2022年,在日益不稳定的全球网络安全格局中,大规模针对性网络行动大幅增加,攻击复杂性持续上升。网络强国建设已经从“粗放式”发展延伸至“精细化”耕耘的新阶段,定期开展实战化攻防演习已成为各类单位检验安全防护能力、完善应急处置流程和工作机制、提升安全事件应急处置综合能力水平的重要举措。
在真实网络环境下面向真实系统开展网络攻防演习,必须保证整个演习过程安全可控。作为演习指挥调度平台,由360自研的新一代实网攻防靶场平台充分保障了演习的安全性、可靠性、时效性。依托该平台,攻守双方将人、谋略、工具、产品、资源的“排兵布阵”展现得淋漓尽致,上演了“高阶攻击技战术”与“空地一体化防御体系”的终极博弈。
演习开始前,双方都进行了充分的环境准备。防守队利用天相、QUAKE、本脑等产品进行了资产测绘、资产监测、抗攻击能力评估、数据接入等措施。攻击队则针对性梳理了漏洞储备和武器储备;在人员准备方面,攻击队分为攻击组、钓鱼组、能力组,防守队分为安全监控组、应急响应组、安全分析组。
演习过程中,攻击队除了常规摸排,还采用了大量非常规手段,如钓鱼邮件、AI对抗键盘窃听、近源社工、0day漏洞、“水坑”利用等多种攻击手段。在攻击武器的运用上,利用XMap针对公司及其子公司、供应链等资产进行了摸排,并成功摸到某员工常用系统;使用经过“女娲”免杀的Vanilla特马制造钓鱼邮件,并利用甜美女声最终诱导目标下载携马附件。
防守方则以严密的分析研判能力、临危不乱的应急响应和危机处置作战能力,构筑起安全的“铜墙铁壁”。如利用“NDR沙箱+本地安全大脑”及时处置钓鱼邮件;通过“磐云”发现摸排行为并封禁可疑终端,随后扔进“威胁情报池”,秒级通知其他安全产品。综合利用“EDR+NDR+本地安全大脑”,上演了网络隔离—关联日志分析样本—成功溯源的“0day绝杀”。还通过“蜜罐”溯源成功,下线了攻击队唯一能进入内网的VPN权限。
经过五个回合的背对背对抗,为期三天的攻防演习最终以攻击队拿下靶标B,防守队成功防守住靶标A和靶标C画上了句号。
在复盘环节中,双方整体发挥可圈可点。攻击队充分展现了工程化、武器化能力,以及充分的研究储备,借助后方能力实施了多样立体式的对抗攻击。防守队充分运用了体系化防御,展现了安全运营和安全服务的高效协同,同时利用自动化编排有效提升了响应时间。
中国信息协会信息安全专业委员会主任叶红表示,360政企安全集团无论在攻击技术、一体化防御思想、安全运营体系等方面都具有丰富经验,此次攻防演习对业内极具参考价值。