云南电网昆明供电局实战攻防演习应对之策

随着电网对网络的依赖程度越来越高，网络攻击也对供电局的安全运行带来了非常大的威胁，为了检验和提高昆明供电局整体抵御网络攻击的能力，我局不断的尝试和组织各类实战化攻防演习行动，也为“护网行动”提供实战环境和提前演练。实战攻防演习中红队一般会针对目标系统、设备、人员同时执行多角度、混合、对抗性的模拟攻击；通过实现系统提权、控制业务、获取数据等目标，来发现系统、技术、人员和基础架构中存在的网络安全隐患或薄弱环节。为此，本文将在入侵与防御的角度，讲一下昆明供电局的实战攻防应对之策。

1、实战攻击中攻击者主要通过以下几个阶段开展对昆明供电局信息网络入侵：

(1)情报收集

攻击者通过情报侦察和信息收集工作。收集的内容包括组织架构、IT资产、敏感信息、供应商信息等各个方面。组织架构包括单位部门划分、人员信息、工作职能、下属单位等；IT资产包括域名、IP地址、C段、开放端口、运行服务、WEB中间件、WEB应用、移动应用、网络架构等；敏感信息包括系统源代码、文档信息、邮箱信息、历史漏洞信息等方面；供应商信息包括相关合同、到货签收单、软件、硬件、代码、服务、人员等相关信息。通过实施钓鱼攻击邮件，社工攻击，挖掘所属资产漏洞等方式建立据点。

(2)建立据点阶段

攻击者通过前期获取信息收集锁定企业安全薄弱点，寻找和内网联通的通道，再进一步进行深入渗透，直到找到攻击目标，找到合适的攻击点后，便可以把这个点作为从外网进入内网的根据地。通过FRP、使用EW做Socks代理、reGeorg等工具在这个点上建立隧道，形成从外网到内网的跳板，作为实施内网渗透的坚实据点。

(3)横向移动阶段

进入内网后，攻击者一般会在本机以及内部网络开展进一步信息收集和情报刺探工作。包括收集当前计算机的网络连接、进程列表、命令执行历史记录、数据库信息、当前用户信息、管理员登录信息、总结密码规律、补丁更新频率等信息；同时对内网的其他计算机或服务器的IP、主机名、开放端口、开放服务、开放应用等情况进行情报刺探。再利用内网计算机、服务器不及时修复漏洞、不做安全防护、同口令等弱点来进行横向渗透扩大战果。

2、针对攻防演习中攻击方所使用的攻击技术我局从下面几个方面进行应对

(1)敏感信息排查

昆明供电局通过提高员工安全意识及主动排查敏感信息泄露问题来减少攻击暴露面，具体包括：一方面组织开发厂商及运维厂商召开安全会议，定期开展信息安全意识培训升级为信息安全意识实测，真实检验员工信息安全意识水平，检验各部门、各单位信息安全意识工作开展成效和应急处置能力，做到自我排查自我防控；另一方面我局每月定期对互联网暴露信息进行排查（包括GitHub、码云Gitee、FOFA、钉钉、微博、微信公众号，百度网盘等）检查是否存在昆明供电局相关资料，如若存在则进行清理并对相关泄露资料所影响系统进行信息修改。

(2)定期开展渗透测试工作

为了持续发现昆明供电局内外网威胁，我局定期开展渗透测试工作来减少昆明供电局资产所存在的安全风险。具体包括：我局从主机及应用两个方面对局内资产进行安全风险排查，对局内资产定期进行弱口令扫描，主机漏扫，应用系统渗透测试等安全检测，并对发现的安全问题及时进行整改。

(3)做好边界防护和内网安全管控

按照相关要求，对内外网访问进行严格控制，采用边界防护设备严格监测进出网络的流量。对终端准入设备策略严格按照要求进行下发，依靠安全设备的威胁检测、终端安全管控系统来发现可能存在安全威胁，对应用系统进行分区分域管理严格按照最小化权限原则来规范应用系统。

(4)持续开展技术检测

从主动排查发现问题和被动监控两个方面持续减少昆明供电局内部问题并且去发现更多的高级持续性威胁。定期对安全人员进行安全意识培训定期对安全检测设备策略特征库进行优化，对局内资产进行梳理排查，定期对应用系统进行渗透测试。定期开展与国内先进企业和安全厂家交流新信息安全技术。持续提高昆明供电局整体安全运营及安全防控能力。

我局通过加强员工安全意识主动和被动排查和排除敏感信息泄露问题来应对攻击者的信息收集，通过定期渗透测试及严格的访问控制策略及监控策略第一时间发现安全风险并且去及时有效的阻断安全攻击避免纵向渗透及横向渗透，不断提高昆明供电局的攻击检测能力及安全防护能力。

- 文：秦丞 王杭 -

声明：本文来自电力信息化，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。