如何成功地开展攻防演练

什么是攻防演练？

攻防演练是一种网络安全实践活动，企业通过渗透测试来评估安全漏洞，并发现自身网络安全准备中的弱点。攻防演练通常会涉及两支队伍——攻击方（进行渗透测试的主角）和防守方（负责查明、评估和响应攻击行动带来的安全事件）。

我们不再赘述攻防演练的重要性。因为更重要的问题是，以怎样的策略开展攻防演练，能够真正帮助企业改善安全防护。我们的标题起得有些戏剧化，因为现实中演练的双方并没有真正的输赢。唯一真正的赢家应该是企业自身，通过攻防演练增强安全态势。

对公司网络安全的弱点了解得越多，越能够更好地进行改进。攻防演练也是测试不同团队（IT、人力资源、开发等）在面临安全危机时协同工作能力的有效方式。 演练应该能够激发整个 IT 安全团队的良性竞争，因此请记住保密是最重要的——不要让防守方知道接下来会发生什么。 因为现实世界真正的攻击者们不会那么做，对攻击安排保密才能够真正评估企业应对威胁的准备程度。

遵循基本规则

如果试图在演练中处处出击，期望面面俱到，最终您不太可能收获有价值的结果。所以，首先可能也是最重要的是：决定演练中哪些领域是禁区，什么行为是超出范围的。这些限制可能是主管的公司电子邮件、包含研发材料的私有区域，或者薪资部门的网络； 总会有一些业务运营领域应当被排除在任何安全演练活动之外。明确定义这些领域，并在攻防演习实践中牢牢遵守这些规则。

明确定义您的目标，因为目标决定了期望的演练结果和明确的团队任务。攻防演练的目标通常涵盖一个范围，不会只专注于单个系统或应用程序。

团队需要调研多个系统，尝试可能的攻击方法，实验各种威胁尝试。 但需要注意的是，目标应该足够具体，这样才能用来推动演练的执行。攻击方会选择多种破坏途径中的任何一种。举例而言，或许会尝试在未经许可的情况下访问特定的网络域，尝试复制登录凭据，使用社会工程手段来说服同事共享私人信息，通过免费（供应商品牌）U盘发送无害的恶意软件，通过拦截通信获取网络拓扑等等。

在攻防演练中，一个好的场景定义应该足够具体，以确保防守方知道确切的攻击区域和演练中的限制。假设团队中有人希望尝试模拟 DDoS 攻击，但如果演练的任务是测试网络钓鱼欺诈漏洞，那么DDoS攻击尝试就超出了演练范围。

另外，进行攻防演练前您有必要得到管理层的支持，确保他们了解攻防演练的价值，并为任何潜在结果做好准备。如果是首次进行演练的话，和CEO深聊企业网络安全问题会是一个很好的开端，当然与管理层的其他成员合作也至关重要。他们将深入了解各部门的运营方式以及不同情况下的职能；交流获得的信息也可以帮助您构建现实场景，用以测试企业安全响应的不同方面。与客服、人力资源、任何需要远程访问的团队以及其他有潜在安全弱点的部门进行交流。在创建设计初稿之后，与不同部门一起加以完善，以便每个参与者都知晓各个环节的内容，并明白相互间的关系

，最终形成确定的演练安排。计划中还应当明确包含攻击方应如何与内部部门和其他相关人员互动的详细信息。

总之，开展成功的攻防演练，首先需要创建一个详细的场景，并与所有参与团队保持同步。

挑选攻击方团队成员

为您的团队选择合适的人员。 寻找具有相关渗透测试知识并希望承担责任或正在寻求晋升的人，他们是您的团队合适的负责人。

攻击队小组往往规模较小，因此尝试在小组中充分融合相关技能和观点非常重要。 确保每个人都能提供一些独特的东西，能够很好组队扮演攻击方——并且不反感被贴上“坏人”的标签。

参与攻防演练的人员不应太多或者太少。 显然，这取决于企业的整体规模，您需要考虑到参加攻防演练的同时，人们需要有能力继续他们的日常工作。

寻找薄弱环节

尽管我们之前说过，攻击队的目标是击败防守方，反之亦然。因此，攻击方需要尝试所有可能的最佳策略来寻找和躲避企业的防御体系。您的网络安全团队应当已经对易受攻击的领域有所了解。询问扮演攻击队的同事他们认为什么是弱点，这个不能算是“作弊”。现实世界中，任何不良行为者（或者防御方）都会做同样的事情，而找出网络防御中的弱点才是演练真正的重点。这些弱点可能是未打补丁的软件、错误配置的工具或其他已知或未知的风险。建立一张按优先级排序的分区域列表，这才是攻防游戏的目的。

另外，不要只关注外部威胁检测，还要考虑内部威胁情况。违规通常来自人为错误。建立一张按优先级排序的分区域的列表，涵盖所有的可能导致安全事故的问题，让攻防演练覆盖企业完整的网络安全环境。试着从影子 IT的谣言开始排查：是否有未记录在案的接入点可以访问基础架构；深入研究并尝试所有可能被忽视的设施：例如旧服务器。这些操作尝试都是寻找安全薄弱环节很好的起点。

定制和个性化

这一项特别适用于网络钓鱼演习。要知道，仅仅在LinkedIn 上花些时间研究，能很容易就能知道谁是目标人物的经理。因此，在攻防演练中，研究公司的组织架构，伪装成目标人物的上级发送钓鱼电子邮件，是一种很不错的尝试。邮件的内容模拟得越贴近专业，并且链接看似来自信誉良好的站点，这样的个性化定制往往能够消除被攻击者的怀疑。

出于同样的原因，使用公司使用的相同软件发送电子邮件，或者来自不同软件但也很常见的电子邮件服务（如Microsoft Team，使用 Sage 来联系客服部门，或用 Figma发送给创意部）是网络钓鱼演习中一种很有效的取巧方案，因为不良行为者一直都在这样做。通过使用黑客工具箱中的工具，将粗心大意的受害者挑出来，这恰恰是网络钓鱼演习的重点。内容越个性化，图形越专业，URL越接近于公司真正的域名，才越能让粗心点击链接的受害人放松警惕。

硬币的另一面

如果你的角色是防守方，你也必须学会像攻击者一样思考。 想要突破防御，你会首先攻击哪里？ 您在防守中需要寻找攻击带来的变动，因此请首先仔细检视整体IT环境并创建网络活动基线，这可以帮助您更轻松地发现异常或可疑行为。下面的一些免费工具可能对您有所帮助：

Imperva Snapshot™ 快照方案

适用于 Amazon RDS 数据库服务，完全免费的云数据安全状况评估工具。 Imperva Snapshot™ 可以分析数据库的临时恢复副本，在几分钟内即可获得详细结果。

Scuba数据库漏洞扫描器

能够扫描安全漏洞和配置缺陷以发现数据库风险。包含超过 2,300 项测试，通过图形化仪表板展示扫描以及缓解建议，并且完全免费。

Imperva Classifier数据分类方案

这个数据分类工具可以发现企业数据库中可能存在风险的敏感数据。完全免费，拥有 250 条搜索规则，可在Web 仪表板中清晰展现分类结果。

试试以上这些工具，它们可能会向你展示目前网络安全防御上的差距。如果您还没有这样做，请确保您的所有外围安全方法（如防火墙、恶意软件防护和防病毒软件）都已正确配置并且更新了最新的补丁。同时，请考虑采用最小特权原则 (POLP)：限制了用户仅读取、写入和执行其工作所需的访问权限，这样可以有效地防止违规操作发生时在网络上横向移动。您还可以使用微分段方案将网络边界划分为多个小区域，从而限制网络每个逻辑分区的访问。

这不仅仅是阻止攻击。请记住，攻防演练中防守方“获胜”的很大一部分原因还在于出色响应速度、隔离事件的效率，以及恢复任何“丢失”的系统或数据的能力。制定完善的恢复计划和应急措施，列举出网络安全灾难恢复计划中应包含的内容，将使缓解操作更加顺利和快速。

评判最终结果

在您的攻防演练结束时创建一份可靠的报告，以支持后续安全改进的执行。为使得这份报告有效，请确保它清晰、易于阅读、简洁且组织良好，以便阅读它的人可以轻松地遵循列出的建议。 有一个清晰的模板将使得报告编写更容易：报告包含的安全措施应当有可操作性，并同时提供足够具体的建议，以便那些将要实施它们的人可以实施它们，但注意也不要太过具体以至于非技术的干系人无法理解。

善于做“坏事”

攻防演练需要大量周密的计划，很可能需要一些额外的预算，但结果是值得的。这样的演练能够帮助您识别企业的安全盲点，并通过真实世界的模拟测试防止未来的攻击。 因此，您甚至可以通过攻防演练显著减少网络安全整体投入。 

原文始发于微信公众号（IMPERVA）：如何成功地开展攻防演练