网络对抗 云上安全 数据安全 攻击欺骗系统 蜜罐 蜜网 漏洞扫描 0day攻击 DDOS攻击

护网行动的由来

网络安全态势严峻

当前，随着大数据、物联网、云计算的快速发展，愈演愈烈的网络攻击已经成为国家安全的新挑战，国家关键信息基础设施可能时刻受到来自网络攻击的威胁。网络安全的态势之严峻，迫切需要我们在网络安全领域具备能打硬仗的能力，“护网行动”应运而生。

国家政策导向

2016年4月，习近平总书记在网络安全和信息化工作座谈会上发表重要讲话，习近平总书记指出，“网络安全的本质是对抗，对抗的本质是攻防两端能力的较量”。

（赛宁网安“新基建”护网整体解决方案）

2016年，公安部会同民航局、国家电网组织开展了 “护网2016”网络安全攻防演习活动。

同年，《网络安全法》颁布，出台网络安全演练相关规定：关键信息基础设施的运营者应“制定网络安全事件应急预案，并定期进行演练”。自此“护网行动”成为惯例

护网行动的发展

2016 - 2019

2016年护网，基本上业务系统有网络应急响应预案，定期做演练就好，对攻击者没有过多的要求。同时，演练的基础设施基本上是内网系统，对业务系统对外访问有严格的限制，通过网闸，外网业务系统演习期间拔网线等骚操作，基本搞定，也体现不出来的攻击者的价值。

2017年护网，政府部门开始参与进来，那么对外访问的政府网站成为了本阶段攻击的重点，比上2016年不同的地方是，这次网站是不能关闭的，当然也存在被攻击时拔网线的情况，但是攻击方确实能发现很多web漏洞拿下网站，当然，政府网站的建设和第三方开发公司本身做的就很烂。这期间也涌现出了一大批护网专用安全产品和解决方案，例如：关键基础设施监控平台（实时监控全国政务网站），政务网站向政务云（xstack承载）迁移，专业的安全交给专业的团队去做，政务云渗透测试项目也多了起来。

2018年护网，参与的单位新增企事业单位，这个阶段才出现了真正有价值的攻击团队，因为大家都是背靠背的方式，事先不会通知，不知道攻击目标，也不会明确攻击手段。而且在网上招募民间黑客组织，一天一万块的诱人奖金，导致很多政府与企事业单位的网站、业务系统沦陷。防守方虽然没什么长进，但是这阶段，安全纵深防御体系的建设项目多了起来，包括：抗D（抗DDOS攻击）、WAF、漏洞扫描、渗透测试、主机安全、态势感知、数据库审计、堡垒机。

2019年护网，参与单位进一步增加，涉及到政务、能源、金融、电信、广电、交通、民航、公共事业，这期间攻击方把精力都放到社会工程学，新型免杀木马、0day使用等攻击手段，因为2018年使用的线上攻击手段也被有纵深防御安全体系拦截，获取权限的攻击成本过高，所以，攻击方事先做了充分的0day挖掘的准备，例如：当时出现的深信服SSLVPN 0day，同时，通过万能钥匙入侵wifi网络，通过钓鱼邮件、IM发送免杀木马等社工入侵方法也运用的相当熟练。

2020

2020年护网，主要是承载的基础设施的变化，大部分系统已经上公有云，物联网平台。

但无论如何发展，安全对抗能力的提升是永恒的主题，那么如何构建云上的安全防护体系和提升安全对抗能力呢？

建立云上安全防御能力

(1) 安全风险评估

• 网站威胁扫描：首先需要有一套网站威胁扫描产品做日常风险自动化扫描，发现问题及时解决，主要包含中高危OWASPTop10相关的漏洞，常规组件漏洞，弱口令检测等基础安全问题。
• 渗透测试：其次需要定期做渗透测试，对于那些WAF无法有效拦截的漏洞，需要通过SDL配合解决。
• 红队模拟攻击：再次在高危场景（护网行动、商业活动重保等）中需要加强红队模拟攻击服务，ATT&CK覆盖率检测。

(2) 基础安全能力

针对服务器区，需要安装主机安全EDR产品、态势感知、蜜罐等产品，帮助用户发现服务器上的安全问题，详细的包括：主机基线（包括：linux/win最佳实践、等保3/4级、CIS Level 1/2）、云产品基线（安全组、ACL配置等…）、主机漏洞（需要覆盖：linux上的CVE漏洞，windows WSUS上的kb漏洞），联动威胁情报的网络数据异常检测，联动NIDS检测规则的网络数据异常检测，数据外泄AI检测，主机EDR对外Socket连接威胁情报过滤（挖矿、勒索、DDoS木马等）、主机安全常规检测（病毒木马、webshell检测、rootkit、可疑操作、异常登录、账号风险、暴力破解等），通过蜜罐系统，发现横向攻击。

针对办公网，需要制定社会工程学管理规范，针对U盘、恶意邮件、IM同学软件、WIFI接入、新员工入职等要有明确的标准化操作手册，同时在办公网PC上安装上杀毒软件，防范曲线入侵服务器区的APT攻击。

(3) Web安全能力建设

WAF是web安全防御的第一道关卡，但是在我们安全实践过程当中，发现很多用户即使使用了WAF也会出现中病毒木马的情况，所以，在web安全防御能力建设方面需要有更有效的产品去支撑，例如：应用API接口监控，很多时候，你的系统被入侵，都是源于临时上线的测试系统，预发系统，这些系统虽然只是短时间上线，但是却给你的整个业务系统带来重大风险，所以需要有一套系统来监控新上线的OpenAPI，对它的请求调用详情，响应详情做综合的过滤。攻击方一般都通过这些系统人工渗透。当然你的业务系统对调用API需要异常监控，也可以使用业务风控防御。

(4) 运维安全能力建设

平时安全运维过程当中，我们会登陆堡垒机或者VPN，在护网期间，这些系统是最容易遭受攻击，防止VPN被盗取，可以开双因素认证，堡垒机日志需要接入到态势感知综合日志分析平台，需要检测到恶意命令，数据库和OSS对象存储的访问也需要接入分析系统。

建立护网监控分析能力

（1）需要有安全运营团队支持，并且需要三个等级，

• Tier1：告警分析师，在本地驻场，有告警事件产品需要及时分析，关闭误报并进行基本的调查和缓解措施，对安全警报进行分类，创建案例并将警报升级到第2级别。
• Tier2：事件响应专家，Online共享模式，针对定向攻击事件做深入的分析，并且输出分析报告，给出关键系统受影响的范围、补救措施和修复建议，对安全警报进行分类，创建案例并将警报升级到第3级别。
• Tier3：威胁狩猎专家，Online共享模式，通过网络层、主机层入侵遗留恶意软件样本深度分析，并且输出分析报告，根据入侵结论与用户反馈启动攻击溯源，并且输出报告。

（2）构建安全运营平台，需要使用全量日志分析系统，保证ATT&CK覆盖率，自动化攻击溯源系统，通过图分析技术提高安全分析效率，通过SOAR归纳总结，相关安全事件和场景提升安全分析效率。同时，使用安全大屏实时监控。建立完善的工单系统，安全质量周报以及安全处置大屏。

（3）护网情报共享，输入第三方护网情报、自己的护网客户发现的问题，及时共享，联动处置。

攻击欺骗技术的应用

我们以攻击欺骗技术为例，分析一个护网行动中被广泛应用的技术。

根据历年来的护网最终披露的结果，绝大部分靶标都被攻陷，但是入侵路径和内参报告，绝大部分人是看不到的。对于这种环境，防守方更想提升自身防御体系的溯源能力，从开始的拔网线、关闭关键网络服务、利用各种安全设备快速封禁恶意IP，到部署简单的攻击欺骗系统（蜜罐、蜜网），经过这两年的实战业务场景打磨，为了更有效的防御，防守方采用了中高交互蜜罐的方式进行诱捕和攻击引流。具备详细的入侵告警日志、可溯源攻击者身份、具备反制能力的攻击欺骗系统是我们理想的护网利器。

攻击欺骗系统演进历史

早在2014年，Gartner自适应安全架构进化中就提到了此类技术：防御矩阵中包含了诱导攻击者。

该领域功能可使企业在黑客攻防中获得时间上的非对称优势，通过多种技术使攻击者难以定位真正的系统核心以及可利用漏洞，以及隐藏或混淆系统接口和信息（如创建虚假系统、漏洞和信息）。

例如，被 Juniper 网络收购的 Mykonos 科技可以创建一个无漏洞的应用层镜像，随后提供一个活跃目标的蜜罐。Unisys Stealth 可以将网络系统隐藏，而 CSG’s invotas 解决方案整合了丰富多样的偏离技术。虽然隐藏式安全并不能根本性解决问题，这种方式也视作一种可分层的、深层防御策略。

Mykonos Web能够阻止他们破坏关键信息，通过虚假漏洞耗费攻击者时间，并提供有价值情报阻挡潜在攻击。

下图为发展时间线。

2016年是国外攻击欺骗产品的元年，自适应安全架构的理念，从积极防御已经转变成，把黑客放进来，让你留下入侵的痕迹，溯源你，反制你，这样更有效果。

• 以传统安全大厂为代表的麦咖啡的IPS、HP IPS设备、Juniper IPS设备都积极的寻求相对应的攻击欺骗技术产品，要么整合要么自研。这期间，DNS天坑技术被各大IPS厂商玩的如火纯青。这是第一条技术路线。但是后来传统安全大厂发现附加值并不是很大，而且误报率高（当时，威胁情报还没有形成气候），而且没有革命性的技术选型。最终都放弃整合，Juniper这8000万美金花的冤呀。
• WAF+蜜罐的技术路线没有经过用户打磨，相对来说技术不成熟。
• 真正革命性的产品是 以Attivo Networks 为代表的独立沙箱+蜜罐的选型，应该是最早使用openstack技术应用到安全产品上，它可模拟中等交互蜜罐：RDP、SSH、FTP等服务、融合kill chain技术，提供蜜罐覆盖率、服务蜜罐管理、malware payload分析、virustotal 威胁情报对接。

2018年是国内攻击欺骗产品的元年，国内涌现出一批攻击欺骗厂商，针对于内网蜜罐系统，最具代表性有默安科技的幻阵系统；针对公网最具代表性的产品360netlab团队的Anglerfish。可以捕捉0day。这期间的蜜罐、密网技术更成熟，包括可模拟Windows、Linux等操作系统，同时添加了设备指纹功能帮助溯源。也有一些新兴的云厂商开始尝试在公有云上使用原生容器部署蜜罐系统。用户使用反馈也不错。

2020年是攻击欺骗产品在护网行动中深度实践的一年，这期间的蜜罐系统有了质的飞跃，开始使用容器平台（k8s）部署了，也可以通过多云容器管理平台部署到世界上的任何一个角落。为了更好的隔离也使用了原生Pod等容器技术。

护网行动中的技术挑战

• 许多企业，特别是国有企业、数字政府，在护网建设方面投入的大量的资金，但是实战化的防御支撑能力明显不足。普遍是重边界、轻内网防御，造成了一旦边界被破，内网整体垮掉的风险。
• 面对0day攻击无法有效发现，理论上说0day攻击是无法防御的，目前大部分企业通过设备自带的威胁情报检测。对现有的恶意域名库、恶意IP库等，因为攻击方使用的都是新的域名和IP，这也是黑名单做安全的尴尬。
• 针对攻击溯源，2020年的护网行动大部分用户都部署了内网蜜罐系统，但是绝大部分是内网低交互蜜罐，只是内部发现扫描行为，而且大部分都是设备探活误报，根本没有达到攻击欺骗的效果。

参考

[1] https://www.secpulse.com/archives/133579.html

[2] https://www.4hou.com/posts/j5gB

[3] http://www.hnains.net.cn/guanyuxiehui/xiehuidongtai/20200710939.html

[4] https://www.freebuf.com/articles/web/237828.html