雖然常態(tài)化演練尚未正式開始,但我們?nèi)匀幌M麑Ω鞣降谋憩F(xiàn)進行一些分析和預測,以輔助我們對市場的判斷和決策。同時,也希望通過這些初步的見解,拋磚引玉,引發(fā)更多有價值的討論和觀點。
“船停在碼頭是最安全的,但那不是造船的目的。”
讓我們做一個極端假設,如果攻防演練只有一天,那么我相信可能90%以上的參演單位會采取應關盡關的策略,非核心業(yè)務一律關停,以最大限度地避免風險。但是,如果演練時間是一個月或兩個月,又會如何呢?變量僅僅是時間,但時間意味著一切。長時間的演練不僅要求更高效的資源管理和防御策略,還需要持續(xù)的監(jiān)控和應對,面對更多不可預見的挑戰(zhàn)。
當我們討論0Day時,我們在討論什么?從2019年開始,紅隊逐漸囤積各種邊界網(wǎng)絡設備的0Day漏洞,目的是在2-3周的短期演練中能夠快速實現(xiàn)網(wǎng)絡隔離的突破。近幾年,這一策略擴展到了Web應用和供應鏈系統(tǒng)的攻擊,目標同樣是盡可能快地實現(xiàn)網(wǎng)絡隔離。北京邊界無限科技有限公司(邊界無限,BoundaryX)創(chuàng)始人、CEO陳佩文表示,0Day漏洞的本質(zhì)在于利用過去積累的時間,在短期內(nèi)換取快速突破網(wǎng)絡邊界的效果。假設演練時間延長到兩個月,我們會發(fā)現(xiàn)上述的前提依然成立,提前準備仍然是關鍵,使用0Day漏洞在短時間內(nèi)獲取攻擊入口的邏輯也不會改變。然而,時間的延長使得紅隊在演練過程中能夠邊打邊挖,邊挖邊打,充分利用更長的時間窗口進行深入滲透和漏洞挖掘。這些僅僅是一種大面的判斷,讓我們深入攻防雙方再來看看。
紅隊的視角
對于紅隊來說,常態(tài)化演練時間的延長既是機遇也是挑戰(zhàn)。一方面,時間的延長為紅隊帶來了更多實施復雜和隱蔽攻擊策略的機會。例如,廣義及狹義的供應鏈攻擊在長期演練中變得可操作化,紅隊可以通過對供應商系統(tǒng)實施水坑攻擊、植入后門等手段,借助供應鏈系統(tǒng)的漏洞或污染供應鏈代碼來間接滲透目標。陳佩文表示,紅隊的攻擊面也在擴大。隨著時間的推移,邊緣資產(chǎn)無法長期關閉,這意味著目標資產(chǎn)更多,紅隊的攻擊面更廣,防守單位的戰(zhàn)線也被拉得更長。長時間的演練還使得紅隊的單點壓強降低,紅隊的火力并不會每天都很兇猛。因此,錯峰攻防成為可能,使防守方更難以防御。在足夠長的時間下,一些在兩周內(nèi)不容易實施的攻擊手段,如高級持續(xù)性攻擊(APT)和多階段攻擊,也有了施展的空間。甚至一些在短期內(nèi)無法預期的神奇的戰(zhàn)法,可能在兩個月內(nèi)冒出來。安全防御需要運營,但安全的攻擊也需要運營。拉長到兩個月甚至更長時間來看,APT的邏輯便是攻擊運營的思路之一。攻擊長期運營起來后,甚至會比防御者更了解被攻擊單位,這也是“網(wǎng)絡安全的本質(zhì)在對抗,對抗的本質(zhì)在攻防兩端能力較量”的體現(xiàn)之一。總結來說,時間的延長對紅隊來說既是壓力也是挑戰(zhàn)。在防守方的單點防御壓強減少的情況下,局部不對稱的攻防現(xiàn)象可能會增加,邊緣資產(chǎn)的淪陷甚至網(wǎng)絡隔離的突破也變得更為可能。
藍隊的視角
對于防守方,常態(tài)化演練時間的延長同樣帶來了巨大的挑戰(zhàn)。首先,長時間的演練對防守方的人力和技術資源提出了更高要求。團隊成員需要輪班工作,以保持長時間的持續(xù)防御,這不僅增加了人員的疲憊度,還需要更多的技術和設備支持,導致資源消耗、預算消耗的顯著增加。因此,不太可能再像以前一樣簡單堆人同時7*24小時的值守來提升防護效果。
其次,在長時間的演練中,簡單粗暴的關閉一些系統(tǒng)的策略無法一直生效。防守方無法隨意關閉風險業(yè)務系統(tǒng),同時必須確保這些系統(tǒng)在運行中的安全性。尤其是核心業(yè)務和邊緣系統(tǒng),防守方需要找到有效的防御措施,避免系統(tǒng)在演練期間被攻破。
長期的高強度防御對防守團隊的心理狀態(tài)也構成了巨大挑戰(zhàn)。團隊成員需要在高壓環(huán)境下工作,保持高度的警惕性,這可能導致心理疲勞和工作效率下降。
然而,常態(tài)化演練也為防守方提供了建立長效安全機制的機會。通過長時間的演練,防守方能夠建立一套全面的安全防護機制。這不僅包括技術層面的提升,還涉及到團隊協(xié)作、應急響應和心理支持等方面,為組織的整體網(wǎng)絡安全防御能力提供保障。
常態(tài)化演練還強調(diào)應急響應能力的提升。長時間、多樣化的攻擊手段要求防守方具備高效的應急響應能力,并能夠迅速應對各種突發(fā)事件。隨著演練時間的延長,防守方有更多時間考慮廣義及狹義的供應鏈安全問題。通過全面評估和加強供應鏈各環(huán)節(jié)的安全措施,防守方可以建立更加穩(wěn)固的防御體系,防止通過供應鏈進行的間接攻擊。
監(jiān)管的視角
大家習慣性地討論攻防雙方的思路,但演練中監(jiān)管方的視角也是一塊重要的視角。從監(jiān)管角度來看,常態(tài)化演練的引入并非僅僅為了增加攻擊和防御的難度,而是為了真正提升整體的網(wǎng)絡安全防護能力。當前的運動式演練通常依賴于短期內(nèi)的高強度防御措施,如臨時關閉非核心業(yè)務系統(tǒng),盡管這種方法在短期內(nèi)有效,但它并沒有解決根本問題。監(jiān)管方意識到,網(wǎng)絡邊界防護并非無懈可擊,持續(xù)的攻擊總會找到突破口。因此,常態(tài)化演練旨在推動防守方從被動防御轉向主動防御,實現(xiàn)“以攻促防,以攻促改”。
通過長時間的實戰(zhàn)演練,防守方能夠持續(xù)檢測和應對攻擊,發(fā)現(xiàn)系統(tǒng)中的深層次漏洞和薄弱環(huán)節(jié)。這樣不僅可以提升防御系統(tǒng)的整體安全性,還能在實戰(zhàn)中驗證和改進現(xiàn)有的防御策略。實戰(zhàn)演練的持續(xù)性和復雜性,迫使防守方在實際環(huán)境中面對真實威脅,逐步提升應對復雜攻擊的能力。
此外,常態(tài)化演練還強調(diào)應急處置能力的完善。長時間、多樣化的攻擊手段要求防守方具備快速響應和靈活調(diào)整的能力。通過不斷的演練和調(diào)整,防守方能夠建立起一套高效的應急響應機制,在突發(fā)事件中迅速恢復系統(tǒng)的正常運行。這不僅提升了單個單位的防護能力,也為整個網(wǎng)絡安全生態(tài)系統(tǒng)的穩(wěn)定和安全提供了保障。
陳佩文表示,常態(tài)化演練不僅是對網(wǎng)絡防御能力的強化測試,更是對整體安全策略的一次深刻檢驗。它迫使各方從短期利益和臨時措施中走出來,真正構建起長期有效的安全防御體系。通過不斷的實戰(zhàn)檢驗和改進,我們才能在面對復雜多變的網(wǎng)絡威脅時,更加從容和有效地應對。
而面對常態(tài)化演練場景下的新型攻擊手段,比如0Day漏洞、內(nèi)存馬注入等,陳佩文也表示,舉賢不避親,基于多年實戰(zhàn)攻防積淀以及對新型攻擊手段的研究,邊界無限推出了基于RASP技術的靖云甲ADR應用檢測與響應系統(tǒng),助力客戶打造更完善的應用安全防護體系,并與多種產(chǎn)品、方案響應,助力客戶建設高效的安全運營體系與縱深防御體系。
機遇和挑戰(zhàn)并存,面對常態(tài)化演練,無須驚慌,演練終究是為了更好地“修煉內(nèi)功”,發(fā)現(xiàn)問題,解決問題。