攻防演習：70%的防守隊沒做好這件事 導致“未戰先輸”

一年一度、如火如荼的網絡安全攻防演習即將拉開大幕。在攻防領域流傳著很多金句，如“未知攻、焉知防”、“說一百遍不如打一遍”、“以攻促防”、“網絡安全的本質在對抗”等等。

它們雖表述不同，其核心思想是一致的：即防守隊非常需要攻擊隊視角，從攻擊者角度去站位思考，分析總結攻方會采取的手段和步驟，來反思自身的安全體系、防護弱點，達到“知己知彼、百戰不殆”。

為此，我們推出了實戰攻防演習“以攻促防”連載系列，立足歷年數百場攻防演習中，攻擊隊最慣常使用的手段方法，來進行精準、針對性的堵截防御，實現“無懈可擊”。本篇從偵察角度，看攻防雙方如何進行偵察與反偵察的較量。

1 偵察 攻擊前的第一步

有部很知名的老電影叫《渡江偵察記》，講述渡江戰役前夕，解放軍派偵察班先遣小隊，渡江去偵察敵情，并獲得一份江防工事圖，探明敵人江防部署。總攻開始后，解放軍萬帆齊發、大炮雷鳴，把敵人沿江工事精準摧毀，保障百萬雄師順利渡江，取得全面勝利。這部電影將偵察的重要性體現的淋漓盡致。

同樣，2007年有部叫做《斯巴達300勇士》的電影，從守方角度體現了對忽視偵察導致的后果。斯巴達王列奧尼達率領300勇士，將波斯數十萬大軍堵在了溫泉關，讓對方寸步難行、傷亡慘重。然而，列奧尼達沒有防范身后的一條小路，最終被一個叛徒引導波斯軍抄小路，繞道進攻后方薄弱環節，導致300勇士腹背受敵、全軍覆沒。

在實戰攻防演習中，作為攻擊活動的初始環節，攻擊者會通過各種手段，搜集目標信息，并選擇薄弱點，如竊取登錄憑證、掃描高危端口等，將其作為主攻方向。具體包括，通過外圍信息收集和多種掃描技術，獲得目標的IP地址、端口、操作系統版本、每個端口運行的服務、存在的漏洞等攻擊必需信息等等。

從攻擊者的視角，偵察獲得的信息越全面，找到薄弱點、突破口的概率就越高。因此，作為防守隊，第一步需要做的事情，不是急迫布防，安裝威脅檢測、邊界安全等產品，而是不要讓敵人偵察到攻擊的突破口，讓他們無隙可乘。

2防守隊痛點：

未知資產暴露在外 弱口令無處不在

對于防守隊而言，第一個痛點是資產繁多、難以管理，尤其是很多暴露在外的未知資產，一旦被攻方偵察到，失陷基本只是時間問題。

參加實戰攻防演習的政企機構，絕大多數信息化、數字化程度都很高，對外開放的業務應用非常廣泛，導致暴露在整個互聯網上的服務器、設備的端口、協議、應用等非常龐雜和繁多。尤其是因內部管理流程不完善等原因，導致很多未知資產暴露在外。這些未知資產，對于經驗豐富的攻擊隊而言，可以用常規掃描工具輕松偵察到。攻方演習一旦開始，這些未納入統一管理的未知資產，很容易成為率先被攻破的目標。

第二個痛點，屢禁不止的弱口令，防守虛弱的特權賬號等，讓攻擊者屢試不爽。、

弱口令是指賬號口令復雜度策略配置較低，或容易被攻擊者獲取的口令，通常有簡單口令、默認口令、空口令、規律性口令、社會工程學弱口令等。由于其口令強度過弱，容易被攻破，堪稱每年實戰攻防演習的十大安全漏洞之首。而實戰中通過弱口令獲得權限的情況占比更是高達70%以上。

同時，因涉及到攻擊者的最終利益，特權賬號往往是攻擊者瞄準的重點攻擊目標。特權賬號由于其分布廣、數量多的特點造成特權賬號梳理難，組織管理員無法全面的掌握特權賬號動態情況。加上僵尸賬號、幽靈賬號、后門賬號、弱口令賬號、長期未改密賬號等風險賬號等廣泛存在，且比較隱蔽，給系統資產帶來很大的安全隱患。

3防守方破解之道：

做好資產測繪 嚴控賬號風險

讓眾多未知資產暴露在互聯網等公開區域，無異于給攻擊隊若干不設防的攻擊目標，演習中會被處處打穿。為此，奇安信實戰攻防專家建議，防守隊首先要做的第一件事情，就是收縮暴露面，通過技術手段實現對旗下各類資產的統一管理，才能有針對性的防護。

目前，奇安信推出的全球鷹網絡空間測繪——鷹圖平臺，作為實戰攻防前的互聯網空間“偵察機”，將虛擬的網絡空間、地理空間、社會空間相結合，可以探測到域名、服務器、網站、數據庫、應用軟件、網站服務組件、網站框架等各類互聯網資產。鷹圖平臺作為偵查工具，輔助服務人員幫客戶發現未知資產和風險資產，從而形成互聯網資產探測和風險預警服務，為后續的安全加固、防護增強提供支撐，防止在攻防中被攻擊者劫持利用，減少防守丟分。

圖：全球鷹網絡空間測繪——鷹圖平臺

鷹圖平臺的第一個優勢在于域名海量資產。截止5月底，鷹圖平臺的資產總數103億+，獨立IP數5.6億+，域名資產數38億+，ICP備案資產數600萬+。每日資產更新量與IP總數更新量均在千萬級別，已遠超同行。

第二個優勢是查看便捷，可幫助客戶快速掌握資產暴露面全貌。鷹圖平臺從攻擊者視角出發，清晰便捷全面查看企業暴露在互聯網上的資產概況、資產分類、問題資產等資產全貌，還可以查看暴露IP詳情、證書詳情等。

第三個優勢是速度更快，資產更新追求與業務同步。鷹圖平臺基于“零拷貝”發包技術和“無狀態掃描”技術，可幫助客戶快速掃描到網絡存活資產，縮短資產更新與業務同步的時間差。目前國內高頻端口最快4天更新，海外高頻端口最快10天更新，避免業務上線很久、資產還沒梳理出來的“空窗期”。

防守隊做的第二件事情，是定期修改弱口令，關閉高危端口，銷毀閑置的虛擬機等。

隨著資產日益增加，應用系統瘋狂增長，應用系統類型日益復雜，對特權賬號管理要求越來越高，特權賬號口令的管理成為新的挑戰。對此，奇安信推出了特權賬號管理系統（特權衛士、即PAM），它以保障特權賬號安全為核心，能夠主動發現各類基礎設施資源的賬號分布、識別賬號風險(包括弱口令、僵尸賬號、幽靈賬號、長期未改密賬號，賬號違規提權等)、管理賬號使用，實現對各類基礎設施資源賬號的全生命周期管理，幫助客戶提升賬號安全的主動防御能力，降低因賬號口令泄漏或被非法利用而造成的防守目標失陷問題。

圍繞攻防演習前，奇安信為客戶提供了部署和使用特權衛士的三步流程：

客戶提前部署特權衛士，第一步為錄入特權賬號，實施賬號掃描，通過收集客戶資產信息，每臺資產錄入最關鍵的特權賬號（Root\Admin等類型）存儲在PAM密碼保險箱之中；實施賬號掃描，發現幽靈賬號，杜絕從外部竊取賬號口令。

第二步是風險臺賬梳理，專項整治弱口令。具體通過賬號發現數據，梳理風險賬號臺賬；錄入企業內部專屬的弱密碼集合，實施系統弱密碼掃描專項，并且一鍵改密，防止攻擊方利用竊取到的口令實施內網橫向移動。

第三步為標準管理策略，動態分配權限。通過賬號改密和統一策略管理，回收賬號權限，解決權限的濫用；無縫聯動奇安信堡壘機，閉環賬號全生命周期管理，杜絕利用賬號的違規操作。 

4備戰實戰攻防 奇安信在行動

目前，奇安信安服團隊已經為2022年實戰攻防演習啟動相關工作。

在收斂暴露面方面，主要通過全球鷹網絡空間測繪平臺，對客戶側產品對外暴露控制臺等情況進行排查并通知進行收斂。而在保護特權賬號、控制弱口令風險方面，奇安信安服聯合數據安全團隊，啟動了賬號口令專項檢測行動，在實戰攻防演習之前，依托特權衛士等守護好客戶數據資產的賬號大門。