shù)據(jù)安全合規(guī)性。數(shù)據(jù)合規(guī)檢查包括數(shù)據(jù)完整性、剩余信息保護(hù)、數(shù)據(jù)保密性等基本要求，又有覆蓋數(shù)據(jù)全生命周期的大數(shù)據(jù)安全擴展合規(guī)。

威脅情報能力者：微步在線

紅藍(lán)對抗中，紅方不斷收集目標(biāo)信息、分析資產(chǎn)和薄弱環(huán)節(jié)，從正面攻擊和側(cè)面滲透突破防御，進(jìn)而橫向滲透直至攻陷目標(biāo)。與之對應(yīng)，藍(lán)方則需要提前進(jìn)行資產(chǎn)梳理、加固和收斂，全程對來源IP進(jìn)行威脅預(yù)判和封禁以及內(nèi)部失陷主機發(fā)現(xiàn)，才能達(dá)到良好的立體防御效果。

威脅情報是為藍(lán)方體提供可以利用全球網(wǎng)絡(luò)空間情報采集分析能力，實時監(jiān)控藍(lán)隊暴露于公網(wǎng)或暗網(wǎng)中的資產(chǎn)或敏感數(shù)據(jù)。提供本地情報平臺助力態(tài)感識別失陷主機和可疑來源IP，自動化聯(lián)動處置，并支持旁路流量的威脅監(jiān)測阻斷產(chǎn)品。

我們匯聚國內(nèi)頂尖安全服務(wù)與分析團隊，為安全運營者建立實施有效的威脅情報體系，快速提升藍(lán)方攻擊監(jiān)測、取證定位、應(yīng)急處置、溯源分析能力。

硬件底層安全能力者：安芯網(wǎng)盾

攻擊找的是短板，防御也可以找到關(guān)鍵點，所有的攻擊最終回歸到核心點就是計算環(huán)境，從計算機的體系結(jié)構(gòu)出發(fā)，任何需要CPU執(zhí)行的代碼、處理的數(shù)據(jù)都需要經(jīng)過內(nèi)存進(jìn)行存儲。通過內(nèi)存虛擬化等技術(shù)來監(jiān)控內(nèi)存的讀、寫、執(zhí)行行為可阻止異常內(nèi)存訪問和惡意代碼執(zhí)行等各種攻擊行為，為計算機系統(tǒng)構(gòu)建一個完整的內(nèi)存安全環(huán)境。我們持續(xù)研究多年，將內(nèi)存保護(hù)系統(tǒng)基于硬件虛擬化技術(shù)，在CPU指令集這個層面監(jiān)控所有程序行為，可以做到第一時間檢測和響應(yīng)。

網(wǎng)絡(luò)攻防靶場安全能力者：賽寧網(wǎng)安

網(wǎng)絡(luò)戰(zhàn)爭會造成社會癱瘓，危害生命安全與國家安全。需要下一代網(wǎng)絡(luò)靶場，來有效驗證網(wǎng)絡(luò)攻擊手段、研究新型安全技術(shù)、挖掘漏洞、產(chǎn)出標(biāo)準(zhǔn)化威脅響應(yīng)流程和響應(yīng)團隊、經(jīng)過驗證的網(wǎng)絡(luò)防御架構(gòu)等。聚焦網(wǎng)絡(luò)安全攻防對抗核心技術(shù)，紅藍(lán)方需要采用專業(yè)網(wǎng)絡(luò)靶場進(jìn)行安全演練，開展人員訓(xùn)練->業(yè)務(wù)演練->戰(zhàn)略戰(zhàn)法演練各個維度，就攻防對抗中的核心問題及技術(shù)進(jìn)行有效的演練及研究，動態(tài)有效的提升攻擊和防御的整體能力。

綜合安全能力者：深信服

通過經(jīng)歷大量攻擊和防守的案例，我們發(fā)現(xiàn)很多單位現(xiàn)有的防護(hù)措施很多，但是僅僅停留在以防御為主的“被動運維”層面，沒有很好的基于資產(chǎn)、漏洞、威脅、事件等要素進(jìn)行持續(xù)的監(jiān)測和閉環(huán)響應(yīng)，做到“主動運營”。究其原因，主要受限于單位的安全人才和技術(shù)資源不足，導(dǎo)致沒有足夠的能力和精力來把現(xiàn)有安全技術(shù)體系和管理體系有效運轉(zhuǎn)起來，從而達(dá)到持續(xù)有效的安全效果。

我們秉承“人機共智”的服務(wù)理念，有效整合了安全專家的豐富實戰(zhàn)經(jīng)驗以及機器的自學(xué)習(xí)和自動化能力，通過一個安全運營平臺，三級安全專家，四大運營機制（資產(chǎn)、漏洞、威脅、事件），幫助用戶構(gòu)建持續(xù)、閉環(huán)、主動的安全運營體系，從而達(dá)到快速擴展安全能力，提升安全效果的目標(biāo)。

綜合安全能力者：新華三

紅藍(lán)對抗中，藍(lán)軍要想守住自己的城池，必須做足充分的準(zhǔn)備，知己知彼方能應(yīng)對自如。首先要摸清自身資產(chǎn)及所有業(yè)務(wù)、應(yīng)用，對重點資產(chǎn)、業(yè)務(wù)進(jìn)行巡查、防護(hù)、配置最小、最優(yōu)授權(quán)等。從攻擊方視角來看，其采用的攻擊手段、攻擊方法、工具的利用都是可以放眼被攻擊目標(biāo)全局的，因此紅藍(lán)對抗是一個全局的、縱深的系統(tǒng)工程。構(gòu)建整體縱深防御是我們的安全的核心理念，力爭從數(shù)據(jù)層面、應(yīng)用層面、服務(wù)器層面、網(wǎng)絡(luò)層面以及網(wǎng)絡(luò)邊界構(gòu)筑多道防線，惡意攻擊方必須突破所有防線才能接觸到核心數(shù)據(jù)資產(chǎn)，同時結(jié)合運維的集中監(jiān)測和分析，及時發(fā)現(xiàn)并可視化展示攻擊行為和攻擊路徑，使攻擊方的攻擊成本大大提高。

安全服務(wù)能力者：太極股份數(shù)字安全事業(yè)部（踏實實驗室）

了解國家安全觀，理解網(wǎng)絡(luò)安全觀，做好一個組織的網(wǎng)絡(luò)安全保障體系，是組織開展業(yè)務(wù)數(shù)字化、信息化發(fā)展的重要組成部分，一體兩翼、雙輪驅(qū)動、平衡發(fā)展需要做好基本功。

經(jīng)歷主機時代、網(wǎng)絡(luò)時代、信息時代、數(shù)字時代，安全已經(jīng)由單維進(jìn)入到多維，踏實做好每一步才能心不慌、覺安穩(wěn)。

1.意識共識：宏觀十中觀十微觀三層組織安全觀達(dá)成正確共識，是開展工作的良好基礎(chǔ)；

2.組織協(xié)同：管理十業(yè)務(wù)十IT十安全十運營多方協(xié)同是做好工作的重要保障；

3.安全方針：業(yè)務(wù)十?dāng)?shù)據(jù)定義安全戰(zhàn)略，剛需十合規(guī)完成頂層規(guī)劃與體系設(shè)計；

4.一體化落地：管理要求、技術(shù)建設(shè)和運營體系的IT耦合，讓安全成為業(yè)務(wù)，才能真真一體化落地；

5.三層保護(hù)：根據(jù)安全成熟度和保護(hù)對象的不同，做好基礎(chǔ)性合規(guī)保護(hù)，提升整體底座，識別好重點關(guān)鍵點，實施強化保護(hù)，涉及國家重要、重大、重點并行開展協(xié)同保護(hù)，

6.三個基礎(chǔ)：保護(hù)對象（資產(chǎn)清晰化、人員賬號清晰化、關(guān)聯(lián)對應(yīng)清晰化）

數(shù)字時代，數(shù)字中國，數(shù)字安全3.0，我們協(xié)同用戶一起做好保護(hù)對象識別--防御成熟度評估--安全戰(zhàn)略確定--頂層規(guī)劃與設(shè)計--防御落地體系持續(xù)完善--安全運營一體化

國信政務(wù)云運營服務(wù)商：國信新網(wǎng)

云服務(wù)是集約化運行、管理的趨勢，業(yè)務(wù)集中、系統(tǒng)集中、數(shù)據(jù)集中，大大提高了運行效率、縮短建設(shè)周期、節(jié)約運行成本、減低運維費用，但也集中了安全風(fēng)險，這對建設(shè)者、運營者、租戶都是嚴(yán)峻的考驗和挑戰(zhàn)。如何提升綜合安全防護(hù)能力、加強云內(nèi)東西向的安全保護(hù)，特別是數(shù)據(jù)安全、訪問控制需要下大功夫。在業(yè)務(wù)上云的趨勢下，云上安全的攻防分析相較于傳統(tǒng)環(huán)境，有很多共通性，又增加很多特有關(guān)鍵點。云上安全從角色上可劃分為云平臺服務(wù)商、云租戶及云安全監(jiān)管者三方，其視角與承擔(dān)的安全責(zé)任和風(fēng)險都有所不同。云平臺服務(wù)商需首要保障云平臺自身安全性合規(guī)與防護(hù)能力，云租戶對上云的業(yè)務(wù)和數(shù)據(jù)負(fù)有上層安全責(zé)任，而云安全監(jiān)管者，則站在第三方視角，監(jiān)管云上業(yè)務(wù)與數(shù)據(jù)的運行安全及云平臺運行合規(guī)安全等。云上安全的防護(hù)，應(yīng)在三方角色合力配合下統(tǒng)一進(jìn)行管理與保障。

三、第三方安全機構(gòu)

中國信息協(xié)會信息安全專業(yè)委員會

網(wǎng)絡(luò)安全的本質(zhì)在對抗，對抗的本質(zhì)在攻防兩端能力較量。這一系列紅藍(lán)攻防全景推演圖非常生動地詮釋了網(wǎng)絡(luò)攻防的多樣性和復(fù)雜性，也讓我想到了網(wǎng)絡(luò)攻防人才培養(yǎng)的重要性和緊迫性。當(dāng)前，隨著“云大物移智”等新一代信息技術(shù)的快速發(fā)展，特別是“新基建”的大力推進(jìn)和戰(zhàn)略布局，網(wǎng)絡(luò)攻防問題已經(jīng)滲入到國民經(jīng)濟和社會發(fā)展的各個領(lǐng)域，對網(wǎng)絡(luò)攻防人才的需求和要求都大幅提升。亟需從基礎(chǔ)教育到高等教育、從學(xué)歷教育到職業(yè)培訓(xùn)、從常識普及到實戰(zhàn)競賽等多方面著手，加強網(wǎng)絡(luò)攻防人才的體系化、專業(yè)化、動態(tài)化、實戰(zhàn)化培養(yǎng)，為專業(yè)能力強、實戰(zhàn)經(jīng)驗豐富的網(wǎng)絡(luò)攻防高精尖人才脫穎而出創(chuàng)造良好的環(huán)境和條件。

公安部信息安全等級保護(hù)評估中心

網(wǎng)絡(luò)攻防是一場沒有硝煙的戰(zhàn)爭。在新型數(shù)字基礎(chǔ)設(shè)施建設(shè)過程中，必須堅持安全與發(fā)展雙輪驅(qū)動，入侵與反制，進(jìn)攻與防守，網(wǎng)絡(luò)空間戰(zhàn)場形勢瞬息萬變。紅藍(lán)對抗攻防不能僅僅是演練，必須以實戰(zhàn)為出發(fā)點，關(guān)鍵信息基礎(chǔ)設(shè)施運營者必須發(fā)展攻防兼?zhèn)涞陌踩芰?，打破信息不對稱和能力不對稱所造成的被動局面。當(dāng)今的網(wǎng)絡(luò)對抗已經(jīng)突破傳統(tǒng)的單純安全邊界保護(hù)能力，在人工智能和云計算賦能下的網(wǎng)絡(luò)安全攻防不僅僅是算力和速度的對抗，更是綜合情報能力的對抗，誰能洞察網(wǎng)絡(luò)空間資產(chǎn)分布，掌握網(wǎng)絡(luò)安全變化趨勢，掌握一手的網(wǎng)絡(luò)作戰(zhàn)地圖，誰就能在網(wǎng)絡(luò)對抗中占得先手。其實網(wǎng)絡(luò)安全攻防能力的高下應(yīng)驗了武林中的一句俗話：功夫皆在功夫外。

信息產(chǎn)業(yè)信息安全測評中心

“沒有網(wǎng)絡(luò)安全就沒有國家安全”總書記高屋建瓴的論斷為我國關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護(hù)指明了方向。近些年來，以合規(guī)為抓手，以攻防為驅(qū)動成為了我國網(wǎng)絡(luò)安全領(lǐng)域的重要特點，“實戰(zhàn)化、體系化、常態(tài)化”的網(wǎng)絡(luò)安全新理念深入人心，只有經(jīng)過實戰(zhàn)檢驗的網(wǎng)絡(luò)安全防護(hù)體系才能從基礎(chǔ)架構(gòu)安全升級到主動防御、聯(lián)動反制的層面。重要行業(yè)部門的每個節(jié)點要構(gòu)建抵御0day漏洞等“黑天鵝”事件巨大破壞的能力，模擬邊界失守后如何解決內(nèi)生安全問題，為國家關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)貢獻(xiàn)自己的力量，做到“守網(wǎng)有責(zé)，守網(wǎng)盡責(zé)”。

數(shù)世咨詢

網(wǎng)絡(luò)安全的本質(zhì)在于“對抗”，而所有對抗領(lǐng)域的事情，都是動態(tài)變化的，不存在一勞永逸。沒有銀彈，也沒有萬靈藥，只有永遠(yuǎn)此消彼長的“道高一尺，魔高一丈。”因此，基于攻擊視角的主動防御，其重要性和關(guān)鍵性不言而喻，這也是為什么業(yè)內(nèi)要長期舉行攻防演練活動的根本原因。希望在國內(nèi)能看到越來越多的優(yōu)秀安全能力者加入，共同把網(wǎng)安產(chǎn)業(yè)做大做強。

四、安全運營單位

某國家部委

感謝紅藍(lán)攻防全景推演系列圖的研究者，這個系列確實可以能夠讓我們單位的業(yè)務(wù)和IT等多方面看清網(wǎng)絡(luò)安全防御工作的全貌與保護(hù)目標(biāo)，一是能夠跟上級領(lǐng)導(dǎo)說明白網(wǎng)絡(luò)安全工作量到底有多大，二是深刻看清是一個持續(xù)不斷積累和投入的過程，三是既對自己的工作可以捋清架構(gòu)、內(nèi)容和工序，又能夠向上匯報工作清楚明了；向下安排工作不疏漏，重點與主次得當(dāng)清晰。

某金融機構(gòu)

金融系統(tǒng)的網(wǎng)絡(luò)安全就是生命線，做好安全防護(hù)涉及的面太多了，之前都是各種復(fù)雜的工作，不僅是安全技術(shù)要做到位，管理體系也要真正的落地可執(zhí)行，最重要的就是安全運營工作的效力必須到位，尤其是三個體系一體化（管理、技術(shù)、運營）和三個保護(hù)（基礎(chǔ)、強化、協(xié)同）層次化，這幾張圖非常清晰的把要做的工作和為什么做這些工作講的明白了，很值得我們學(xué)習(xí)，這里邊我們還看到了很多自己不足的地方，后續(xù)參考可以持續(xù)進(jìn)行改進(jìn)。

某央企集團

資產(chǎn)庫、風(fēng)險庫、暴露面，感謝給我們上了一堂生動的網(wǎng)絡(luò)安全實戰(zhàn)課，尤其攻防兩端視角像作戰(zhàn)圖一樣的沙盤推演，讓我們能夠全面清晰的了解攻擊方的目標(biāo)、策略與思路、方法與步驟、攻擊的手段等等，并且也有相對應(yīng)的不同階段不同層次的防御內(nèi)容、要點、作用、效果等內(nèi)容，清晰的了解了雙方，促成我們未來的工作將會有的放矢，大大提高工作效果與效率。

某互聯(lián)網(wǎng)公司

面對互聯(lián)網(wǎng)公眾服務(wù)，我們最大的擔(dān)心就是生產(chǎn)業(yè)務(wù)出現(xiàn)網(wǎng)絡(luò)安全事故，而對于暴露的服務(wù)，我們一直是慎之又慎，每天的工作就是絞盡腦汁的思考攻擊方找到了我們的什么弱點、漏洞；對我們進(jìn)行的什么攻擊會造成什么威脅與風(fēng)險；出現(xiàn)這些問題后我們是否能夠應(yīng)對，事故后是否能夠恢復(fù)等等問題。此圖基本全面的推演了攻擊的全部內(nèi)容與要點，又提煉了防御縱深的體系化內(nèi)容，值得我們深入分析研究與學(xué)習(xí)轉(zhuǎn)化。

花絮

PHL、噴子、白胖子、ThatHeraoZhao77、Cabbage、圍脖、未央、小林家粗漢子、岐。、Ln(K)、撞墻、行云、飛行、YY、高達(dá)、喬幫主、威士君、信服君、Steve、Zwell、鄧煥等安全小伙伴持續(xù) N次研討、評判與修訂！Update！燒腦和推演的過程是這樣的……

PCSA聯(lián)盟

數(shù)字中國、網(wǎng)絡(luò)強國戰(zhàn)略指引全國各領(lǐng)域都在走向數(shù)字化，中國的數(shù)字化率將大幅提高，未來國家級、行業(yè)級、城市級關(guān)鍵信息基礎(chǔ)設(shè)施、重要信息系統(tǒng)將成為經(jīng)濟社會運行的神經(jīng)中樞。

未來面臨的網(wǎng)絡(luò)安全挑戰(zhàn)越來越清晰和緊迫，主要包含：

威脅挑戰(zhàn)：由黑客組織升級到敵對勢力、霸權(quán)國家網(wǎng)絡(luò)空間超限戰(zhàn)威脅挑戰(zhàn)

轉(zhuǎn)型挑戰(zhàn)：由煙筒式系統(tǒng)升級到大數(shù)據(jù)、大平臺、大系統(tǒng)、大運營、大安全挑戰(zhàn)

防御挑戰(zhàn)：由合規(guī)性基礎(chǔ)防御升級到神經(jīng)中樞強化防御和多方協(xié)同防御挑戰(zhàn)

安全挑戰(zhàn)：在面臨高水平攻擊“常態(tài)化、實戰(zhàn)化”情況下，確?！百Y產(chǎn)清晰化、風(fēng)險動態(tài)化、能力生態(tài)化”的基礎(chǔ)上滿足“監(jiān)測實時化、防御體系化、威脅預(yù)警化、響應(yīng)迅速化、信息共享化、指揮精確化”的安全運營一體化挑戰(zhàn)。

面對四大挑戰(zhàn)，PCSA持續(xù)協(xié)同中國關(guān)鍵安全能力者打造共生平臺《網(wǎng)絡(luò)空間安全管理與運營平臺》、《數(shù)據(jù)流動安全監(jiān)管平臺》、《云安全一體化綜合服務(wù)平臺》，規(guī)劃《業(yè)務(wù)數(shù)據(jù)IT動態(tài)強關(guān)聯(lián)資產(chǎn)庫》、《高頻與全量風(fēng)險庫》、《網(wǎng)絡(luò)安全能力庫》、《網(wǎng)絡(luò)安全綜合防御（藍(lán)方）平臺》實現(xiàn)從供應(yīng)鏈安全，合規(guī)基礎(chǔ)保護(hù)，強化保護(hù)，協(xié)同保護(hù)，實現(xiàn)預(yù)測、防御、檢測、響應(yīng)的實時動態(tài)閉環(huán)的運營體系，實現(xiàn)信息共享、應(yīng)急協(xié)同，一體化指揮清晰，確保數(shù)字社會神經(jīng)中樞的安全穩(wěn)定運行，填補技術(shù)空白持續(xù)為用戶打造安全中樞不斷努力。

PCSA成立于2016年10月20日北京

PCSA愿景：聚合中國關(guān)鍵安全能力、賦能數(shù)字智能時代

PCSA使命：持續(xù)為用戶打造安全中樞

PCSA價值觀：質(zhì)由新生 信仰共造

中安威士 ：保護(hù)核心數(shù)據(jù)，捍衛(wèi)網(wǎng)絡(luò)安全

來源： 行業(yè)私有云安全能力者聯(lián)盟

標(biāo)題名稱：年度大型攻防實戰(zhàn)全景：紅藍(lán)深度思考及多方聯(lián)合推演
文章鏈接：http://muchs.cn/article24/gpjije.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供靜態(tài)網(wǎng)站、網(wǎng)站導(dǎo)航、定制開發(fā)、面包屑導(dǎo)航、網(wǎng)站營銷、外貿(mào)網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)