CDEC2020 搜索 导航菜单

探微|你不知道的攻防演练

[摘要]“一座城,一个靶场,一场关乎你我的大数据安全战役”。接下来,贵阳将按照大数据安全产业“1+1+3+N”的总体思路,打造一个大数据安全示范性城市,建设一个大数据安全靶场,建成大数据安全技术创新中心、大数据安全监管中心,大数据安全应用示范中心等三个中心,创建N个创新、监管应用平台,加快完成贵阳大数据安全产业的顶层设计与生态部署。

网络攻防就是发生在网络空间的战争。攻防演练就是为了打赢网络战而做的实战练兵。“养兵千日,用兵一时”,网络靶场就是提供攻防演练的场所。用专业术语来解释,网络靶场就是针对网络攻防演练和网络新技术评测的基础设施和平台。

去年的12月末,贵阳举行了2016大数据与网络安全攻防演练,来自32家网络安全企业的技术人员“刀兵相见”。事后,组委会总评组组长、国家创新与发展战略研究会副会长郝叶力给予了高度评价:“这次贵阳的网络攻防演练,是一次自上而下的安全推进,真抓实干的安全摸底,难能可贵的安全创新,问题驱动的安全亮点,是一次历史性的突破,具有里程碑的意义。”为此,中国软件网记者专程采访了当时的现场总指挥、前华为企业网络首席安全架构师钱晓斌。

贵阳的“大数据安全梦”

贵阳这个地方着实创造了中国大数据的奇迹,因为在很多人看来,贵阳凭借着大数据产业,几乎一夜之间就独领风骚,“数博会”、“数据铁笼”等等都成为了贵阳的“名片”。当大数据事业蒸蒸日上的时候,网络安全逐渐成为贵阳心中的痛。钱晓斌解释道:“大数据发展初期安全需求较弱,但是随着数据的汇聚,数据价值的凸显,安全逐渐成为大数据产业的刚性需求,直至二者互相融合、不可分割。”

然而,与北上广深这些ICT产业高地相比,贵阳网络安全基础薄弱,缺少业界领先的网络安全企业,缺少高端网络安全人才。贵阳迫切需要改变目前的网络安全现状,毕竟在这个“没有网络安全就没有国家安全”的时代,“裸奔”实在危险。

为了改变现状,贵阳市政府开始着手准备用真网实战攻防演练这个杠杆,去撬动安全产业。具体来说,贵阳市政府希望通过常态化的安全演练活动带来以下几个转变:第一,强化组织和公众的安全意识,逐渐形成安全共识,从而让安全成为刚性的安全需求;第二,攻防演练突破传统的封闭仿真靶场模式,探索半开放实战靶场的发展之路;第三,使贵阳大数据产业拥有强大的安全属性,并逐渐发展形成大数据安全产业格局;第四,借攻防演练与网络靶场引入安全资源和安全能力,并发展到资源与能力能够输出的阶段。当然,这4个变化带来的是撬动贵阳市的网络安全市场、人才以及产业的杠杆,最终将贵阳打造成国家级的攻防演练与网络靶场高地、网络安全人才与大数据安全产业高地。

攻防演练之前的风险把控

此次演练的推进过程让我们感受到了“贵阳速度”。

早在2016年3月,贵阳市政府就已经开始筹划此事,准备锐意创新、先行先试。经过初步准备,活动真正进入执行阶段后,组委会面临很多实际问题。用钱晓斌的话来说:“由于2016贵阳大数据与网络安全攻防演练的组织层次高,规模宏大,任务丰富,形式与内容均要求务实创新,真网实战的同时,要确保全程安全可控。这与我以前组织过的多次网络安全攻防竞赛存在极大的差别。”方案细节的推敲、演练规则的制定、演练平台的构建、攻防团队的邀请、安全保障措施的落实、与贵阳大数据产业结合点的把握,这些都是需要逐一解决的问题。其中最重要的,也是非常棘手的挑战则是来源于活动本身的创新性:这是中国第一次在大城市真实环境下的攻防演练,属于半开放性质,不同于以往封闭仿真环境下的安全竞赛;并且演练任务包含了10000网站安全扫描、100系统重点攻击、7大热点场景演示(电梯物联网、无人机、工控系统、车控系统、城市广告大屏、智能终端与网银、城市WiFi等)三方面任务。如何做好风险把控成为此次攻防演练的最大难题。风险可能来自于许多方面,比如攻击团队是否会无意间窃取或者泄露目标数据;攻击会不会影响到目标的正常业务运行;来自于外部的黑客组织是否会“浑水摸鱼”……

古人云,“纸上得来终觉浅,绝知此事要躬行。”为了确保万无一失,组委会决定正式攻防演练开始之前,用几天时间,组织国内几支顶尖安全团队,针对政府门户网站等十多个目标展开了一次小范围预热。这次准备活动进行得非常顺利,找到了目标的安全问题所在,并且初步摸索出了控制风险的关键措施。这次预热活动结束后,组委会将正式演练时间初定在11月底。

在紧锣密鼓地准备参演目标与任务的过程中,演练前夕,演练组委会在北京组织了高规格的专家论证会,邀请了公安部网络安全保卫局总工程师郭启全、中国工程院沈昌祥与方滨兴院士等国内众多知名安全专家。专家们讨论了方案细节,重点审视了各项安全保障措施,以确保演练“安全可控”,对演练环境与攻击手法做了明确规定:对“攻击行为”作严格的管控与审计,攻击团队在固定的场地中,使用固定的IP,按照规定的流程,使用限定的攻击手法,仅针对授权目标作风险可控的攻击检测,不允许使用DDoS、拖库、上传恶意代码等不符合“安全可控”原则的攻击测试方式;同时由指挥中心对攻防团队的所有行为进行监管,攻防团队“背靠背”,由指挥中心控制信息的传递;设于市公安部门的应急专班与指挥中心协同,对整个攻防过程进行审计和应急响应。这样一来,正式演练的时间又被推后了接近一个月的时间,但方案更加完善了,专家们的鼓励与指导更加坚定了组委会的信心。

演练期间趣事不断

正式的演练终于开始了。此次演练的规模是空前的,目标覆盖贵州省网络空间,攻防团队共计32支(其中攻击团队20支,防守团队12支)参演,技术平台支撑厂商10余家,包括知道创宇、永信至诚、四叶草、无声信息、安赛创想、亚信安全、匡恩网络等众多安全企业也都参与其中。

攻防演练的第一步就是确定目标。在拿到贵州的IP段后,项目组利用网络雷达对超过70万个IP进行扫描分类,确定了44万个有效IP,其中包括各类网站、在线信息系统、网络摄像头、路由器等等互联网节点。随后,项目组从中挑选了大约10000个目标并做常规扫描,以评估贵州地区总体网络安全状况。最后,项目组再从中挑选出约100个较具代表性的目标,并从这些目标网页上下载13个APP,一起作为此次攻防演练的重点对象。至此,攻防演练的前目标选定工作告一段落。

正式的攻防演练从12月23日开始,一直持续到28日(其中最后一天是观摩总结会)。演练第一天,就出了一些状况,分配给某些团队的检测目标访问异常。经过调查,发现某些单位关闭了目标系统、数据库或者某些关键功能,导致攻防团队无法对目标进行正常连接,当然也就难以进一步检测其存在的网络安全隐患,这些做法着实让组委会措手不及,不得不找上级部门出面协调。总结会上陈刚书记特别针对该情况敲响了警钟:以后谁在演练期间“拔插头”,我就拔谁的“插头”。

在此期间,攻防团队经历了很多富有特点的场景与过程。如在“7大场景”中电梯物联网的攻击过程中,攻击团队攻入了某电梯物联网的控制系统并监控了该电梯,发现了某单位的机要人员携带文件乘坐电梯,攻击团队随即进行监控跟踪,并通过走廊摄像头捕捉到了其进入办公室的画面。随后,攻击团队对该机要人员所在单位的内网网段进行扫描,完成了从电梯物联网平台渗透企业办公网的纵深攻击。再如针对某云的攻击过程,云平台上运行着众多应用,有些应用系统失陷后,可进一步进入虚拟机,从虚拟机上扫描整个虚拟网段,进一步寻找攻击目标。某攻击团队发现从贵阳某系统突然跳到了北方某政务云。为什么会出现这样的现象呢?钱晓斌解释道:“据分析,这两个系统都位于同一云厂商的基础设施上,云平台之间的逻辑边界与物理边界并不清晰,导致攻击方就很容易从一个地区跳到另一个地区。”

当然,为期五天的攻防演练还有许许多多的趣事,这里就不全部列举了。

演练后的畅想

本次攻防演练是对贵阳网络安全状况、我国网络安全技术实力、各部门之间的网络安全能力协同的一次综合实战练兵,对于贵阳乃至贵州网络安全产业发展,改善网络安全环境,具有非常大的参考价值。在12月28日的汇报环节上,陈刚书记说了一句非常经典的话:我很庆幸我穿着衣服站在这里没有裸奔。从攻防演练的结果来看,在扫描的10000个网站中,除大量无效网址外,23%的网站存在不同程度的安全隐患;在100个重点演练的目标网站中,除21个不能正常外,54个系统被攻陷,攻方或拿到了系统最高的管理权限,或进入数据库读取了大量的数据;超过69个子网、1750台内网主机被控制。其中,攻破时间最长耗时30个小时,最短时间仅为10分钟。

据悉,此次攻防演练只是一个开端,后续将形成持续常态化的安全活动。未来,攻防演练的形式、内容还会更加扩大、深化、多样化,同时不断加强针对性,尤其是大数据、云平台、工控网络等场景,以及APT等更高级的攻防思想实践等;再比如未来的攻防也许分多个阶段,第一阶段在目标毫不知情的情况下展开,不断增强演练的真实性与挑战性。

“一座城,一个靶场,一场关乎你我的大数据安全战役”。接下来,贵阳将按照大数据安全产业“1+1+3+N”的总体思路,打造一个大数据安全示范性城市,建设一个大数据安全靶场,建成大数据安全技术创新中心、大数据安全监管中心,大数据安全应用示范中心等三个中心,创建N个创新、监管应用平台,加快完成贵阳大数据安全产业的顶层设计与生态部署。




版权声明:

凡本网注明”来源:中国软件网(http://www.soft6.com)”的所有作品,版权均属于中国软件网或昆仑海比(北京)信息技术有限公司,未经本网书面授权,不得转载、摘编或以其它方式使用上述作品。

任何行业、传播媒体转载、摘编中国软件网(http://www.soft6.com)刊登、发布的产品信息及新闻文章,必须按有关规定向本网站载明的相应著作权人支付报酬并在其网站上注明真实作者和真实出处,且转载、摘编不得超过本网站刊登、转载该信息的范围;未经本网站的明确书面许可,任何人不得复制或在非本网站所属的服务器上做镜像。

本网书面授权使用作品的,应在授权范围内使用,并按双方协议注明作品来源。违反上述声明者,昆仑海比(北京)信息技术有限公司将追究其相关法律责任。
微信公众号 微信公众号