实战攻防演练是检阅政企机构安全防护和应急处置能力的有效手段之一。每年举行的国家级实战攻防演练，聚集了国内多支顶尖攻击团队，在攻击手段和强度上远远超过日常安全检查，防守方都面临着非常严峻的考验。

　　今年网络攻防演练专项行动在即，相信不少的企业和机构早已开始了准备。那么，如何高效应对网络安全实战攻防演练?与之前相比，今年的网络攻防演练又会出现哪些新特点呢?

　　一、从合规到实战，攻防演练呈现五大趋势

　　由于目前网络空间态势复杂，如何在攻防对抗环境中具备实战能力，已成为所有行业和政企机构网络安全建设的重要目标。

　　瑞数信息首席安全顾问周浩表示，从2016-2020年的攻防演练实践看，无论从演练规模还是攻击技术上看，都在不断升级演进升级。

　　例如：2016年，攻击方法以传统应用系统攻击为主，攻击手段相对单一;但到了2020年，攻击范围进一步扩大，自动化攻击、武器化攻击越来越多，大批量0day在演练中使用，并且攻击范围也扩展到了安全设备自身，各种高级实战的攻击手段也有所使用。

　　从去年攻防演练的实战情况，可以看到攻防演练已呈现五大攻击趋势：

　　 攻击手法一：自动化攻击、武器化攻击越加明显

　　在攻防演练中，红队会对开源工具、泄漏工具、定制工具等进行整合，构建自己的武器库。通过武器库可快速高效的对各类0day、Nday漏洞进行探测利用，在攻击过程中还可对特征识别、IP封锁等防护措施进行突破。

　　除了漏洞探测利用工具外，红队还会利用动态加密Webshell来穿透WAF防护，进行权限维持和跳板搭建，如哥斯拉、冰蝎等Webshell采用动态加密方式，通信过程无稳定可识别的特征，碾压市面上所有基于特征匹配的传统WAF。对于蓝队基于规则的防护而言，实则是一种降维打击。

　　 攻击手法二：人员和管理漏洞探测

　　除了攻击应用漏洞之外，红队还会探测蓝队在人员和管理上的漏洞，如：弱口令、网络遗漏备份文件等，尤其是VPN、邮箱、管理平台等系统，已经成为重点攻击对象。

　　 攻击手法三：多源低频攻击

　　攻防演练中，封IP是 主要的防护手段之一。实战过程中，红队会通过分布在全国各地的IP代理发起攻击，这些IP地址可能来自机房，也可能来自家庭宽带、手机基站等。贸然对这些IP进行封堵，可能会造成业务不可用，甚至达到防火墙IP黑名单的数量上限。

　　 攻击手法四：社工钓鱼

　　社工钓鱼在实战中的应用越来越广泛。红队会从人的角度下手，给相应的员工、外包人员发钓鱼邮件，搭建钓鱼用的WIFI热点，甚至雇人混入蓝队，插U盘、中木马等等。

　　 攻击手法五：0day攻击成为常态

　　在攻防演练中，0day攻击已成为常态，由于0day漏洞能够穿透现有基于规则的防护技术，被视为红队 为有效的手段之一。2020年攻防演练中，出现了上百个0day漏洞，这些漏洞中大部分和暴露在互联网上的Web应用相关，直接威胁到核心系统的安全。

　　总体而言，在实战化、高级化、常态化的攻击趋势下，攻防演练的力度将空前加大。鉴于今年建党100周年等重大活动众多，境外恶势力攻击将更加激烈，各类重保活动的时间也会持续拉长。

　　二、从人防到技防，瑞数信息“三板斧”构建实战能力

　　攻易守难，安全工作者在攻防演练中往往要承受巨大的压力。由于蓝队处于被动，当发现攻击事件、溯源攻击时，整体已经处于滞后状态，所以在攻防演练中，蓝队需要投入大量精力做防守，甚至是7*24小时的人工值守，处于非常态化的安全运营中。

　　那么，是否能够通过一些技术手段来降低蓝队安全人员的工作量，并达到很好的防护效果呢?瑞数信息首席安全顾问周浩认为，要做到从“人防”到“技防”，可以从攻击的三个阶段入手：

　　 一阶段：自动化攻击、信息收集

　　在攻击前期，红队的重点在于以自动化攻击、信息收集为主，如：资产探测、已知漏洞探测;利用工具发起批量攻击;弱口令嗅探、路径遍历、批量POC等。

　　 二阶段：手工攻击、多源低频、重点突破

　　信息收集后，红队会转向重点系统攻击，通过人工分析漏洞，发起定向打击，同时对现有安全措施进行突破。

　　 三阶段：横向移动、核心渗透

　　在红队获得一定权限后，会对权限进行提升，并搭建代理跳板，横向移动，对核心系统靶标进行渗透。拿下靶标时，意味着红队的胜利。