一种网络安全攻防沙盘推演的战略战法沙盘推演之三十六计｜大湾区金融安全专刊·安全村

我国网络安全攻防演练自2016年《网络安全法》颁布后，已成为一年一度的惯例，同时各省市、行业、单位组织的网络安全攻防演练也逐渐普及，涉及的单位和行业在不断的扩大，已经作为一种常态化工作，成为参与单位一年一度的网络综合能力“大考”，红蓝双方的对抗不断升级，能力也不断提高，在一场场对抗之中双方的战略战法得以展示，其中在演练基础之上的沙盘环节更是别具看点，战略战术体现的淋漓尽致。

沙盘推演可以在攻防双方手段科学有效的前提下，合理的跳出演练的局限性，对目标可能产生的影响进行置辩，对目标的社会影响、经济损失和声誉损失等进行评估。

结合我们6年的国家级实战攻防演练以及多年沙盘推演经验，我们提出一种战略战法，该战略战法的重点是：

1. 提升己方人员斗志和必胜之心，扰乱并打击敌方信心，在心理上首先形成优势，确立己方用我必胜的信心。
2. 将中华民族各战神们的伟大战略战法思想—“三十六计”结合在沙盘推演过程。在战略战法层面（方法论）上获得胜利。

（因篇幅关系，本文视角更偏攻击方，下称红方）

安全的本质是人与人的对抗，沙盘推演也是红蓝双方的人去斗争，我们借用古代先贤的军事思想和斗争经验来指导我们开展此次对抗。三十六计共六套，含胜战计、敌战计、攻战计、混战计、并战计、败战计。前三套是处于优势所用之计，后三套是处于劣势所用之计。每套六计，共三十六计。

沙盘推演前红方可先声夺人，“网络安全对抗是一个不对等的过程，黑客技术始终领先于组织防守技术，是软件就会有漏洞，漏洞是不可预知的，没有攻不破的网络。因此红方可以先声夺人，从战略上蔑视敌人。

主席说过：战略上藐视敌人，战术上重视敌人。

三十六计胜战计之“声东击西”、“趁火打劫”。红方开场可以通过批量扫描、CC攻击等方式先调集蓝方注意力，消耗防守方人力、物力、精力的情况下，同时利用前期供应链攻击成果对内网办公网、生产网发起扫描，在非重要网络下发挖矿病毒等干扰蓝方思路，让对方对攻击目的产生误判，而在重要节点对服务器进行渗透，延长蓝方处置时间，趁机拿下重要靶标和数据。可以看下基金行业历史案列：

• 第一步，通过批量扫描方式对该单位官网、用户交易系统等重要网站持续开展攻击。

• 第二步，利用前期在供应链内网中获取的VPN账号密码，成功进入内网。

• 第三步，以手工的方式对内网进行信息收集，在收集过程中，发现了一个存在未授权访问漏洞的FTP，并在FTP中找到了相关的网络拓扑图，初步判断该FTP应该是用作内部人员共享文件和传输文件使用。

• 第四步，根据拓扑图的信息，对内网办公网、生产网发起扫描，并放置多个挖坑病毒。

• 第五步，最后以手工为主，扫描为辅的方式，慢慢的蚕到核心内网的服务器资产。

三十六计敌战计之“无中生有”、“李代桃僵”。红方在社交媒体、国内外论坛间歇性发布攻击成果，甚至伪造数据声称拿下蓝方某些重要系统的相关信息继续掩盖实攻目标，利用舆情、领导层压力让蓝方进一步身心疲惫，此时通过前期供应链调研，伪装成安全服务商专家与蓝方技术沟通，协助修改完善相关策略，同时在关键节点置换部分策略，作为内应帮助红方扩大战果。我们看下某跨境电商的相关案列：

• 第一步，同一时间在用户量较大、影响范围较广的社交媒体以及国内外论坛发布以“免费公开该单位百万级用户数据”作为噱头的帖子，引起该单位以及其他用户的高度重视。

• 第二步，以倒计时的形式，间歇性的发布公开数据的时间节点，制造舆论以及压力。

• 第三步，临近公开数据的时间节点，通过前期供应链调研获取的信息，伪造成某中间人A，并声称可以帮忙尝试联系对方，进行匿名商谈，延迟数据公布时间，提高对方的信任度

• 第四步，以供应服务商B的专家身份帮助对方远程修复前期掌握的一些非关键漏洞，随后以协助排查策略的名义，置换防火墙对RDP端口的策略，导致该端口暴露在互联网中。

• 第五步，通过RDP端口以及骗取的账号密码，成功帮助红队打入到内网中。

三十六计攻战计之“借尸还魂”、“擒贼擒王”。红方利用部分员工邮箱访问权限，通过邮箱记录、通讯录针对蓝方高层和技术人员进行双向攻击。以邮件汇报形式把相关演练内容、外部舆情、目前解决方案等通过定向钓鱼发送给CEO、CFO等非技术领导，拿下他们个人终端。借用控制的蓝方领导终端伪权限拿到开发部门代码、运维堡垒机等，进而拿下靶标。看下某供应链公司案列：

• 第一步，对目标单位邮箱系统进行暴力猜解，成功以As+公司部分域名+数字的形式猜解出部分员工的邮箱默认登录密码。

• 第二步，收集员工邮件中的通讯录、邮件格式、内容口吻、人物关系、公司活动、项目情况等信息。

• 第三步，通过收集的信息，以财务人员的身份构造一封关于“某项目经费审批”为标题的邮件发送给CEO、CFO等非技术领导审批，并在邮件中附上已经捆绑病毒的合同作为附件。

• 第四步，点击附件后，红方获得决策层领导的个人终端权限，借用控制的蓝方领导终端权限查看内部管理平台，拿到运维堡垒机账号密码，成功拿下靶标。

上面我们提到了红方利用三十六计的各种战术，那么蓝方在防守过程中是如何体现的呢？我们用后三套也做一下举例说明。

三十六计混战计之“关门捉贼”、“釜底抽薪”。我们每年都可以看到有红方队员大举进攻时，蓝方示敌以弱，却在重要路径上布置高交互蜜罐重点记录红方的攻击资源，如行为特征、IP等，并根据相关信息利用工具顺藤摸瓜，拿下红方攻击人员信息，如社交ID、学校、公司等，配合监管机构一举拿下红方人员。下面为银行业案例：

• 第一步，在红方可以简单努力后发现的攻击链路上，放置高交互蜜罐，让红方可以触达蜜罐。

• 第二步，在红方成功进入到蜜罐设置的“陷阱”中，蜜罐会自动记录红方的UA、IP、工具方式等信息。

• 第三步，利用蜜罐记录的信息，对红方控制的肉鸡发起反制。

• 第四步，通过肉鸡开放的redis端口，成功获取该肉鸡服务器的权限，并在肉鸡上发现抓包、扫描、漏洞利用等工具。

• 第五步，最后在肉鸡的众多工具里发现某漏洞利用工具注释了开发者ID，通过ID询问圈内好友，发现该ID拥有者目前服务于某安全企业。

三十六计并战计之“偷梁换柱”、“反客为主”。对于红方来说攻击不是目的，目的是权限和数据，蓝方利用脏表脏数据替换红方攻击目标，并在脏表中留下隐藏水印等用于追踪，延缓红方攻击节奏，谁触碰脏表谁就是敌人，可以针对性反制，拿下攻击机后可以趁对方休息时传输大量虚假资料，引导红方进入圈套搜集更多信息，扩大战果，反守为攻。某证券公司的实践案例：

• 第一步，在红方容易发现的攻击链路上，放置使用了水印技术的脏数据库。

• 第二步，红方在下载带有隐藏水印的数据后，其攻击IP等信息都会被记录到数据库中。

• 第三步，还原水印中的攻击者信息，并对水印中记录的肉鸡IP发起进攻。

• 第四步，通过肉鸡IP开放的web应用，成功获取该肉鸡服务器的权限。

• 第五步，向肉鸡服务器中的数据库传输大量虚假数据，扰乱红方进攻，等待时机，反守为攻。

三十六计败战计之“美人计”、“苦肉计”。蓝方故意在网上散发一些针对目标的攻击工具和技术文章，在监控范围内主动泄露部分运维/开发等账号密码，而这些工具带有隐藏后门，并通过技术文章搜集ID和相关IP等，并在对方利用相关工具、情报时进一步结合其他技战术把红方干掉。某实力强的互联网公司案例：

• 第一步，提前在私人博客或安全论坛发布相关的堡垒机的密文密码。

• 第二步，以开发的身份，小范围发布与之关联的研究成果，在众多研究成果中，附上带该密文后门的解密工具。

• 第三步，当有用户解密的密文与堡垒机密文一样时，解密工具就会触发隐藏后门，个人PC直接回连到C2服务器。

• 第四步，获取红方的权限后，第一时间会对个人PC进行截图操作，回传IP以及PC信息。

通过上述三十六计的战术使用，可以看出手段永远服务于目的，技术也没有正邪之分。网络安全攻防确实是一个不对称斗争，但红蓝双方可以围绕自己的组织进行不同的战略战术安排。红方既不是通过纯技术，要控制全部终端目标，达成全歼；蓝方也不是要求百无一失，而是通过沙盘演练，从组织的检测发现、分析研判、应急处置、通报预警、协同联动、追踪溯源等维度全方位提升安全水位，保障自身业务的稳定性和持续性。

作者介绍

深圳网安 彭泉(PP)：中国第一代黑客、国家重大活动网络安全保卫先进个人

‍

关于 大湾区金融安全专刊

大湾区专刊集合了全国数十家金融和科技机构的网络安全工作经验总结，内容涉及防护体系、资产管理、研发安全、攻防演练、安全运营、数据安全、业务安全七大主题方向，希望能为从业者提供网络安全防护方面的整体思路，向行业传播可持续金融创新和实践经验，为推动可持续金融生态发展汇聚智慧与力量。

关于 安全村

安全村始终致力于为安全人服务，通过博客、文集、专刊、沙龙等形态，交流最新的技术和资讯，增强互动与合作，与行业人员共同建设协同生态。

专刊获取方式

本次专刊的合作机构如下

赶紧关注他们

联系获取纸质版专刊吧！

原文始发于微信公众号（安全村SecUN）：一种网络安全攻防沙盘推演的战略战法--沙盘推演之三十六计｜大湾区金融安全专刊·安全村