细数攻防演练中十大关键防守点

实战攻防演练已成为检验参演机构网络安全防御能力和水平的“试金石”，以及参演机构应对网络攻击能力的“磨刀石”。近些年在实战攻防演练中主要暴露问题，也是需要在演练中做好重点防护的地方。

一、互联网未知资产或服务大量存在

在实战攻防演练中，资产的控制权和所有权始终是攻防双方的争夺焦点。互联网暴露面作为流量的入口，是攻击方重要的攻击对象。资产不清是很多企事业单位面临的现状。数字化转型带来的互联网暴露面不断扩大，单位的资产范围不断外延。除了看得到的“冰面资产”之外，还有大量的冰面之下的资产，包括无主资产、灰色资产、僵尸资产等。在实战攻防演练中，一些单位存在年久失修、无开发维护保障的老旧系统和僵尸系统，因为清理不及时，这些系统容易成为攻击者的跳板，构成严重的安全隐患。

二、网络及子网内部安全域之间隔离措施不到位

网络内部的隔离措施是考验企业网络安全防护能力的重要因素。很多机构没有严格的访问控制（ACL）策略，在 DMZ（隔离区）和办公网之间不进行或很少进行网络隔离，办公网和互联网相通，网络区域划分不严格，可以直接使远程控制程序上线，导致攻击方可以轻易实现跨区攻击。

不同区域内网间缺乏必要的隔离管控措施，缺乏足够有效的网络访问控制。这就导致蓝队一旦突破了子公司或分公司的防线，便可以通过内网进行横向渗透，直接攻击集团总部，或是漫游整个企业内网，攻击任意系统。

三、互联网应用系统常规漏洞过多

在实战攻防演练期间，已知应用系统漏洞、中间件漏洞以及因配置问题产生的常规漏洞，是攻击方发现的明显问题和主要攻击渠道。从中间件来看，WebLogic、WebSphere、Tomcat、Apache、Nginx、IIS 都有人使用。WebLogic 应用比较广泛，因存在反序列化漏洞，所以常常会被作为打点和内网渗透的突破点。所有行业基本上都有对外开放的邮件系统，可以针对邮件系统漏洞，比如跨站漏洞、CoreMail 漏洞、XXE 漏洞来开展攻击，也可以通过钓鱼邮件和鱼叉邮件攻击来开展社工工作，这些均是比较好的突破点。

四、互联网敏感信息泄露明显

网络拓扑、用户信息、登录凭证等敏感信息在互联网上被大量泄露，成为攻击方突破点。大量互联网敏感数据泄露，为攻击者进入内部网络和开展攻击提供了便利。

五、边界设备成为进入内网的缺口

互联网出口和应用都是攻入内部网络的入口和途径。目前企事业单位的接入防护措施良莠不齐，给蓝队创造了大量的机会。针对 VPN 系统等开放于互联网边界的设备或系统，为了避免影响员工使用，很多机构没有在其传输通道上增加更多的防护手段；再加上此类系统多会集成统一登录，一旦获得了某个员工的账号密码，蓝队可以通过这些系统突破边界直接进入内部网络。

六、内网管理设备成为扩大战果的突破点

主机承载着政企机构的关键业务应用，须重点关注，重点防护。但很多机构的内部网络的防御机制脆弱，在实战攻防演练期间，经常出现早已披露的陈年漏洞未修复，特别是内部网络主机、服务器以及相关应用服务补丁修复不及时的情况。对于蓝队来说，这些脆弱点是可利用的重要途径，可以用来顺利拿下内部网络服务器及数据库权限。

同时集权类系统也是主要目标，一旦被突破，整个内部的应用和系统也基本全部被突破，蓝队可以借此实现以点打面，掌握对其所属管辖范围内的所有主机的控制权。

七、安全设备自身安全成为新的风险点

在实战攻防演练中，被发现和利用的各类安全产品 0day 漏洞主要涉及安全网关、身份与访问管理、安全管理、终端安全等类型的安全产品。利用这些安全产品的漏洞，蓝队可以：突破网络边界，获取控制权限并进入网络；获取用户账户信息，并快速拿下相关设备和网络的控制权限。最近几年，出现了多起 VPN、堡垒机、终端管理等重要安全设备被蓝队利用重大漏洞完成突破的案例，这些安全设备被攻陷，直接造成网络边界防护失效，大量管理权限被控制。

八、供应链攻击成为攻击方的重要突破口

在攻防演练过程中，随着防守方对攻击行为的监测、发现和溯源能力大幅增强，攻击队开始更多地转向供应链攻击等新型作战策略。蓝队会从 IT（设备及软件）服务商、安全服务商、办公及生产服务商等供应链机构入手，寻找软件、设备及系统漏洞，发现人员及管理薄弱点并实施攻击。常见的系统突破口有邮件系统、OA 系统、安全设备、社交软件等，常见的突破方式有利用软件漏洞、管理员弱口令等。由于攻击对象范围广，攻击方式隐蔽，供应链攻击成为攻击方的重要突破口，给企事业单位安全防护带来了极大的挑战。

九、员工安全意识淡薄是攻击的突破口

很多情况下，攻击人要比攻击系统容易得多。利用人员安全意识不足或安全能力不足，实施社会工程学攻击，通过钓鱼邮件或社交平台进行诱骗，是攻击方经常使用的手法。

人是支撑安全业务的最重要因素，专业人才缺乏是很多企业面临的挑战之一。在攻防演练期间，有大量防守工作需要开展，而且专业性较强，要求企业配备足够强大的专业化网络安全人才队伍。

十、内网安全检测能力不足

攻防演练中，攻击方攻击测试，对防守方的检测能力要求更高。网络安全监控设备的部署、网络安全态势感知平台的建设，是实现安全可视化、安全可控的基础。部分企业采购并部署了相关工具，但是每秒上千条告警，很难从中甄别出实际攻击事件。

此外，部分老旧的防护设备，策略配置混乱，安全防护依靠这些系统发挥中坚力量，势必力不从心。流量监测及主机监控工具缺失，仅依靠传统防护设备的告警，甚至依靠人工翻阅海量日志来判断攻击。更重要的是，精于内部网络隐蔽渗透的攻击方在内部网络进行非常谨慎而隐蔽的横向拓展，很难被流量监测设备或态势感知系统检测。

从以上十方面做好网络安全防护是网络安全工作中非常重要的方面。重视并建设好企事业单位网络安全监控体系，持续运营并优化网络安全监控策略，是真正可以经受实战化考验的重要举措。