2022實網攻防演練藍隊防守指南發布 via @安芯網盾 - 網安 - 專業的網絡安全產業、社區、知識平臺

自2016年公安部展開實網攻防演練以來，攻防演練規模越來越大，紅隊攻擊手段越來越高級，演練形式也開始以真刀真槍的對抗行為走向實戰化。

2022年實網攻防演練在即，紅隊將主要使用的攻擊手法有哪些？藍隊在企業防守能力建設上的核心要點是什么？

安芯網盾核心團隊深耕未知威脅檢測技術領域多年，通過分析歷屆攻防演練情況，編寫了“2022年實網攻防演練藍隊防守指南”（以下簡稱“防守指南”），幫助防守方提升在攻防演練期間的核心競爭力。

防守指南核心觀點

攻防演練只是幫助企業、組織了解自身安全能力的手段，真實攻擊的程度和后果往往更加嚴重，只有不斷提升企業安全能力建設，才能真正保障企業網絡安全。
在實戰攻防演練中，防守方想要獲得好成績，除了要擁有紅隊攻擊視角，還得熟悉攻擊的套路，這樣才能有效采取各種預防措施或者應急響應方案，使紅隊攻擊難以奏效甚至實現反制。紅隊在實戰演練中的技戰術首要目標是邊界突破和內網滲透，安芯網盾安全專家在該指南中列舉了紅隊在這兩個目標階段的典型攻擊手段。
在整個實網攻防演習活動過程中，需要充分吸取往年經驗，立足“實戰化，體系化，常態化”要求，從技術和管理層面構建和完善網絡安全防護體系，只有這樣才能更有針對性地布防，從而起到事半功倍的效果。安芯網盾安全專家從實網攻防演習的準備階段、預演、正式對抗和復盤總結為藍隊提煉了針對性布防建議。
近年來更為組織化和團隊化的APT攻擊手法也在紅隊中廣泛應用，這類攻擊通常采用內存/漏洞利用、無文件、內存馬等新型手段，結合社工釣魚等方式，具有高迷惑性、高隱蔽性、高成功率等特點。要想有效應對這類威脅，除了需要提升單位全員的網絡安全意識外，還需要采用更為先進的安全防護手段。安芯網盾推出了以內存安全產品和與郵件安全聯防預警系統（M01）為基礎，以安全服務專家團隊為保障，用“技術+服務”模式，構建主機+終端的一體化端點安全解決方案，建立運行時安全防護能力，能有效應對來自紅隊的高級攻擊手段，并能形成常態化的高級威脅檢測和防護能力。
典型實戰演練案例則從攻擊手法出發，分析了安芯網盾為不同的行業背景、企事業單位提供保障服務過程中所發生的真實案例，更加生動、全面地展示了面對網絡攻擊時企業安全能力的缺失和攻擊后果的嚴峻性。

2022攻防演練紅隊攻擊手段Top5預測

安芯網盾安全專家剖析近幾年來紅隊攻擊的路徑，包括攻擊的核心目標、紅隊攻擊手法和實例等，從紅隊利用頻率、利用難度和危害程度出發，詳細列舉了紅隊常用攻擊形式，并預測2022年紅隊將會利用的五大攻擊手段。

本篇為您摘取了部分指南報告中精彩內容，無文件釣魚是指南中列舉的紅隊攻擊手段TOP1，指南中分析了紅隊利用無文件釣魚主要有兩大優勢和防護策略。

紅隊常用手段：無文件釣魚

無文件釣魚是將社會工程學與無文件攻擊相結合的高級網絡攻擊手段，是近幾年真實攻擊事件和攻防演練案例中利用頻率最高也是最容易成功的一類攻擊手段，最常見的就是利用大家對疫情的高度關注、利用大家對八卦信息的獵奇心理等。

攻擊者利用無文件釣魚主要有兩大優勢：

一是有效降低了攻擊門檻，使紅隊不必強攻用戶網絡即可有機會獲取受信任立足點。它充分利用了人性弱點，通過精心偽造場景，誘使目標下載、執行惡意程序或訪問惡意鏈接，從而達到提權或數據竊取等目的。

二是利用無文件的攻擊手法能有效繞過用戶網絡安全防御體系，提升釣魚成功概率。無文件攻擊通常會利用操作系統的合法程序直接將惡意程序加載至內存運行來攻擊計算機，不會有惡意文件在本地磁盤落地，并且不會留下任何足跡，這給檢測、溯源帶來很大困難。為了逃避檢測，攻擊者開發的無文件惡意軟件變得越來越復雜越來越有針對性。這些軟件往往采用最新的技術，并以混淆、加密等方式來偽裝自己。

圖典型無文件釣魚攻擊場景

無文件攻擊常見于PC終端，攻擊者通常利用釣魚郵件或是某些軟件漏洞發起攻擊，并調用Powershell、WMI、PsExec等系統自有工具遠程下載執行惡意命令，具有隱蔽性強、攻擊成功率高、破壞力大、溯源困難等特點。基于特征簽名、網絡流量、系統日志的傳統檢測手段很難有效應對無文件攻擊，很多勒索病毒、挖礦木馬甚至惡意后門程序均是通過無文件攻擊實現。

目前，關基運營者針對釣魚攻擊的防護主要從“人防”和“技防”兩個層面入手。人防主要是通過安全培訓、郵件釣魚演習提高員工的網絡安全意識。技防主要是通過部署郵件安全網關、郵件防泄漏等措施應對郵件威脅。而要想發現無文件釣魚這類攻擊，需要實現對郵件附件、郵件賬號、郵件URL、郵件來源、郵件異常行為等一體化安全解決方案。

安芯網盾內存保護系統（MDPS）無文件攻擊防護模塊以行為分析為核心，深入腳本解釋器內部，監控腳本執行行為，通過發現腳本敏感動作，結合上下文關聯，能有效檢測和發現無文件攻擊行為，并能對攻擊進行阻斷。檢測過程不依賴特征簽名、網絡流量、系統日志等靜態特征，有效降低了因混淆、變種導致繞過的概率。

同時，立足郵件安全綜合防護需要，安芯網盾配合公安一所開發了郵件安全聯防預警系統M01。通過在本地部署郵件網關和威脅樣本異常行為分析系統，依托“云端”威脅情報共享平臺、威脅行為分析系統和專家運營服務團隊，有效解決實戰攻防對抗過程中人員安全意識參差不齊、難以全面應對郵件釣魚及惡意程序攻擊、預警不及時等痛點問題，大力提升了應對社會工程學攻擊的防護水平。

安芯網盾是內存安全領域的開拓者和領軍者，致力于為政府、金融、運營商、軍工、教育、醫療、互聯網及大型企業等行業客戶提供新一代高級威脅實時防護端點安全解決方案，幫助企業防御并終止無文件攻擊、0da漏洞攻擊、內存馬攻擊等高級威脅，切實有效保障用戶的核心業務不被阻斷，保障用戶的核心數據不被竊取，已為百度、海關、金山、華為云等眾多國際知名企事業單位持續提供服務。