2022实网攻防演练蓝队防守指南发布 via @安芯网盾

自2016年公安部展开实网攻防演练以来，攻防演练规模越来越大，红队攻击手段越来越高级，演练形式也开始以真刀真枪的对抗行为走向实战化。

2022年实网攻防演练在即，红队将主要使用的攻击手法有哪些？蓝队在企业防守能力建设上的核心要点是什么？

安芯网盾核心团队深耕未知威胁检测技术领域多年，通过分析历届攻防演练情况，编写了“2022年实网攻防演练蓝队防守指南”（以下简称“防守指南”），帮助防守方提升在攻防演练期间的核心竞争力。

防守指南核心观点

• 攻防演练只是帮助企业、组织了解自身安全能力的手段，真实攻击的程度和后果往往更加严重，只有不断提升企业安全能力建设，才能真正保障企业网络安全。

• 在实战攻防演练中，防守方想要获得好成绩，除了要拥有红队攻击视角，还得熟悉攻击的套路，这样才能有效采取各种预防措施或者应急响应方案，使红队攻击难以奏效甚至实现反制。红队在实战演练中的技战术首要目标是边界突破和内网渗透，安芯网盾安全专家在该指南中列举了红队在这两个目标阶段的典型攻击手段。

• 在整个实网攻防演习活动过程中，需要充分吸取往年经验，立足“实战化，体系化，常态化”要求，从技术和管理层面构建和完善网络安全防护体系，只有这样才能更有针对性地布防，从而起到事半功倍的效果。安芯网盾安全专家从实网攻防演习的准备阶段、预演、正式对抗和复盘总结为蓝队提炼了针对性布防建议。

• 近年来更为组织化和团队化的APT攻击手法也在红队中广泛应用，这类攻击通常采用内存/漏洞利用、无文件、内存马等新型手段，结合社工钓鱼等方式，具有高迷惑性、高隐蔽性、高成功率等特点。要想有效应对这类威胁，除了需要提升单位全员的网络安全意识外，还需要采用更为先进的安全防护手段。安芯网盾推出了以内存安全产品和与邮件安全联防预警系统（M01）为基础，以安全服务专家团队为保障，用“技术+服务”模式，构建主机+终端的一体化端点安全解决方案，建立运行时安全防护能力，能有效应对来自红队的高级攻击手段，并能形成常态化的高级威胁检测和防护能力。

• 典型实战演练案例则从攻击手法出发，分析了安芯网盾为不同的行业背景、企事业单位提供保障服务过程中所发生的真实案例，更加生动、全面地展示了面对网络攻击时企业安全能力的缺失和攻击后果的严峻性。

2022攻防演练红队攻击手段Top5预测

安芯网盾安全专家剖析近几年来红队攻击的路径，包括攻击的核心目标、红队攻击手法和实例等，从红队利用频率、利用难度和危害程度出发，详细列举了红队常用攻击形式，并预测2022年红队将会利用的五大攻击手段。

安芯网盾安全专家剖析近几年来红队攻击的路径，包括攻击的核心目标、红队攻击手法和实例等，从红队利用频率、利用难度和危害程度出发，详细列举了红队常用攻击形式，并预测2022年红队将会利用的五大攻击手段。

本篇为您摘取了部分指南报告中精彩内容，无文件钓鱼是指南中列举的红队攻击手段TOP1，指南中分析了红队利用无文件钓鱼主要有两大优势和防护策略。

红队常用手段：无文件钓鱼

无文件钓鱼是将社会工程学与无文件攻击相结合的高级网络攻击手段，是近几年真实攻击事件和攻防演练案例中利用频率最高也是最容易成功的一类攻击手段，最常见的就是利用大家对疫情的高度关注、利用大家对八卦信息的猎奇心理等。

攻击者利用无文件钓鱼主要有两大优势：

一是有效降低了攻击门槛，使红队不必强攻用户网络即可有机会获取受信任立足点。它充分利用了人性弱点，通过精心伪造场景，诱使目标下载、执行恶意程序或访问恶意链接，从而达到提权或数据窃取等目的。

二是利用无文件的攻击手法能有效绕过用户网络安全防御体系，提升钓鱼成功概率。无文件攻击通常会利用操作系统的合法程序直接将恶意程序加载至内存运行来攻击计算机，不会有恶意文件在本地磁盘落地，并且不会留下任何足迹，这给检测、溯源带来很大困难。为了逃避检测，攻击者开发的无文件恶意软件变得越来越复杂越来越有针对性。这些软件往往采用最新的技术，并以混淆、加密等方式来伪装自己。

图 典型无文件钓鱼攻击场景

无文件攻击常见于PC终端，攻击者通常利用钓鱼邮件或是某些软件漏洞发起攻击，并调用Powershell、WMI、PsExec等系统自有工具远程下载执行恶意命令，具有隐蔽性强、攻击成功率高、破坏力大、溯源困难等特点。基于特征签名、网络流量、系统日志的传统检测手段很难有效应对无文件攻击，很多勒索病毒、挖矿木马甚至恶意后门程序均是通过无文件攻击实现。

目前，关基运营者针对钓鱼攻击的防护主要从“人防”和“技防”两个层面入手。人防主要是通过安全培训、邮件钓鱼演习提高员工的网络安全意识。技防主要是通过部署邮件安全网关、邮件防泄漏等措施应对邮件威胁。而要想发现无文件钓鱼这类攻击，需要实现对邮件附件、邮件账号、邮件URL、邮件来源、邮件异常行为等一体化安全解决方案。

安芯网盾内存保护系统（MDPS）无文件攻击防护模块以行为分析为核心，深入脚本解释器内部，监控脚本执行行为，通过发现脚本敏感动作，结合上下文关联，能有效检测和发现无文件攻击行为，并能对攻击进行阻断。检测过程不依赖特征签名、网络流量、系统日志等静态特征，有效降低了因混淆、变种导致绕过的概率。

同时，立足邮件安全综合防护需要，安芯网盾配合公安一所开发了邮件安全联防预警系统M01。通过在本地部署邮件网关和威胁样本异常行为分析系统，依托“云端”威胁情报共享平台、威胁行为分析系统和专家运营服务团队，有效解决实战攻防对抗过程中人员安全意识参差不齐、难以全面应对邮件钓鱼及恶意程序攻击、预警不及时等痛点问题，大力提升了应对社会工程学攻击的防护水平。

安芯网盾是内存安全领域的开拓者和领军者，致力于为政府、金融、运营商、军工、教育、医疗、互联网及大型企业等行业客户提供新一代高级威胁实时防护端点安全解决方案，帮助企业防御并终止无文件攻击、0da漏洞攻击、内存马攻击等高级威胁，切实有效保障用户的核心业务不被阻断，保障用户的核心数据不被窃取，已为百度、海关、金山、华为云等众多国际知名企事业单位持续提供服务。

如果您的企业即将参加实网攻防演练，欢迎您致电400-900-6609咨询安芯网盾为您提供的独家解决方案。安芯网盾作为内存安全领域的开拓者和领军者，致力于为政府、金融、运营商、军工、教育、医疗、互联网及大型企业等行业客户提供新一代高级威胁实时防护端点安全解决方案。我们将在企业安全建设上，持续为您保驾护航。

（2022.7.8 数说安全报道）

原文始发于微信公众号（数说安全）：2022实网攻防演练蓝队防守指南发布 via @安芯网盾