攻防實戰下，瑞數資訊如何築牢網路安全縱深防禦體系？

自首屆網路安全攻防實戰演練開展以來，這一活動已成為網路安全領域備受關注的大事件。今年，攻防實戰演練更上升到了一個全新高度，包括行動任務數量、演練週期時長、攻擊強度以及演練類別等，較以往都有極大提升，堪稱“史上最難攻防季”。

今年的攻防演練著眼于全球網路空間戰略博弈的升級和攻防對抗的持續加劇。一方面，網路攻擊強度烈度不斷升級。網路攻擊手段不斷升級、強度持續提升、規模不斷擴大，網路攻擊主體更加多元，涉及個人、企業、社會組織甚至國家。另一方面，網路安全形勢發生深刻變化。隨著人工智慧、物聯網、大數據等技術不斷創新和相互滲透，網路空間與物理空間高度融合，二者關聯愈發密切、邊界趨於模糊，網路安全風險從單點向全局蔓延。

網路攻擊手段進化升級

在網路安全升級為數字安全的時代背景下，實戰攻防對抗是檢驗安全能力的最終標準。由於目前網路空間態勢複雜，如何在攻防對抗環境中具備實戰能力，已成為所有行業和政企機構網路安全建設的重要目標。

瑞數資訊安全響應中心研究員陸攀介紹，從2016年至2023年的攻防演練實踐看，無論從演練規模還是攻擊技術上看，都在不斷演進升級。“攻防演習”逐步由試點走向全局，執行力度逐年增強，呈現出攻擊力度強、攻擊點範圍廣、防護難度大的特點。

比如2016年攻擊方法以傳統應用系統攻擊為主，攻擊手段相對單一；2019年開始出現真正意義上的0day攻擊；2021年0day攻擊常態化，供應鏈攻擊和社工開始展露頭腳，第一次出現沙盤推演；2023年攻防規模達到歷史之最，防守隊和攻擊隊都接近300家，並且0day數量達到300個左右。

隨著網路安全攻擊技術持續進化，攻擊手法主要呈現出四個趨勢變化：

首先，0day漏洞轉向供應鏈。2023年攻防演練期間暴露出的0day漏洞數量超過200個，有詳情的漏洞超過100個，Web漏洞佔比達到90%以上。攻擊方向從之前的業務系統、安全設備，慢慢趨向於軟硬體供應商和辦公系統。

其次，攻擊更加多元化。智慧終端、辦公大廳自助機小程式、微信等成為新的突破口，供應鏈和釣魚攻擊成為攻擊新趨勢。隨著正面突破的難度越來越大，供應鏈、開源組件、二級單位攻擊、社工釣魚等方法和花樣層出不窮。比如利用供應鏈的補丁或者升級包進行投毒，欺騙用戶進行升級等，從而控制網路系統。

第三，工具化更加隱蔽智慧。攻擊工具和攻擊方式越來越自動化和智慧化，自動化攻擊手段從早期的簡單腳本和工具，到具備JS解析能力的工具，再到腳本驅動的瀏覽器和APP，以及如今的錄屏操作和真人操作，識別和防護難度呈現指數級上升。大量的通用和定制工具用於漏洞掃描、0day探測、撞庫、敏感文件探測等，攻擊範圍進一步擴大。為了提升攻擊效率，攻擊方還精心設計了專門介面，以加快攻擊過程，實現了工具整合化、平臺化，並形成了完整的自動化攻擊鏈。

第四，API介面成為主要攻擊目標。通過惡意請求或其他手段獲取未授權的數據或對系統進行惡意操作，脆弱的API成為了攻擊者進入系統的門戶。攻擊者可以利用API漏洞繞過防火牆、入侵檢測系統等安全防護設備，從而對系統進行深入攻擊。

面對持續加大的網路攻擊強度，網路安全工作者疲於奔命、無所適從的感受越來越強烈。網路對抗一直處於攻易難守的狀態，攻擊只需要突破一個點就可能拿下目標，而防守者卻要面面俱到。在很多情況下，網路安全往往面臨事後響應、被動挨打的局面，經常都是在被攻擊之後，系統被拖庫或被植入後門才發現攻擊痕跡。尤其是隨著業務系統的不斷擴張，攻擊面也在與日俱增，安全運營成本不斷增高。

從攻擊者視角看安全

在數字化時代，網路安全團隊不僅要站在防禦視角來看待安全，更要從攻擊者視角來監測完整的數字攻擊進程，瑞數資訊觀察到了各類網路攻擊的流程和防護要點。

實網攻擊方面，在起始階段，攻擊者會先在網路週邊進行探測尋找突破口。突破口大多聚焦在關注度低和防護薄弱系統、存在高危漏洞的系統、第三方産品供應商、運維服務供應商、存在敏感資訊洩露的系統等區域，之後通過目標收集、漏洞掃描、路徑探測、賬號破解等方式，逐步深入滲透進網路之中。在進入網路中後，攻擊者會採取人工滲透、0day/Nday攻擊、安全措施突破、獲取shell等方式，層層深入到最核心的內網之中，並在內網開啟漫遊，通過收集資産、定向控制、許可權提升等手段，逐步獲取核心許可權，從而掌控整個網路的主動權。

供應鏈攻擊方面，攻擊者首先會識別使用敏感數據的軟體開發供應商，這裡的目標是打開一扇通向更多機會的門。選中目標後，攻擊者會利用公司軟體中未知或未解決的漏洞侵入系統，他們可以利用識別的漏洞，在公司源代碼中添加有缺陷的代碼或插入惡意軟體。一旦供應商被感染，‌他們便試圖通過橫向移動訪問連接的目標公司的敏感數據。‌此外，‌攻擊者還會使用網路釣魚攻擊欺騙第三方供應商的員工洩露登錄憑據。‌一旦攻擊者獲得了對目標公司網路的訪問權，‌他們就可以使用各種手段竊取或加密目標公司的數據，‌進而實施勒索攻擊等惡意操作。‌

此外，站在攻擊者視角，還可以發現網路安全中存在的一系列挑戰。隨著數字化發展，資産類型和數量越來豐富，網路安全從業者難以完全掌握所有潛在風險點，攻擊面越來越大，且大多並不清晰。其次，由於供應鏈數量眾多，類型錯綜複雜，導致安全難以做到統一管理，供應鏈風險與日俱增。同時，不同團隊和部門對安全重視程度不一，員工安全意識差異較大。而未知的0day漏洞則很難事先防範，一旦被發現就可能遭受嚴重攻擊，0day防禦重要性日益凸顯。

構築縱深防禦體系，化被動為主動

克勞塞維茨在《戰爭論》中曾經對防禦作戰有過這樣的描述：“防禦作戰這種常見的作戰形式，其往往不是單純的組織靜態的防線，而是由無數次的巧妙打擊和迂迴運動組成的反突擊體系。”

對防守方而言，單一的産品是無法實現安全的，構建縱深防禦體系、建立全面監控的能力、高效協同等，都是贏得網路安全戰的先決條件。

基於主動防護理念，瑞數資訊改變了傳統網路安全的“遊戲規則”，推出動態安全技術，不再依靠攻擊特徵庫、異常特徵庫的匹配來進行攻擊識別，而是通過隱藏漏洞、變換自身、驗證真偽等多種方式提高駭客攻擊成本，倒逼駭客放棄攻擊。

在0day漏洞防護方面，瑞數資訊從0day漏洞利用工具請求的固有屬性出發，通過動態安全技術，無需依賴規則特徵，只要識別到是工具行為，就可以直接對0day攻擊進行阻斷。

在漏掃防護方面，瑞數資訊提供漏洞隱藏功能，將所有的高危、中危漏洞、網頁目錄結構做隱藏，並通過敏感資訊隱藏、針對掃描器做重放性檢測、動態挑戰等方式來進行防護，讓攻擊方掃描不到任何有價值的資訊。

隨著網路對抗升級，基於規則和特徵的傳統安全設備防護效率將越來越低。對於人工攻擊，還可以從干擾攻擊行為的角度出發進行防護。

瑞數動態安全利用動態封裝和動態混淆這兩大創新技術對攻擊者實施動態干擾。靈活運用Web代碼混淆、JS混淆、前端反調試、Cookie混淆、中間人檢測等多種動態干擾功能，採用不基於任何特徵、規則的方式進行有效防護，為業務安全和用戶數據築起了一道堅不可摧的防護墻。

針對愈加頻繁的勒索攻擊，瑞數資訊通過數據備份和快速恢復備份數據的數據安全檢測與應急響應系統（DDR）系統，構建起更完整的勒索軟體防護閉環，幫助企業守住數據安全最後一道防線。

在嚴峻的網路安全形勢下，面對層出不窮的攻擊手段和潛在的安全威脅，網路安全防護必須實現從“人防”到“技防”的全面躍遷，才能徹底將人員從安全對抗的值守中解放出來。

基於獨特的“動態安全+AI”技術思想，瑞數資訊綜合運用自動化攻擊保護、0day防護、多源低頻防護、多維度分層分級對抗等多種安全防護策略和手段，還推出瑞數WAAP超融合平臺，支援WAF、Bots防護、0day攻擊防護、應用DDoS防護、API安全防護等多項安全産品單獨或聯合部署，能夠覆蓋Web、移動App、H5、API及IoT全應用渠道，提供多層級的聯動防禦機制，令企業在各類複雜的環境中，都可以輕鬆實現應用安全一體化防禦。

目前，瑞數資訊動態安全已廣泛應用在運營商、金融、政府、教育、醫院、企業客戶之中，幫助各類組織機構真正實現網站/APP/小程式/API的安全防護，降低其安全風險和經濟損失。同時，瑞數資訊參與了大量網路安全重保工作，並取得了優異的成績。

借助動態安全與AI技術，瑞數資訊建立起全方位的網路安全縱深防禦體系，形成事前、事中、事後安全風險閉環，助力企業消除資訊安全體系建設中的“安全孤島”問題。由此，企業在面對複雜多變的網路和應用環境時，可以真正實現網路安全從“被動”變“主動”，構築起網路安全的“鋼鐵長城”。