3.2.3 安全攻防演练及冬奥实践
安全攻防演练即为从组织内部,从安全建设的角度对信息系统进行模拟攻击的行为,从而发现组织内安全薄弱点,并做出对应安全策略的调整,攻防演练是可以发现更深层次的安全隐患,因此对安全技术的能力相对较高。
在一次完整的攻防演练项目实践中,主要有攻击方(蓝军)也叫做蓝队、防守方(红军)也叫做红队等攻防人员构造,需要注意的是国内外红队蓝队的叫法相反。在攻防演练中防守方人员会有如下的划分:
在一些大型的攻防演练或赛事中对于防守方人员还会有更细的划分:
在北京冬奥赛前,开展了多次针对信息系统的渗透测试工作,为了发现更深次安全问题,也进行了大量拟真的攻防对抗。攻击方和防守方均由国内顶级的安全团队组成,其中将防守方细分为如上组别。攻击方和防守方各司其职开展攻防对抗演练工作。
在攻击侧,攻击方人员主要使用信息收集,收集防守侧的暴露面开展漏洞挖掘并尝试使用已知组件的安全漏洞发起攻击。例如尝试使用FastJson、SQL注入漏洞等;其中钓鱼邮件也是攻击队使用的主要攻击方式之一。
权限维持阶段,攻击者在内网持续钓鱼、水抗攻击扩散受害者,使用内存马等方法规避查杀与对抗溯源分析工作,企图通过此方式获取更长久且稳定的控制权限。
内网横向移动阶段,攻击者也使用扫描工具队内网发起大量的扫描探测、密码爆破、Web漏洞(主要为Java反序列化类)漏洞企图寻找更多受害者,捕获更多受害机器以跨出当前VPC网络环境发起针对权重更高信息系统的攻击行为。
在防守侧主要通过安全设备结合人工监测、通过不同组别的协调工作,对安全事件进行安全响应,包括监测、溯源分析、风险修复等工作,让每个安全事件在防守侧进行闭环。
通过开展渗透测试、攻防演练在北京冬奥赛前发现了多处安全风险,在将这些安全风险收敛后,使北京冬奥相关系统安全水位更上一层楼。同时通过攻防演练锻炼了各防守侧人员的协调能力,使防守侧人员在处理安全事件时操作更规范更细致,同时也使得应急响应的效率提升,为赛时的快速处理安全事件打下了良好的基础。
