攻防演练中网络安全监测工作研究

攻防演练是指以真实网络目标为对象的实战攻防活动，发掘网络系统存在的安全问题，及时采取措施处理，同时也能检验企业的防护水平和应对能力。攻防演练通常分为红队和蓝队两支队伍。红队负责模拟黑客的动机与行为，寻找并利用企业网络的弱点，在授权范围内获得信息数据和控制权限；蓝队则利用多种手段监测红队的攻击行为，在有限时间内响应与处置。

（1）发掘防护人才

网络安全工作涉及范围广，需要监测人员负责，因此可以看作是黑帽与白帽之间的对抗。通过攻防演练，找到一批擅长网络安全防护工作的优秀人才，同时还能积累丰富的对抗经验。未来，在网络安全问题出现后，监测人员便可以做到临危不乱，及时采取针对性措施。

（2）寻找防护短板

通过攻防演练，及时发现当前的网络安全问题，并采取应对措施，不断强化网络安全建设的力度，提升企业网络安全水平。

（1）真实原则

攻防演练是在不对企业正常运营造成任何影响的基础上，模拟外部入侵，并在规定时间内从多个节点完成攻击，完成指定的测试任务。整个过程必须贯彻真实性原则，尽可能还原外部攻击的每一个步骤和细节，从而测试企业安全防护体系的阻断、监测及响应能力。

（2）深度原则

攻防演练的目标包括系统、人员、软硬件设备及基础架构，实现多维度、多手段的对抗性模拟攻击；发掘网络系统可能受到入侵的薄弱位置和攻击方式，包括系统权限获取、业务资料控制、关键信息掠夺等，全面检测企业网络的防御水平，及时调整策略，保障运营工作的顺利进行。

（1）定位安全短板

攻防演练能够展现企业网络系统的安全水平，定位其中的问题。如此，管理人员就能全面认知网络和系统，并及时做出安全整改，消除所有安全隐患。

（2）完善运营机制

利用攻防演练的方式，不断完善企业网络系统安全监测、防御和响应的一体化水平，持续强化防护水平。此外，也能够优化安全事件的主动、闭环以及持续运营机制，保证防护工作的有效性。

（3）提升技能水平

企业通过攻防演练，可以全面了解自身网络系统的安全水平以及网络监测人员的应对能力，及时调整防护模式，强化人员的安全意识和能力，从而打造更为完善的保障体系。

在攻防演练中，前期准备至关重要，将直接影响最终结果。因此，所有参演单位应提高重视度，主要从以下几方面入手。

（1）设备梳理

企业内部设备数量繁多，所以需要进行合理分类，做到单独考量。在梳理之后，企业可基于设备调整监测维度与模式，保证监测的效果。分类方法通常包括基于监测对象、设备反馈机制、层级和区域监测四类。按照监测对象划分，包括流量监测设备、日志收集设备和行为监测设备；按照设备反馈机制划分，包括主动监测设备和被动监测设备；按照层级划分，包括应用层监测设备和网络层监测设备；按照监测区域划分，包括DMZ区监测设备、办公区监测设备以及服务区监测设备。

（2）策略调整

在攻防演练模拟中，攻击方通常会通过扫描与漏洞利用技术展现信息搜集和脆弱性扫描，攻击行为明显。因此，所有参演单位都需要贯彻“策略从严，突出攻击告警”的原则，调整设备部署策略。

（3）评估工作量

工作量评估直接决定参与人数和成本投入，具体包括外网暴露面与内网联通复杂度两类因素。外网暴露面指的是网络暴露面，也是攻击方快速占领据点的首个“战场”。通过梳理暴露面的颗粒度，快速找到对应的端口。在这一过程中，监测人员应当在设备上予以确认，以防忽略相关域名和IP地址。内网联通复杂度指的是各个单位、总部以及成员单位的联通水平，同时还包含企业应用VPN拨入内网的状况。针对内网联通展开梳理，能够对攻击路径的研判带来帮助，特别是使用VPN访问内网的状况。在这一过程中，监测人员需要将未知单位、VPN进入内网的边界全部标注出来，并严格监测其位置。而伴随联通边界数量的增加，联通复杂性程度也会随之提升，使得监测任务变得更为复杂。评估结束后，监测人员需要对工作量进行量化处理，并记录在表格中，从而明确本次演练参与的人员总数和投入总资源。

（4）确定监测资产

在攻防演练过程中，对目标系统的保护是重点工作。此外，监测人员还要监测服务区、网闸、证书认证中心、域控制器以及堡垒机。由于任务繁重，参演单位应按照资产的重要性进行排序，将工作重心放在重点资产方面。通常而言，目标系统、域控、邮件系统、VPN属于高优先级；证书认证中心、集中管理平台、云桌面属于中优先级；重要应用服务器、网闸属于低优先级。

（5）攻击路径研判

攻击路径研判主要从研究早期网络安全事件以及分析数据流向两个层面切入，以此评估攻击方可能选择的攻击路径。不仅如此，部分具备攻击经验的监测人员应当转换个人思路，从攻击方的角度思考问题，研究可能出现的问题，提前做好准备。

（6）演练模拟

在攻防演练正式开始的前1~2个星期需要进行演练模拟，由企业安全管理部门牵头组织，邀请网络技术水平突出的单位作为攻击团队，对目标系统展开模拟攻击，主要包括流程监测、误报排除以及制定报告。通过多次演练后，可以有效防止演练过程出现监测流程不顺、报告信息规范性不足等问题。

（1）监测目标

在演练过程中，为了防止安全监测不规范，所有参演单位都需要注重两个方面：一是对安全设备做到全覆盖告警，并在第一时间通报；二是深入分析重点资产流量、日志及告警信息。

（2）监测管理

监测工作需要通过团队模式展开。为了保证所有成员都能全心付出，必须强化管理。量化管理主要包括明确设备巡查表以及监测报告，以两类指标作为基础，对负责该任务的监测人员进行考核，根据指标信息确定攻击态势。质量管理利用轮岗监测，防止产生疲劳监测问题，保证告警没有任何遗漏，并利用人员定责的方式明确所有人员负责的区域，为报告研判提供帮助。

（3）情报利用

在攻防演练过程中经常会有大量情报，主要包括漏洞情报和态势情报。漏洞情报的等级和监控资产一致，若有特殊情况，必须展开验证。通过利用该情报，监测团队可以根据信息快速投入监测工作中，保证监测的针对性；态势情报是攻击方的攻击信息，需要和监测团队的监测态势对比验证，若存在差异，应当将监测团队的结果作为准确结论。在监测过程中，团队需要基于情报类型的差异调整方针，保证监测效果。

（4）团队交流

攻防演练属于团队协作，监测团队站在演练第一线，必须与其他团队时刻保持联系，重点明确资产架构和业务状况，从而降低误报概率，并及时确定异常。

（5）寻找异常

在攻防演练过程中，寻找异常主要通过设备告警和流量审计实现。此外，参演单位还可根据现有工作状况，参照访问控制寻找异常、网络内新增文件审计与利用威胁情报等模式实施。

①利用访问控制寻找异常。若条件符合要求，参演单位可以针对各个应用设置较为严格访问条件，只能让少数IP访问。在攻防演练过程中，若有任何非法IP进入，并有双向流量产生，可以立即评估为异常。

②新增文件审计。当监测网络中有新增文件出现，必须进行审计，针对内容与类型展开研判，快速找到其中的Webshell文件，以此展开处理。但如果文件包含木马病毒，该方法无法找出。

③利用威胁情报。根据获得的威胁情报可以迅速找到网络一侧的黑IP、恶意域名，并明确其威胁。

④网络边界设备HTTP协议审计。监测人员对HTTP协议展开利用，可以迅速找到此刻正准备突破边界的0day漏洞攻击向量，并及时采取应对措施。

攻防演练全部结束后，参演单位应及时复盘，做好总结工作。针对演练过程中出现的所有安全事件，快速找到盲点和盲区，采取针对性监测补偿方案，建立对应的监测规划，逐步提升安全防护水平。

综上所述，网络安全的本质是对抗，而对抗是攻防两端力量的对比。在未来，各企业应提高对网络安全攻防演练的重视度，以此检验内部安全防护和应急处理水平，提高自身网络系统的安全能力，为企业的全面发展提供帮助。 

来源：《网络安全和信息化》杂志

作者：高原

（本文不涉密）