《云上大型赛事保障白皮书》——第五章 安全设计与安全防护——5.2 云上大型赛事安全防护——5.2.1 安全攻防演练（上）： https://developer.aliyun.com/article/1226266?groupCode=supportservice

5.2.1.3.1 未知攻 焉知防(上）

攻防对抗中，攻击方通常掌握着攻击的主动性，防御体系的建立也必然需要了解攻击者可能使用的攻击技术。作为攻击者，需要了解的安全相关概念如下：

安全漏洞：指在硬件、软件、协议或流程的具体实现上存在缺陷，从而可以使攻击者在未经授权的情况下利用或绕过预先设定的安全流程，访问、修改或破坏安全流程校验之后的数据或信息，其中关注度较高的通常为RCE、SQL注入、任意文件上传/写入、未授权、弱凭证等。

RCE漏洞：也叫远程命令执行/远程代码执行(remote1command/code1execute)，可让攻击者直接向后端服务器注入操作系统命令或者代码，并达到控制后端服务器目的。

SQL注入漏洞：服务端对客户端的请求未做特殊处理便交给数据库进行查询。客户端传入的参数内容可控，攻击者可构造恶意的SQL语句，恶意的SQL语句被带入数据库执行，可让攻击者获取到数据库中的敏感数据。

网络边界：逻辑上不同网络安全域之间建立链接的枢纽，通常指DMZ区域(互联网与业务内网隔离的缓冲带)。

APT攻击：高级持续性威胁，通常为某个团队利用当下先进的攻击手法对特定目标进行长期且持续性的网络攻击，常见的攻击方式为(使用0day攻击、鱼叉攻击、水坑攻击)。

作为防守方，需要了解安全产品相关的基本概念：

DDoS高防：用于防护大流量DDoS攻击(例如SYN1Flood、UDP1Flood、DNS Flood)的技术或产品，避免业务系统在遭受到大流量攻击时，业务系统不会出现服务不可用，系统无法访问或其它拒绝服务现象。

Web应用防火墙：简称WAF，主要为网站或App业务提供一站式安全防护，通过识别Web业务流量的恶意特征，对流量进行清洗和过滤后，将正常、安全的流量返回给服务端，避免业务系统被恶意入侵引发安全事件，保障系统业务安全和数据安全。

防火墙：由计算机硬件和软件组成，部署于网络边界，对进出网络边界的流量进行安全检查，可拒绝不受安全信任的访问流量，保障内部网络数据的安全。

蜜罐：由计算机硬件和软件组成，部署于不同的网络域环境，通过诱饵主机或诱饵服务，诱使攻击者对它们进行攻击，从而捕获攻击行为，通过分析捕获到的攻击行为，可推测出攻击者攻击意图或动机，使防守方更清晰的了解目前所面对的安全威胁，在一定程度上也给攻击者增加攻击成本。

HIDS：基于主机的入侵检测系统，用于监测系统的安全状态或拦截恶意的动态行为，同时可以对攻击者在主机层执行的所有操作进行回溯。

威胁情报：通过技术手段或安全产品(例如舆情分析、态势感知)等方式采集数据，并通过特定规则对采集的数据进行分析整理，最终为面临威胁的资产主体提供全面、准确或有参考意义的情报信息，有价值的威胁情报可以为高层人员提供后续工作决策方向的重要依据。

5.2.1.3.2 未知攻 焉知防(中）

在一场攻防演练中，攻击者可能并不知道内部网络的区域边界、所使用的信息系统，甚至不知道组织内部的人员构成，他们知道的可能仅是防守方的组织名称。

因此，攻击阶段的第一步则是信息收集，信息收集的广度与深度对演练最终结果起到举足轻重的作用。收集内容主要为防守侧的人员信息、组织架构、网络资产、技术框架及安全措施等。收集渠道以互联网端为主，例如合理使用各类搜索引擎、利用企业注册信息、企业备案信息等公开的信息查询平台，或者是使用社交网络开展信息收集。除此之外，攻击者还会发起主动的信息收集探测行为，例如使用一些安全相关的工具类(子域名枚举工具、端口扫描工具、web指纹/目录扫描等安全工具）。

这里使用某公开的搜索引擎为例，输入企业名称，可以从搜索引擎中检索到相关企业在互联网上披露的资产信息，如图。

图：搜索引擎检索企业信息

在对收集到的基础信息进行分析，提取出关键人物、关键系统、边缘系统、第三方系统、供应链等信息。此时进入打点阶段，意为从互联网突破进入到防守方相关的网络中或拿到与防守方有关系统的管理权限。

该阶段技巧很多，也因供给侧人员的能力和经验而有所不同。常用的有边缘渗透，即基于已知信息生成攻击组合策略、已知高危漏洞自动化编排攻击、批量爆破互联网服务弱口令；社会工程学手段，即采用钓鱼邮件、从属关系、供应链等维度展开攻击行为。此外，近源渗透也是近年来攻击者惯用伎俩，例如硬件植入、通信接入或伪装成维护人员，进入企业内部获取敏感数据。在当下网络安全背景下，参与攻防演练的双方都具备一定的安全技能，不同安全团队也都有安全知识储备，这些安全团队作为攻击方时也会使用一些未知的高危漏洞或攻击技术作为攻击方案。

值得一提的是，打点作为高对抗阶段，需要与IPS、WAF、EDR等安全产品对抗，也需要与防守侧的人员做对抗。当攻击者寻找到突破口，就会采取稳固自身据点的攻击行为，例如上传后门文件、创建通信隧道等便于后续横向渗透的操作。攻击者利用自身知识储备分析组织内部数据，在攻防过程中持续信息收集和分析，走完关键系统、关键网络、管控平台等攻击路径。最终控制目标、清理痕迹、证明成果、提交攻击成果报告。

5.2.1.3.3 未知攻 焉知防(下）

攻防演练可分为三个重要阶段，阶段一是攻防演练准备阶段；阶段二是攻防演练保障阶段；阶段三是攻防演练结束阶段。作为防守方，一般在安全设施或业务系统趋于完善之时介入，开启专职的防守工作。

攻防演练的准备阶段，主要为梳理业务资产、识别安全风险、收敛安全风险。如有需要，可关停部分非核心业务系统，来减少攻击暴露面。此外，还会审查安全基线、安全策略配置等是否满足安全要求。态势感知、蜜罐、IDS/IPS等安全设备的部署往往也在此阶段完成。

在攻防演练保障阶段，攻击者会采用适宜的方式展开攻击行为，防守人员则需要从不同检测维度来识别这些攻击行为和攻击流量，将捕捉到的攻击事件上报并及时展开应急响应。值得注意的是，防守人员必须结合自身业务和关键痕迹进行联动分析。例如，当攻击路径中出现大规模的扫描与漏洞利用、OA系统/邮件系统/VPN等人工尝试登陆的行为以及人工注册业务系统账号挖掘漏洞等，便会产生与之对应的关键痕迹，如安全设备大量漏洞利用告警、办公系统/软件组织架构被批量浏览、关键业务系统出现大量错误登陆日志以及业务系统出现如test关键词的新用户注册等，甚至某些业务系统还会出现主动防御退出告警、安全软件配置变动、来源未知的新增文件以及对外的DNS解析和ICMP行为。如果过于依赖安全设备，就有可能忽略掉这些细微异常而最终导致安全事件发生。

攻防演练结束阶段，防守方可以拿到攻击方的攻击成果报告，从报告中可以了解组织内部的真实风险，对攻击过程进行复盘可以使防守方深入了解攻击者的攻击思路和攻击方案，以便在后续的安全建设中采取更优质更全面的安全防护措施，而不再是专注于修复某个安全漏洞，对防守侧工作的总结复盘也可以了解到内部安全建设的短板，为后续的安全建设指明方向。