说米网

攻防演练的终极目标在于查验企事业单位要害信息基础设施的安全防护才能，发掘本身防护优势及短板，因而攻防演练复盘是提高安全才能的要害环节。

与之前比较，本年的攻防演练在规矩制定、进犯规划、进犯手法等方面出现了哪些新特色?这些新变化对企事业单位的安全才能建造提出了哪些要求?

瑞数信息多年深耕bots自动化进犯技能和动态安全技能，已接连数年参加国家级攻防演练，协助众多企事业单位提高防卫竞争力。此次瑞数信息专家经过对比剖析历届攻防演练状况，网站防止攻击对企事业单位构建实战化的安全系统给出了相应建议。

2022 攻防演练新变化：四大进犯趋势凸显

网络安全攻防演练，是对全国企事业单位网络安全的一次大练兵。攻防演练自2016年开展以来，规划越来越大，红队进犯手法越来越高档，攻防对抗水平逐年提高。特别是本年对数据安全和供应链安全的要求说到新高度，使得攻防演练更加贴近实战，对企事业单位具有常态化的安全才能提出了更高的要求。

进犯趋势

瑞数信息安全专家周浩表明，除常规化的进犯方法外，本年攻防演练出现以下进犯趋势：

1. 0day进犯量大，出现新手法

0day依然是攻防演练中被红队视为最有用的手法之一。传统规矩型防护手法无法匹配0day进犯特征，同时配合上自动化进犯平台，能够快速地对安全设备之后的目标进行进犯。

值得注意的是，本年0day进犯还出现了新方法，即使用0day流言对蓝方的下一步动作进行勘探和使用。红方经过分布0day流言或发布假的0day缝隙补丁，使防卫单位下线一些防护设备，或者给防护设备打0day缝隙补丁，从而找到系统薄弱点完成木马植入。

2. 社工垂钓，进犯数量翻多倍

社工垂钓在实战中的应用越来越广泛，本年的攻防演练中社工垂钓数量成倍增长。因为本年蓝队遍及加强了安全防护才能，因而红队从人的视点下手，给相应的运维办理员、高层人员发垂钓邮件进行投毒，以获得系统办理权限。

3. 加强供应链进犯，侧面打破

供应链进犯是一种新兴的进犯方法，以供应链企业为跳板，对终究用户进行进犯。因为企业遍及注重本身的防护才能，但并不清楚供应链上下游的安全水位，因而本年红队遍及加强了供应链进犯。当获取到供应链企业的某些拜访权限后，红队就会进行深入的浸透，例如源代码剖析、0day发掘、补丁污染等等，从而进犯终究的用户。

4. API进犯加重，成为进犯优先入口

经过API建议的事务逻辑进犯越来越多，比较传统的Web进犯，这类进犯多是模拟正常的事务调用，没有显着的进犯特征，辨认起来难度很大。一方面，API承载了许多重要的事务，传输着大量敏感数据;另一方面，许多蓝队单位对本身API财物状况并不掌握，API缝隙、僵尸API的存在为红队敞开了大门。这也加重了API的危险。

瑞数信息应对建议：让企业安全从合规走向实战

攻防演练中蓝队被攻破的进程，其实也暴露了企事业单位在日常安全建造和运营中存在的问题。面临不断晋级的进犯手法，企业应当采用什么样的安全思路和方法来应对实战中的进犯?瑞数信息安全专家陆攀经过攻防演练实践总结，给出了如下应对建议。

针对 0day 进犯

针对0day进犯，目前并没有100%的有用防护手法，但能够从一定程度上进行缓解。企业不能再依靠传统WAF规矩和特征进行防护，而是应从0day缝隙使用进程中的固有特色出发，经过动态安全技能，脱节对规矩特征的依靠，对0day使用东西的行为直接进行阻断。

瑞数信息作为动态安全技能的首创者，在攻防演练中已实时阻拦近百个0day缝隙：

· 在0day迸发初期，进犯者会使用缝隙勘探东西进行大范围的进犯勘探，经过瑞数动态防护技能能够有用辨认东西建议的恳求，从而能够对这些0day进犯进行阻拦;

· 在0day迸发中期，进犯者开端针对重要系统进行人工定向的进犯，经过瑞数动态干扰技能，例如web代码混淆、JS混淆、前端反调试、Cookie混淆、中间人检测等，让进犯者无从下手。

· 在0day迸发后期，补丁现已基本晋级结束，缝隙现已被修正，这个阶段需要重点关注是否存在现已被上传的webshell，经过瑞数动态令牌等技能可对webshell的拜访进行阻断。

针对API进犯

企业能够从四个方面临API进行安全防护：

1. 财物办理，整理API接口，对API进行分类分权办理;

2. 缺点辨认，对API本身的缺点进行辨认，早于进犯者发现其间的隐患;

3. 进犯防护，首要对于存在显着特征的传统Web进犯进行辨认，然后经过UEBA、机器学习等手法，对于反常API拜访进行辨认;

4. 敏感数据管控，对经过API接口传输的敏感数据进行检测，并依据预先设定的战略进行数据脱敏、阻拦。

5. 进犯处置，根据多维度监控API接口的拜访控制，及时发现阻断反常拜访行为。

建造纵深防护系统

瑞数信息安全专家陆攀表明，单点防护早已失效，建造纵深防护系统将是企业安全必经之路，其建造思路大致可遵如下途径和原则：

1. 进犯面收敛，可经过敏感信息排查、进犯途径整理、互联网拜访途径整理等方法收敛进犯面，降低被浸透进犯危险。

2. 全方位防护，从边界防护，到分区别域，到主机防护，再到全局监控、态势感知，建立一条从内到外、由点到面的全方位防护系统。

3. 联防联控，与监管单位、安全部门、兄弟单位建立联动机制，在威胁情报、事件处置、技能支撑等方面资源共享，最大化的发挥各部门优势，进行联防联控。

打造常态化安全才能

除了系统化的安全建造，陆攀也指出，攻防演练中表现的安全才能需要常态化，才能真实让企业安全从合规走向实战。

1. 从“人防”转向“人防+技防”的主动防护战略。为了避免传统安全依靠规矩和人力的防护方法，瑞数信息动态安全技能能够经过人技结合，完成更主动和有用的防护，从而降低企业安全运维负担，让企业安全运维人员不再疲于奔命、亡羊补牢。

2. 企业应提高安全注重程度，提高安全预算投入;定期对企业内部进行安全培训，提高全员安全意识;根据小团队进行内部红蓝对抗演练，实时完善应急响应流程等。

3. 建立一支安稳高效安全团队，将安全运营常态化，避免战时突击，闲时放羊。

结语

“安全”表现的是一个企业的综合才能，并不是由堆砌安全设备组成。在安全常态化、实战化的今天，企业更需要改变防卫思路，构建真实意义上的主动纵深防护系统。瑞数信息根据历次重大活动安全保障任务的考验和累积，其抢先的动态安全技能和重保计划，全面表现了“全体防护、协同联防;主动防护、表里兼防;动态防护、主动免疫;纵深防护、技管偏重”的防护特色，获得了来自各方的认可与肯定。未来，瑞数信息还将持续助力企业根据“人防+技防”做好常态化安全运营，助力全行业构建实战化的安全才能。