网络攻防演练心态调整 | FreeBuf甲方社群直播回顾

网络攻防演练前期的准备工作，除了要做好资产梳理、管控安全接入、安全纵深防护，还要调整好心态，以积极的心态面对攻防演练。

6月30日，金融科技公司安全工程师陈昺润在FreeBuf甲方社群第六场内部直播中担任主讲嘉宾，分享网络攻防演练的心态调整。特邀嘉宾斗象科技安全专家张贵卿也在直播中回答了攻防相关问题。

开展攻防演练前要达成共识

攻防演练是以真实业务目标为对象的实战攻防活动，可以集中、快速地发现和暴露网络安全存在问题，检验安全防护水平以及我们在安全实践中应急处置的工作流程。

陈昺润认为，安全是一个相互协同和相互融合的机制，它包括安全管控和攻防对抗，是一个多元的协同体系。

在开展攻防演练之前，安全与业务方、研发运维之间要达成一种共识。第一点，安全是成本与收益的衡量。安全是一个相对的定义，没有绝对安全的系统，因为没有参照就无法定义哪个系统是安全的。

第二点，安全是一个持续的状态，需要与当下的业务安全需求相匹配。演练防守的过程中，如果想要通过临时的加固完成一些突击、实现一些超出期待的目标，是很难实现的，因为功夫都是在平时。

第三点，安全是一个系统化的工程。平时或者攻防演练期间，无法单纯依靠设备或高级的技术专家全部完成。它需要PPT，人、流程、技术。需要人的经验、自动化的平台工具、有效的管理流程和机制。需要各方协同配合作战，才能形成一个有效的安全防护体系。

陈昺润总结，在攻防演练中，防守方应该检验监测预警能力、应急处置流程是否完善，还应从攻击者角度看待安全现状，找出安全运营覆盖盲点；同时理清攻击线路，设置节点进行封堵拦截。同时，双方要保持平和心态，需知没有攻不破的系统，但攻防演练也不是安全能力的唯一体现。

现实的攻防演练中，攻击方更占优势

陈昺润表示，在现实的攻防演练中，攻防双方并不对等，攻击方可能更占优势。他从时间、点位、资源、信息和角色五个角度总结了不对等之处。

第一，时间不对等。攻击可能随时都发生，而防护需要随时监控，需要消耗更多资源。

第二，点位不对等。攻击只需一个点，而防护需要全面。在战略上来说攻击突破只需要一个点，因为攻击目标是清晰的，而防护是未知的。

第三，资源不对等。攻击可能只需要一个漏洞防护，而防守需要一整套的资源体系。

第四，信息不对等。通常危害最广最有效的攻击，是我们在日常管理或防守中没有掌握的信息差。例如一些边缘系统、管理遗漏的僵尸账号。

第五，角色不对等。攻击总是先于检测和响应发生，防护就是在不断缩短攻击发生与响应处置阶段的时间差。

虽然攻防双方有诸多的不平等之处，但攻防演练本身从技术上来讲，是检验预警处置能力的有效手段。陈昺润表示，攻防人员应当调整好心态，甚至将它视作一次免费的红蓝对抗服务。

他建议，在攻防演练之前，如果企业实力允许，可以通过攻防对抗形成一个常态化风险评估机制，或者引入第三方服务商评测。

陈昺润还总结，每年各级组织的攻防演练有以下几个特点。第一，社工方式成为主要攻击手段。第二，弱口令、0Day、历史重要漏洞还有一些密码本的利用比较突出。第三，针对一些边缘系统、子单位或者供应链的系统打击比较有效。

互动问答

在问答环节，有人提问如何能不出局。陈昺润表示，只能提高监测响应效率和应急处置；或者针对攻击方式重点抓人员意识、弱口令等方面，短时间提高员工的安全警惕性。

启动会上要明确团队内部沟通的工具、文档协作方式；新参与人员要了解基本网络状况、限制，特别是应急溯源人员要对应急流程和操作进行沙盘演练。

在攻防演练过程中，如何保护自己、保护团队、保护公司？陈昺润表示，严格分工、规范操作手册和应急处置流程、严格执行，留存事件记录，意外事件上报决策层决断，充分暴露风险。要符合公司的规章制度、事件分级及处置流程要求。

留存各种网络安全检查、自评估、第三方测评、等保及安全服务、应急演练活动的报告材料，对外展示网络安全责任的透明度，在行政处罚抗辩中提供有力材料。

斗象科技安全专家张贵卿也在该环节解答攻防问题。如何防止被溯源红队溯源？他表示，可以通过VMware 搭建一个自己专属的虚拟系统并设计 “快照”，每一个项目结束后都必须恢复快照。同时，在搭建的系统中不能有任何个人敏感信息。购买vps时尽量选择大厂，预留手机号不能是自己常用的，不能和自己微信、钉钉、支付宝、微博所使用的一致。

如何防范和监测0Day利用？他表示，0Day防范一般主要依靠WAF，0Day检测主要依靠全流量检测和HIDS设备并结合Web站点日志综合分析。非演练时间也会存在于大量的0Day扫描和探测，非演练时间可以设置更严格的安全策略，例如C段封堵。

最后，两位嘉宾还和主持人一起抽取了数位互动观众送出精美礼品。

加入FreeBuf甲方社群

本期直播精彩回顾到此结束啦~此外，FreeBuf会定期开展不同的甲方社群直播，想了解更多话题和观点，快来扫码免费申请加入FreeBuf甲方群吧！

加入即可获得FreeBuf月刊专辑，还有更多精彩内容尽在FreeBuf甲方会员专属社群，小助手周周送福利，社群周周有惊喜，还不赶快行动？

申请流程：扫码申请-后台审核（2-5个工作日）-邮件通知-加入会员俱乐部

如有疑问，也可扫码添加小助手微信哦！

申请流程：扫码申请-后台审核（2-5个工作日）-邮件通知-加入会员俱乐部

如有疑问，也可扫码添加小助手微信哦！

精彩推荐