根据实战演练的重要信息基础设施实战演练保护实践是DSFOCusl网络集团副总裁曹佳在此
次天府杯等级保护2.0主题论坛上的分享主题。重要信息基础设施是网络信息安全保护目标的
头等大事。面向实战演练不仅是其网络信息安全工作的特点,也是一项重要要求。近年来,行
业级乃至国家级攻防演练广泛开展,重点信息基础设施网络运营商是重要参与者。DSFOCusl
多年来积极支持大量攻防演练。作为一家专业的网络信息安全公司,结合攻防双方不同的视角
,有很多经验值得分享和借鉴。
曹佳,DSFOCusl网络集团副总裁。曹佳表示,根据中国大陆和台湾对近期攻防演练的反馈,
针对面向公众应用的攻击,如Web漏洞、附件钓鱼等,仍然是攻击者打开突破口的手段和思路
。同时,国内一些商业软件和安全产品没有及时更新也成为入侵成功的重要。以一次典型的网
络钓鱼攻击为例,根据国家自然科学基金委安全运维保障的中台反馈,脚本准确、攻击准备充
分、结合Co钴打击、冰蝎等成熟工具、利用域前技术更好地隐藏攻击,是2020年攻防演练中
网络钓鱼攻击的典型特征。
针对面向公众应用的攻击,如Web漏洞、附件钓鱼等,仍然是攻击者打开突破口的手段和思路
。同时,国内一些商业软件和安全产品没有及时更新也成为入侵成功的重要。以一次典型的网
络钓鱼攻击为例,根据国家自然科学基金委安全运维保障的中台反馈,脚本准确、攻击准备充
分、结合Co钴打击、冰蝎等成熟工具、利用域前技术更好地隐藏攻击,是2020年攻防演练中
网络钓鱼攻击的典型特征。
在攻防演练的场景中可以看到的另一个重要的可能性是对可信私有网络的攻击。可信任度字
面意思是可信任度,但这个“可信任度”在目前能等同于“绝对安全”吗?是否可以等同于没有
防御?更矛盾的是,问题的答案不一定符合安全工作的实际。曹佳介绍的一个典型攻击案例,
就是利用可信网络中各单位几乎不设防、互连互通、脆弱资产普遍存在的现状。一旦攻击者
利用0天和1天的储备成功实现入侵,他就可以在成熟工具的基础上实现稳定。存储空间We
bshell回朔;事后的内部遍历list、信息收集乃至是破坏行动,根据可信网络的现状,除了满
足过程中免杀和隐藏的基本要求外,对于攻击者来说基本不难。
面意思是可信任度,但这个“可信任度”在目前能等同于“绝对安全”吗?是否可以等同于没有
防御?更矛盾的是,问题的答案不一定符合安全工作的实际。曹佳介绍的一个典型攻击案例,
就是利用可信网络中各单位几乎不设防、互连互通、脆弱资产普遍存在的现状。一旦攻击者
利用0天和1天的储备成功实现入侵,他就可以在成熟工具的基础上实现稳定。存储空间We
bshell回朔;事后的内部遍历list、信息收集乃至是破坏行动,根据可信网络的现状,除了满
足过程中免杀和隐藏的基本要求外,对于攻击者来说基本不难。
此外,网关、VPN等关键路径上的弱密码,域控系统的无限批量脚本发布能力,以及攻击者
日益丰富的与时俱进的技术对策,可以说是令人震惊。但这也是实战演练攻防演练的意义和
价值。曹佳表示,从防御方的角度来看,根据DSFOCusl的实践,实战演练中的五大重要能
力、实时高强度攻防对抗场景、TTPs(战术、技术、流程)等高价值情报、(平台)产品威胁发
现与应对能力、对攻击和事件的应对能力、经验丰富的技术研究能力、可追溯性应对措施等
,可以汇聚并集中在安全中间站,再到客户和监管方。
日益丰富的与时俱进的技术对策,可以说是令人震惊。但这也是实战演练攻防演练的意义和
价值。曹佳表示,从防御方的角度来看,根据DSFOCusl的实践,实战演练中的五大重要能
力、实时高强度攻防对抗场景、TTPs(战术、技术、流程)等高价值情报、(平台)产品威胁发
现与应对能力、对攻击和事件的应对能力、经验丰富的技术研究能力、可追溯性应对措施等
,可以汇聚并集中在安全中间站,再到客户和监管方。