近年來,全國性攻防演練逐漸常規化。攻防演練不僅是對各企事業單位網路安全能力的大考,更是透視未來安全趨勢、升級防禦策略的絕佳窗口。
在技術升級與威脅演變的雙重驅動下,2024年的攻防演練呈現出哪些新趨勢和新特點?這些變化對於企事業單位的安全能力建設又提出了哪些新要求?
瑞數資訊作為多年深耕bots自動化攻擊和動態安全技術的專業安全廠商,已連續數年參與國家級攻防演練,助力眾多企事業單位提升攻防演練的防守競爭力。此次,瑞數資訊安全響應中心研究員陸攀對今年攻防演練的新趨勢做出了預判,併為企事業單位構建實戰化的安全體系提出了對策。
2024攻防演練四大趨勢凸顯
自2016年以來,攻防演練已走過九個年頭,從最初的小規模試點,到如今的大範圍紅藍對抗,攻防演練的執行力度逐年增強。
瑞數資訊安全響應中心研究員陸攀表示,隨著時間的推移,攻防演練的規模越來越大,也越來越呈現出攻擊力度強、攻擊點範圍廣、防護難度大的特點。
比如,2019年開始出現0day攻擊;2021年0day攻擊常態化,供應鏈攻擊和社工開始展露頭腳,第一次出現沙盤推演;2023年更是達到了歷史規模之最大,防守隊和攻擊隊都接近300家,且0day、供應鏈、社工成為三大攻擊利器。
隨著攻防演練的快速演進,攻擊手法也在不斷變化升級。基於歷年攻防演練的攻擊情況,瑞數資訊安全響應中心研究員陸攀認為,2024年攻防演練的攻擊手法將呈現四大趨勢:
•趨勢一:0day漏洞轉向供應鏈
2023年攻防演練期間暴露出的0day漏洞數量接近300個,web漏洞佔比90%以上,基本上覆蓋了VPN、遠端工具、辦公軟體、OA系統、聊天工具、安全産品等。
換句話説,0day攻擊方向已經從之前的業務系統、安全設備逐步轉向個人辦公軟體,從web應用組件轉向供應鏈,即每個人都可能是被攻擊的對象。
•趨勢二:多元化攻擊
近幾年攻擊渠道也越來越多源,從傳統的網路介面,演變成各種智慧終端,如:辦公大廳自助機、攝像頭、微信、小程式、APP等。
在這些供應鏈攻擊中,攻擊方法也是花樣百齣,結合社工釣魚玩出了新高度,不僅是技術的比拼,還是心理戰術的博弈。
比如,在2023年攻防對抗中,攻擊隊利用供應鏈的的補丁進行投毒,欺騙用戶進行升級,從而控制系統;還有各種主題的釣魚郵件,如:簡歷招聘、舉報信、高溫補貼、社保繳費,讓人忍不住點進去。
•趨勢三:工具攻擊更隱蔽、更智慧
相較于過去單兵工具作戰,現在的攻擊工具越來越智慧化和一體化。
一方面,各種特徵流量都被加密,難以捕捉到攻擊特徵,結合代理池的多源低頻繞過,更難以被發現;另一方面,一體化的攻擊工具可以實現一鍵快速打點,自動實現資産指紋收集、漏洞自動檢測、利用以及獲取許可權等功能。
此外,攻擊隊還精心設計了專門介面,以加快攻擊過程,實現工具整合化、平臺化,形成完整的自動化攻擊鏈。
•趨勢四:API介面成為主要攻擊目標
隨著國家對數據安全的重視,最近兩年攻防演練計分將數據分提到了新高度,API介面由此成為了主要的攻擊目標,對API發起的業務攻擊層出不窮,如:Swagger文件、撞庫、批量獲取數據等。
如何做好常態化安全防禦?
隨著攻防對抗強度的加大,安全工作者“疲於奔命”的感受越來越深。在攻防對抗中,攻易難守,攻擊只需要突破一個點就可能拿下目標,而防守者卻要面面俱到。尤其是隨著業務系統的不斷擴張,攻擊面也在與日俱增,安全運營成本不斷增高。
面對這種被動局面,作為防守方的企事業單位該如何應對不斷升級的攻擊手法,構建常態化的安全防禦體系?對此,瑞數資訊安全響應中心研究員陸攀給出了四個對策:
•防禦策略一:戰線整理-縮小攻擊面
攻擊的本質是資訊收集,收集的情報越詳細,攻擊難度也就越小,成果也就會越豐富。因此,防守隊可以進行戰線整理,加大攻擊隊資訊收集的難度,縮小攻擊面。同時,做好以下六點,能夠減少90%以上的攻擊面:
1.敏感資訊排查:排查掃描敏感資訊是否有洩露到公網上,如源碼、賬號密碼、人員資訊等。
2.攻擊面收斂:排查攻擊面,如常見的網站後臺、測試系統、僵屍系統、高危服務端口等。
3.攻擊路徑梳理:梳理每個業務系統的訪問路徑,尤其是重要系統、全國聯網系統。
4.安全措施排查:梳理每個系統的安全防禦情況,如安全補丁、訪問策略、安全加固定等。
5.外部接入網路梳理:梳理外部接入情況,如上下級單位、供應鏈服務商的網路接入等。
6.隱蔽入口梳理:梳理隱蔽入口的梳理,如私自搭建的WIFI、不用的VPN入口、遠端辦公等。
•防禦對策二:供應鏈安全
面對越來越多的供應鏈攻擊,可以基於以下四點來建設:
1.供應鏈管理策略,建立健全內部安全管理制度和標準規範,將軟體供應鏈安全融入已有的安全管理安全技術體系中,審查供應商的安全實踐、軟體開發生命週期等;
2.保障供應鏈完整性驗證,監測是否被篡改過;
3.供應商訪問控制,比如實現最小許可權訪問原則、制定高強度密碼機制等;
4.安全測試,定期對供應鏈軟體和産品做安全測試和漏洞評估。
•防禦對策三:社工安全
針對人員安全意識建設是一個永不過時的需求,可以從以下四點出發:
1.安全意識:定期對全員工進行安全培訓,組織內部釣魚郵件演練,不斷持續強化防範措施。
2.部署釣魚郵件檢測設備:部署反垃圾郵件網關、釣魚郵件檢測設備、郵件內容過濾系統等,過濾可疑郵件連結和附件,主動發現釣魚郵件惡意連結、惡意附件,主動攔截郵件並及時通知用戶。
3.終端側安全:及時更新漏洞補丁,避免遠端命令執行、本地提權等常用漏洞,安裝殺毒軟體更新,對落地文件靜態+動態查殺掃描,做到即使被釣魚了,但是不淪陷。
4.網路側安全:釣魚成功但是不出網,危害小一大半。出網策略嚴格限制,如:根據白名單、IP域名白名單進行全流量監控、網路安全訪問控制劃分;還可以針對釣魚郵件攻擊進行溯源反制,獲取攻擊者資訊。
•防禦對策四:0day防禦
針對最難防禦的0day,可以從以下四點去建設:
1.全方位防控:針對所有流量、日誌、主機行為進行監控分析。
2.核心防禦:集中力量辦大事,對核心繫統、重要系統、集權系統、靶標系統進行重點防禦,如:設置嚴格訪問策略、多因素登錄、安全加固等。
3.安全設備:部署安全設備:一是蜜罐,對0day實施誘騙和誘捕;二是動態防禦設備,防禦0day批量探測、掃描和工具利用。
4.威脅情報:建設威脅情報體系,第一時間獲取最新的0day資訊,提前做好部署,防患于未然。
結語
無論是政策法規、行業標準引導,還是網路安全態勢變得越來越複雜,攻防演練的標準都會越來越高。在這種實戰化安全的趨勢下,政企機構需建立起常態化的防禦體系,從人防到技防,從被動到主動。
瑞數資訊已推出多項安全産品,覆蓋Web、移動App、H5、API及IoT應用,從應用防護到業務透視,建立了從動態防禦到持續對抗的全面防護體系。
針對攻防演練、重大活動保障這樣的特殊場景,瑞數資訊也相應推出了“重大活動動態安全保障”、“網站護盾”等解決方案,助力企事業單位更高效、靈活地應對複雜攻擊。