【网络安全】红蓝对抗｜备战大型攻防演练，这一篇就够了

大型攻防演练，红军镇守城池，与蓝军刺客般的灵活操作一较高下，双方在实战中倾尽 “巧思”，使攻击或防守达到事半功倍的效果。

“巧思” 为何，快上车，随我去战场一探究竟。

优秀的蓝军虽然要求团队每个人都是精兵强将，但体系化的攻击思路和完美的团队协作也是助力他们“四两拨千斤”的关键，作为更懂攻击队的我们总结了普适的攻击思路。

集结号吹响，9大攻击“技战法”来袭

动态对抗，线上+社工持续信息追踪

发起攻击前，应尽可能多的搜集攻击目标信息，做到知己知彼，直击目标最脆弱的地方。攻击者搜集关于目标组织的人员信息、组织架构、网络资产、技术框架及安全措施信息，为攻击决策提供支撑。

搜集信息的种类包括但不限于分支机构、关联公司、外包公司、投资公司、人员、网络、主机、域名、帐户、邮箱等信息。攻击者选择目标也会观察资产是否与主体公司发生关联。

巧妙利用漏洞，撕开防线

利用自动化攻击工具，基于攻击队伍的技术特长、擅长知识领域、漏洞储备资源、计算资源能力，以最快的速度找到目标的可入侵点。一般情况下，会先采用自动化工具进行第一波突破，若无果，再采用遍历攻击面的方式，逐个系统人工深入挖掘漏洞。

扫描器产出漏洞深入利用
尝试利用员工账号爆破VPN系统
上传WebShell进一步获取控制权
OA系统/邮箱/VPN人工尝试登录
尝试绕过WAF利用漏洞
人工注册业务系统账号挖掘漏洞

自动化工具的灵活运用

自动化工具是攻击者的倚天剑屠龙刀，可有效提升攻击效率，通过自动化工具结合人工操作，持续进行信息搜集和扫描查点工作，常用的手段有:

虚拟机逃逸，新型入侵路径

在以往的安全观念中，攻击者如需从外网突破，势必要经历初始入侵、维持权限、信息搜集、横向提权的多个循环，直至最后获得服务器的管理员权限。因此有效的防守策略就是在这条路径上部署众多阻断、诱骗工具，以拖延攻击进程，完成溯源反制。虚拟化技术的引入改变了这种格局，它为攻击者打开了新的入侵路径:

一方面，可以直接通过虚拟机攻击云管理平台，然后利用管理平台控制所有机器;
另一方面，可以通过直接从虚拟机里进行逃逸，从而控制宿主机，然后利用宿主机控制其上所有虚拟机。

利用安全设备漏洞擒王

网络环境中，安全/运维/监控设备往往具备多类系统的管理员权限，这对攻击者寻找重要靶标系统无疑是绝佳路径。在攻击尝试中，这是一条攻击者绝对不会忽略的路径。此种攻击路径大多情况下都是从安全设备/运维管理设备的安全隐患入手，总结下来就是利用安全设备的安全漏洞，进行攻击。总结大致的攻击思路是:

提前储备相关安全/运维设备的0Day或1Day，供内网横纵向扩展；
利用以Server端控agent端，或者先从agent打到Server，再打其他agent的形式

摸排供应链，寻找切入点

一家企业的信息建设是集结多方力量完成的，摸排这些为企业提供服务的供应商，不难发现安全隐患，作为入侵目标单位的跳板。寻找在供应链上的系统漏洞，需要结合信息采集的步骤，摸清目标的业务供应商情况，大致总结为以下思路:

针对特定行业，常用特定软件或者系统进行一定储备和了解；
面对临时发现的第三方系统，可采取寻找源码，现场审计挖0Day的方式攻击

社工欺骗，钓疏忽大意之鱼

在众多社工攻击的手段中，钓鱼邮件是最为常见也最容易让人上钩的方式之一。总结常见的社工手段有:

攻陷VPN，直捣黄龙

首先攻击方需要先确定企业的VPN，方式有很多，如:

利用Web指纹，如特征URL、特征字符等方式，确定目标是否是特定的VPN
通过二级域名暴破等方式，确认常见VPN域名是否存在或启用
在Fofa等网络空间搜索引擎，通过SSLVPN等常见开源或商业VPN关键词，结合目标信息进行资产搜索，获取VPN目标地址
通过目标单位可能泄漏的《VPN连接说明》等相关文档，寻找对应地址
通过一些VPN域名历史IP解析记录等，寻找可能暴露VPN的IP

确认好目标后，需要利用现有漏洞，进行脆弱点突破VPN边界，进入内网以供后续深入利用。

避其锐气，击其惰归

攻防博弈数十年，防守方的进步是迅速的，越来越多的蓝军专家发现正面突破代价高昂(被发现封禁IP/遭到蜜罐的溯源反制)，所以在所有的攻击技战法中，一定要注意的是，隐蔽行踪和攻其不备。

隐蔽行踪的要点就是要有效躲避安全产品的检测，攻击Tips如下:

蓝军战火弥漫，势头正盛，

让我们看看红军招架如何！

优秀的红军越是战时越应气定神闲，以“镇国”妙计消解攻击招式，以WPDRRC模型、ASA2.0框架、安全风险模型为理论依据，形成预防，检测，监测，响应，溯源环绕立体纵深防御体系，让敌军知难而退。

有条不紊，10大防守“技战法”阻敌

常态化资产安全管理

资产是安全运营的基础支撑能力，合格的安全管理是建立在对于资产全面且精准掌握的基础之上，动态、周期性的资产监测以及及时的变更预警是非常必要的，保持对于资产部署分析、业务属性及应用上下游关系等清晰的认知，才能够将企业在互联网的暴漏面进行持续收敛。

资产安全管理流程

得分利器，溯源与反制

在大型攻防演练场景中，通过伪装欺骗系统“主动”部署诱饵，诱敌深入，采集信息达到追踪溯源，最终反制，是可以减少失分获得加分的重要方式。

想要最终捕获到狡猾的攻击者，溯源与反制蜜罐的布设需要花些心思，历经大量攻防实战反制经验，我们努力探寻能够实现攻击反制的终极奥义，整理了一套反制蜜罐的培养策略，希望能够混淆攻击者收集的目标信息，提高捕获攻击者的概率。

蜜罐培养策略

内网威胁猎杀链

攻击者突破边界，进入内网后，将会有提权、横向移动等进一步操作，内网威胁需怎样捕获？

在攻防演练场景中，全流量分析、蜜罐和主机安全产品在常见攻击路径的关键节点上均能发挥重要作用，若三者能够联动打，可以实现“蜜-网-端”全面监测。

“蜜-网-端”全面监测体系

自动化运营，以一敌百

自动化体系的搭建，通过将安全设备、日志管理设备等的日志进行汇总分析，并根据业务场景进行分析建模并对行为进行打分，联动防火墙/CDN等边界设备对问题IP进行秒级自动封禁，减轻人工分析成本，将有限的人员的注意力转移到更需要关注处理的事件中并降低响应时间。

高效事件处置工作流

攻击面收敛与网络隔离

通过网络架构评估，明确整体网络安全域划分，梳理域间/域内访问控制关系，评估攻击面及入侵防护情况，最终实现网络隔离及攻击面收敛，则是对抗攻击的有效方式。

无惧VPN0Day，零信任安全

面对攻击队的VPN0Day攻击，我红军真的束手无策吗，答案当然是NO。

零信任是解决这一问题的绝佳方案。基于零信任思路，我们找到一种只需轻量部署，就可以解决VPN0Day攻击的方法——SDP(软件定义边界)。

SDP在网络级别体现了零信任的原则，它以泛身份为中心，以应用为边界，通过网关和应用的双重隐身，有效保证内部应用的安全的访问，缩小暴露面，拆解了VPN所带来的易被攻陷等一系列问题。

边界安全：SDP网关在互联网上隐身，常用的嗅探、扫描、DDoS攻击对SDP网关无效
链路安全：从客户端到网关建立端到端的加密通道
登录安全：以密码、动态口令、扫码等多因子交叉认证
应用安全：按需为用户建立应用访问的最小通道，每次建立通道动态鉴权，访问结束自动删除通道，缩小内网资源的暴露面

扩大安全边界的覆盖范围

边界防护是重中之重！总结多年的大型攻防演练攻防经验，我们发现对边界防护的绕过仍大比例存在，同时发现很多防守单位往往只将边界划分在企业网络出入口的范围，向内对通信协议的不同层级没有对应的防护手段，向外对第三方、分子公司没有有效的管控措施，将所有的问题总结如下：

因此，在攻防演练场景下，建议将边界的防护范围扩大，从以下方向逐一优化，筑牢边界防御体系。

实现方式：

边界扩展要点

边界防御体系

主机黄金甲，捍卫最后一道防线

攻防演练实战对抗中，攻击队有很多突破边界防线的奇技淫巧，此时需要主机安产品实现主机层的威胁预防、检测、响应、溯源的自动化安全运营闭环。

以主机安全防护内容对应MITRE ATT&CK威胁检测模型，可实时识别、分析、预警主机安全威胁。

利用情报提升威胁感知能力

在攻防演练场景，威胁情报可以作用于防护的多个环节。威胁情报的作用多在于与所有防护产品融合带来的能力加成，它与检测阻断类产品如防火墙、IPS、WAF等联动可以提升检测准确率，与蜜罐类产品联动可有效助益对攻击者的溯源与反制，威胁情报的价值在于样本量及准确性，从更高维度的视角打通不同安全产品、不同防护阶段、不同防护位置信息交换的壁垒，掌握单点攻击全网可知的防守主动权。

安全意识提升组合拳

社工、钓鱼、弱口令、随意连WiFi、随意插U盘带来的安全问题，都是可以通过提升安全意识规避的，企业若能打出一套漂亮的安全意识提升组合拳，定可以大大减少因此带来的安全风险。

红与蓝的刀剑交错，

是高筑网络安全壁垒的积淀之战，

在这场战役中的红蓝英雄们，

用知识与智慧之光，

点亮网络安全建设奋力前进的灯塔。