网络安全攻防演练暴露问题与实例 .pdf

网络安全攻防演练暴露问题与实例

如今，攻防演练已成为各企业、各单位从主动防御视角履行网络

安全义务的重要手段。攻防演练不但能有效检验工作人员的安全意识

和防护技能，而且可以通过模拟的方式检查既有的应急预案和应急处

置措施是否有效、妥当，锻炼企业在突发安全事件下确保业务连续性

的工作方法。网研基地深耕网络安全攻防技术，在上海市电信和互联

网行业“石行动”、广东省数字政府“粤盾杯”等全国多个省市级

大型网络安全攻防演练活动中担任裁判方，并具备协助金融、能源等

多个国家重点行业的企业开展内部专项演练行动的丰富经验。

一、攻防演练暴露问题现状

各企业、单位应重点关注演练中暴露出的下列问题：

1互.联网边界问题

1）防护措施不全面

各企业互联网系统主站防护措施普遍落实较好，但对于主站内关

联的子网站或子系统的防护措施可能并不到位。演练中攻击队常发现

大量存在于子网站或子系统和网站管理平台的安全漏洞。这可能是由

于管理人员抱有侥幸心理，认为访问量低或者在主站下的子网站子系

统即便存在问题也不会有太大影响。但在网络安全实战对抗中，外部

入侵者可直接利用子网站或子系统的漏洞达到篡改主网站的效果，或

通过利用子网站、子系统的漏洞进一步进入到内网中，通过内网漫游

控制公司所有系统。

2）安全防范意识淡薄

在演练中发现，外部攻击方可以利用邮件钓鱼、网络聊天等方式

轻易骗取防守方员工的信任，从而获取攻击入口、内网结构、敏感账

号等信息。企业员工的安全意识有待加强。

3）未定期进行安全评估

防守方企业的日常管理、维护工作可能存在缺失，导致外部入侵

者采用的弱口令攻击屡试不爽。曾有演练发现某公司网站有遗留的历

史攻击痕迹，利用遗留漏洞可直接获得服务器管理员权限进而控制该

服务器。各企业应定期开展安全评估工作，及时发现历史遗留木马脚

本，对服务器进行安全加固。

2.内部网络环境问题

1）资产不清，管理混乱

在开展网络攻击的前期，攻击者通常会对防守单位进行信息收集,

并发现各单位暴露在外网的内网系统，如0A系统、API接口系统、

邮件系统、业务内网系统等本不应该直接对互联网开放的系统。应特

别注意，部分企业因其业务较多，内部没有统一信息安全管理体系和

机构。每当公司内部部门有系统建设需要时，会自行找网站外包方开

发系统再发布在互联网上。这导致公司信息化资产无法被全面了解和

掌握，也无法对此类系统落实网络安全防护要求，从而令外部入侵者

有迹可循。

2）网络安全重要性认识不足

部分企业对网络安全的重要性和必要性认识不足，导致安全防护

和建设水平较低。演练中曾有攻击队伍在突破互联网边界后，发现某

公司内部网络环境中的服务器、网络设备、数据库均存在弱口令，譬

如内部视频监控系统，视频会议系统等。且部分被突破互联网边界的

公司在外网系统防护上也没有做到位，基本没有任何网络安全防护措

施。

3）系统存在漏洞

外部攻击者利用已经公开的漏洞开展网络攻击。在攻防演练中，

攻击队利用己知漏洞实施的攻击手段也常常卓有成效，防守单位应当

排查自身对于相关应用、平台的网络安全技术防护是否存在管理不足。

二、攻防演练实例

在网络安全攻防演练中，攻击队采用各式各样的攻击技战法，模

拟现实中的网络安全对抗行动。参与演练的防御单位应当对此进行针

对性防御，利用演练检验自身网络安全能力，并及时处置演练中暴露

的漏洞和问题。

1.工钓鱼技战法

技术背景：钓鱼攻击通常具备一定的隐蔽性和欺骗性，不具备网

络技术能力的人难以分辨内容真伪，而针对特定目标及群体精心构造

的鱼叉钓鱼攻击则可令具备一定网络技术能力的人防不胜防，可谓之

外网突破渗透利器。

分析点评：攻击队通过电话钓鱼、邮件钓鱼、招聘软件钓鱼、脉

脉钓鱼等社工钓鱼手法获取目标公司人员信任，进而使受害者运行攻

击队提供的恶意木马，或向攻击队提供业务程序的软件包或关键配置

文件。若业务人员、人力资源人员、客户人员的安全意识薄弱，缺乏

安全相关全员培训，就可能导致重要敏感信息泄露或业务终端被攻击

队远程控制，进而能够对内网核心资产开展进一步信息收集和内网渗

透。

2.APP静态分析技战法

技术背景：在服