从实战演练看攻防对抗思维的转变

以攻促防：实战攻防演练推动攻防进步

自2016年《网络安全法》颁布以来，网络安全实战攻防演练专项行动已成为一年一度的惯例，同时所涉及的单位和规模持续扩大。说一百遍不如打一遍，攻防实战演练已成为检验参演单位网络安全综合防御水平的“试金石”和提升网络攻击应对能力的“磨刀石”。

自第一次实战攻防演练举办以来，蓝队从面对脚本漏洞、框架弱点、口令探测、欺骗钓鱼等常规攻击手段被动挨打沦陷，到“迫使”红队为搞定目标采用0day漏洞打击、隐蔽身份、木马工具绕过安全监测等强对抗手段。随着每年红蓝两队对抗愈演愈烈，双方的进攻与防御水平不断提高，相应的促使参演单位网络安防理念也有了新的变化。

新挑战：传统防护理念的短板日益凸显

起初，大部分企业通过传统渗透测试，用“已知”公开漏洞大范围整改自身弱点。如各大SRC为发现自身企业安全问题，面向社会白帽子集思广益，检测企业网络安全防御水平，实现安全弊端挖掘与修复。这是一个不错的方法，但随着时间推移，“易挖”、“易识别”、“省力”的漏洞会越来越少，企业接收的漏洞数量与质量也会相应下降，可能产生一种“网络很安全”的错觉。而事实正相反，这只是安全成长体系中的初始阶段。

回顾近期的实战攻防演练，网络层面的进攻方法渐渐脱离了大家认知的常用手段。0day满天飞；进攻型脚本后门版本升级，公开“挑衅”各安全厂商的检测能力；进攻流量隧道加密；免杀、不落地等各种招数齐上；利用供应链间接入侵……面对此类攻击时，防火墙、IDS、IPS、EDR、私有云查杀等构筑的铜墙铁壁有些力不从心。但未来此类“棘手”攻击将会成为常态，靠单点触发告警等待入侵者上钩，显然会错失很多线索痕迹。中睿天下网络安全专家认为，对安全人员来说，安全体系建设不局限于漏洞，不仅需要具备运维视角的防护基本功，还要拥有更高的格局、更广的视角，在审视网安全貌的同时，尝试将自身角色转变为对手，具备以黑客思维视角查验攻击链路可行性和模拟推演的能力。

新认知：以黑客思维看待防护目标

互联网飞速发展至今，网络攻击手段同样层出不穷、花样翻新，现今已上升为多领域关联攻击技术。

通常来说，普通攻击者大多依靠利用公开漏洞较多，高明的攻击者反之，往往囤积“干货”一招致胜。对防守方来说，漏洞不分贵贱，应急修复已是轻车熟路。

对抗经验丰富的黑客在面对目标对象时，理解的攻击链应是一套“组合拳”。提前拟定几套进攻方案，并不限于漏洞数量，更在于黑客对目标了解的深度。攻击者站在“实战”多方视角，决定了其思维的“发散性”。一套综合性的作战方案包括网络架构、业务模式、业务逻辑、人员构成、服务对象、合作厂商等等。“懂攻”的人明白，任何一个方案领域的突破，其能量已经超出纯漏洞的价值，因它是更具复杂性并可执行性的网络作战计划：外围突破规划、快速潜伏手段、渗透路径纵横交织、时间线混杂、数据随机加密，甚至包括实施过程中决定要采用的手段，如安防设备如何绕过、0day武器何时使用、后门关键部位驻守、内外网渗透工具定制研发、操控数据隐藏在可信协议……

防御者要适应这种黑客视角甚至APT视角，学习和理解它们。从“攻”的角度来看待“防”，本身就是网络安防的革命性突破，这将成为建设“攻防实战”安防体系的新趋势。

新方法1 单场景化基线通讯

传统依靠漏洞特征和木马特征的检测机制容易被攻击者突破，面对加密通讯束手无策。但通过研究对比流量层，中睿天下网络安全专家发现了一些有趣的现象。

同一套业务系统或同一台资产，按照时间以天为单位，设立一种可信形态，包括访问方式、交换频率、路径差异、时间分布等，最终确定符合某具体业务资产的可信场景。此场景的数据形态暂定为数据标准，以时间贯穿数据分布，形成一种数据“基线”。

在绘制“基线”前，需要长时间采集归纳数据，可能涉及长达一周的对比“学习”。每一天24小时内，互联网访问某业务系统路径去重化的数量，为路径差异数据，如睿眼攻击溯源系统中所示2天的数据分布对比：

路径差异数据对比分析

一个攻击链路产生的流量，往往和正常交互的流量有所区别。如果一套业务系统主体功能业务流量的行为平时有迹可循，当回溯某攻击者时，对一段时间的数据进行自动对比后，会发现某天的数据差别特别突出。如下图所示，通过睿眼攻击溯源系统将这2天的数据与红色“基线”对比，绿色线条的差异显而易见：

对比红色基线发现流量异常

新方法2 基于不可信任链路的对比

攻击者在外网区、内网区、核心区、办公区中实施的横向、纵向渗透比较复杂，防御方一时难以区分是测试人员还是真正的攻击者，最担心非告警数据或加密流量。渗透一定会留下痕迹，而对攻击链路的分析能力代表着对当前网络环境不同进攻手法的理解能力，因此在网络层链路中，展现出哪些是非法访问，哪些是合法合规，哪些是合理协议非法使用才是关键。

对于内网区域的可信连接，首先要建立符合企业内部网络不同区域间，甚至单资产间的可信访问互通关系，包括来源、协议、端口、访问方式、访问时间等，树立“网络访问关系标准”。

如下图所示，生产区的可信资产被外部互联网通过VPN协议被动连接，同时此资产主动连入办公网区，这就触发了“网络访问关系标准”，睿眼攻击溯源系统以红色标识进行告警：

内网渗透之非法访问

新方法3 基于可信/不可信文件的对比

大多数重视HTTP防御的安全厂家，多利用数据特征被动建立特征检测模型。实战攻防演练中出现的冰蝎和哥斯拉双向加密后门，给传统的安全检测上了一课——“特征好改，流量难防”。

虽然WEB层攻击的加密方式会越来越多，但是在流量中，攻击者访问特殊WEB文件的方法肯定与正常业务不同，如未知的文件(后门)增加与消亡，将代码嵌入到已有文件来隐藏后门，端口复用技术等等。

所以，针对HTTP协议，需要对每种文件建立“行为数据标准”，通过长时间采集与对比，建立一种可信的文件数据流标准模型。

如下图左侧图1所示，在前期对当前网站正规文件结构体和双向数据流做数据标准处理，以备随时与后期流量进行对比；如下图中间图2所示，某时间段与图1对比后，发现新增未知可疑文件（红色标识），需要进一步排查文件的可疑性；如下图右侧图3所示，某时间段与图1对比后，发现已知文件（蓝色标识）双向数据与标准数据流反差巨大，则需核实此文件是否被植入特殊代码。

图1数据标准 图2 新增文件 图3数据流差异

总结：转变思维才能事半功倍

企业暴露到公网的“薄弱”资产不能只靠漏洞体系支撑防护，核心区域本不应该出现的其他协议链路或来源去向也应高度关注。

“凡走过必留下痕迹”。渗透测试手法、白帽子手法、黑灰产手法、APT手法等各不相同，无论攻击者痕迹是明目张胆，还是极深隐匿渗透，只有突破常规思维，从多维视角特别是从攻击者视角看待网络安全防护问题，基于对不同攻击者的理解，针对不同业务建立不同场景模型，同时针对渗透目标建立防APT渗透的链路关系，才会达到事半功倍的效果。

声明：本文来自中睿天下，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。