自首屆網絡安全攻防實戰演練開展以來,這一活動已成為網絡安全領域備受關注的大事件。今年,攻防實戰演練更上升到了一個全新高度,包括行動任務數量、演練周期時長、攻擊強度以及演練類別等,較以往都有極大提升,堪稱“史上最難攻防季”。
今年的攻防演練著眼于全球網絡空間戰略博弈的升級和攻防對抗的持續加劇。一方面,網絡攻擊強度烈度不斷升級。網絡攻擊手段不斷升級、強度持續提升、規模不斷擴大,網絡攻擊主體更加多元,涉及個人、企業、社會組織甚至國家。另一方面,網絡安全形勢發生深刻變化。隨著人工智能、物聯網、大數據等技術不斷創新和相互滲透,網絡空間與物理空間高度融合,二者關聯愈發密切、邊界趨于模糊,網絡安全風險從單點向全局蔓延。
網絡攻擊手段進化升級
在網絡安全升級為數字安全的時代背景下,實戰攻防對抗是檢驗安全能力的最終標準。由于目前網絡空間態勢復雜,如何在攻防對抗環境中具備實戰能力,已成為所有行業和政企機構網絡安全建設的重要目標。
瑞數信息安全響應中心研究員陸攀介紹,從2016年至2023年的攻防演練實踐看,無論從演練規模還是攻擊技術上看,都在不斷演進升級。“攻防演習”逐步由試點走向全局,執行力度逐年增強,呈現出攻擊力度強、攻擊點范圍廣、防護難度大的特點。
比如2016年攻擊方法以傳統應用系統攻擊為主,攻擊手段相對單一;2019年開始出現真正意義上的0day攻擊;2021年0day攻擊常態化,供應鏈攻擊和社工開始展露頭腳,第一次出現沙盤推演;2023年攻防規模達到歷史之最,防守隊和攻擊隊都接近300家,并且0day數量達到300個左右。
隨著網絡安全攻擊技術持續進化,攻擊手法主要呈現出四個趨勢變化:
首先,0day漏洞轉向供應鏈。2023年攻防演練期間暴露出的0day漏洞數量超過200個,有詳情的漏洞超過100個,Web漏洞占比達到90%以上。攻擊方向從之前的業務系統、安全設備,慢慢趨向于軟硬件供應商和辦公系統。
其次,攻擊更加多元化。智能終端、辦公大廳自助機小程序、微信等成為新的突破口,供應鏈和釣魚攻擊成為攻擊新趨勢。隨著正面突破的難度越來越大,供應鏈、開源組件、二級單位攻擊、社工釣魚等方法和花樣層出不窮。比如利用供應鏈的補丁或者升級包進行投毒,欺騙用戶進行升級等,從而控制網絡系統。
第三,工具化更加隱蔽智能。攻擊工具和攻擊方式越來越自動化和智能化,自動化攻擊手段從早期的簡單腳本和工具,到具備JS解析能力的工具,再到腳本驅動的瀏覽器和APP,以及如今的錄屏操作和真人操作,識別和防護難度呈現指數級上升。大量的通用和定制工具用于漏洞掃描、0day探測、撞庫、敏感文件探測等,攻擊范圍進一步擴大。為了提升攻擊效率,攻擊方還精心設計了專門接口,以加快攻擊過程,實現了工具集成化、平臺化,并形成了完整的自動化攻擊鏈。
第四,API接口成為主要攻擊目標。通過惡意請求或其他手段獲取未授權的數據或對系統進行惡意操作,脆弱的API成為了攻擊者進入系統的門戶。攻擊者可以利用API漏洞繞過防火墻、入侵檢測系統等安全防護設備,從而對系統進行深入攻擊。
面對持續加大的網絡攻擊強度,網絡安全工作者疲于奔命、無所適從的感受越來越強烈。網絡對抗一直處于攻易難守的狀態,攻擊只需要突破一個點就可能拿下目標,而防守者卻要面面俱到。在很多情況下,網絡安全往往面臨事后響應、被動挨打的局面,經常都是在被攻擊之后,系統被拖庫或被植入后門才發現攻擊痕跡。尤其是隨著業務系統的不斷擴張,攻擊面也在與日俱增,安全運營成本不斷增高。
從攻擊者視角看安全
在數字化時代,網絡安全團隊不僅要站在防御視角來看待安全,更要從攻擊者視角來監測完整的數字攻擊進程,瑞數信息觀察到了各類網絡攻擊的流程和防護要點。
實網攻擊方面,在起始階段,攻擊者會先在網絡外圍進行探測尋找突破口。突破口大多聚焦在關注度低和防護薄弱系統、存在高危漏洞的系統、第三方產品供應商、運維服務供應商、存在敏感信息泄露的系統等區域,之后通過目標收集、漏洞掃描、路徑探測、賬號破解等方式,逐步深入滲透進網絡之中。在進入網絡中后,攻擊者會采取人工滲透、0day/Nday攻擊、安全措施突破、獲取shell等方式,層層深入到最核心的內網之中,并在內網開啟漫游,通過收集資產、定向控制、權限提升等手段,逐步獲取核心權限,從而掌控整個網絡的主動權。
供應鏈攻擊方面,攻擊者首先會識別使用敏感數據的軟件開發供應商,這里的目標是打開一扇通向更多機會的門。選中目標后,攻擊者會利用公司軟件中未知或未解決的漏洞侵入系統,他們可以利用識別的漏洞,在公司源代碼中添加有缺陷的代碼或插入惡意軟件。一旦供應商被感染,他們便試圖通過橫向移動訪問連接的目標公司的敏感數據。此外,攻擊者還會使用網絡釣魚攻擊欺騙第三方供應商的員工泄露登錄憑據。一旦攻擊者獲得了對目標公司網絡的訪問權,他們就可以使用各種手段竊取或加密目標公司的數據,進而實施勒索攻擊等惡意操作。
此外,站在攻擊者視角,還可以發現網絡安全中存在的一系列挑戰。隨著數字化發展,資產類型和數量越來豐富,網絡安全從業者難以完全掌握所有潛在風險點,攻擊面越來越大,且大多并不清晰。其次,由于供應鏈數量眾多,類型錯綜復雜,導致安全難以做到統一管理,供應鏈風險與日俱增。同時,不同團隊和部門對安全重視程度不一,員工安全意識差異較大。而未知的0day漏洞則很難事先防范,一旦被發現就可能遭受嚴重攻擊,0day防御重要性日益凸顯。
構筑縱深防御體系,化被動為主動
克勞塞維茨在《戰爭論》中曾經對防御作戰有過這樣的描述:“防御作戰這種常見的作戰形式,其往往不是單純的組織靜態的防線,而是由無數次的巧妙打擊和迂回運動組成的反突擊體系。”
對防守方而言,單一的產品是無法實現安全的,構建縱深防御體系、建立全面監控的能力、高效協同等,都是贏得網絡安全戰的先決條件。
基于主動防護理念,瑞數信息改變了傳統網絡安全的“游戲規則”,推出動態安全技術,不再依靠攻擊特征庫、異常特征庫的匹配來進行攻擊識別,而是通過隱藏漏洞、變換自身、驗證真偽等多種方式提高黑客攻擊成本,倒逼黑客放棄攻擊。
在0day漏洞防護方面,瑞數信息從0day漏洞利用工具請求的固有屬性出發,通過動態安全技術,無需依賴規則特征,只要識別到是工具行為,就可以直接對0day攻擊進行阻斷。
在漏掃防護方面,瑞數信息提供漏洞隱藏功能,將所有的高危、中危漏洞、網頁目錄結構做隱藏,并通過敏感信息隱藏、針對掃描器做重放性檢測、動態挑戰等方式來進行防護,讓攻擊方掃描不到任何有價值的信息。
隨著網絡對抗升級,基于規則和特征的傳統安全設備防護效率將越來越低。對于人工攻擊,還可以從干擾攻擊行為的角度出發進行防護。
瑞數動態安全利用動態封裝和動態混淆這兩大創新技術對攻擊者實施動態干擾。靈活運用Web代碼混淆、JS混淆、前端反調試、Cookie混淆、中間人檢測等多種動態干擾功能,采用不基于任何特征、規則的方式進行有效防護,為業務安全和用戶數據筑起了一道堅不可摧的防護墻。
針對愈加頻繁的勒索攻擊,瑞數信息通過數據備份和快速恢復備份數據的數據安全檢測與應急響應系統(DDR)系統,構建起更完整的勒索軟件防護閉環,幫助企業守住數據安全最后一道防線。
在嚴峻的網絡安全形勢下,面對層出不窮的攻擊手段和潛在的安全威脅,網絡安全防護必須實現從“人防”到“技防”的全面躍遷,才能徹底將人員從安全對抗的值守中解放出來。
基于獨特的“動態安全+AI”技術思想,瑞數信息綜合運用自動化攻擊保護、0day防護、多源低頻防護、多維度分層分級對抗等多種安全防護策略和手段,還推出瑞數WAAP超融合平臺,支持WAF、Bots防護、0day攻擊防護、應用DDoS防護、API安全防護等多項安全產品單獨或聯合部署,能夠覆蓋Web、移動App、H5、API及IoT全應用渠道,提供多層級的聯動防御機制,令企業在各類復雜的環境中,都可以輕松實現應用安全一體化防御。
目前,瑞數信息動態安全已廣泛應用在運營商、金融、政府、教育、醫院、企業客戶之中,幫助各類組織機構真正實現網站/APP/小程序/API的安全防護,降低其安全風險和經濟損失。同時,瑞數信息參與了大量網絡安全重保工作,并取得了優異的成績。
借助動態安全與AI技術,瑞數信息建立起全方位的網絡安全縱深防御體系,形成事前、事中、事后安全風險閉環,助力企業消除信息安全體系建設中的“安全孤島”問題。由此,企業在面對復雜多變的網絡和應用環境時,可以真正實現網絡安全從“被動”變“主動”,構筑起網絡安全的“鋼鐵長城”。
(新聞稿 2024-08-01)