隨著物聯(lián)網(wǎng)、工業(yè)智能制造、大數(shù)據(jù)、云平臺等網(wǎng)絡技術的不斷發(fā)展，各個系統(tǒng)領域被發(fā)現(xiàn)的安全威脅越來越多。病毒入侵、數(shù)據(jù)竊取、網(wǎng)絡攻擊等安全事件時常發(fā)生，網(wǎng)絡空間已然成為各國爭奪的重要戰(zhàn)略空間。為應對網(wǎng)絡安全威脅，嚴守“關基”網(wǎng)絡安全底線，我國公安部自2016年開始組織多家機構(gòu)，對國內(nèi)基礎設施系統(tǒng)按照網(wǎng)絡安全要求，全面深入排查重點單位安全隱患，檢驗各單位網(wǎng)絡安全防護能力。隨著HW系統(tǒng)開展涉及的行業(yè)更多、范圍更廣，“HW行動”作為我國關鍵資產(chǎn)網(wǎng)絡安全風險應對的重要措施，各單位企業(yè)積極參與完成國家安全要求及自身安全建設成為了必須完成的基礎工作。

　　攻擊方思路分析

　　攻擊方采用滲透測試手段完全模擬黑客可能使用的攻擊技術和漏洞發(fā)現(xiàn)技術，對目標系統(tǒng)的安全做深入的探測，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)，獲取目標權(quán)限。各隊采用APT攻擊手段在短時間內(nèi)根據(jù)攻擊檢測目標及在信息收集階段通過資產(chǎn)指紋掃描、漏洞掃描、端口掃描等手段收集到的各種問題進行匯總分析對目標進行攻擊滲透。常見手段如下圖所示：

　　隨著護網(wǎng)中防護的發(fā)展攻擊方也在逐漸的改變常規(guī)思路，在攻防對立中尋求突破，攻擊過程中遇到的場景問題如下。

　　攻擊方由于目標明確，且攻擊周期較短，往往采用自動化掃描進行快速的獲取目標相關信息，在此過程中容易被監(jiān)測發(fā)現(xiàn)進行針對性封鎖與反制。

　　目標方針對性臨時管理外部接口服務，防守方在HW前臨時關閉大量外部常用服務，HW期間部分單位采用斷網(wǎng)、斷電行為無法監(jiān)測，導致目標量減少。

　　終端監(jiān)測及郵箱監(jiān)測加強，病毒查殺、準入模式及沙箱的部署，致使webshell植入、木馬植入、水坑、魚叉攻擊成功率較低。

　　內(nèi)外網(wǎng)蜜罐誘捕系統(tǒng)的部署導致攻擊方易被捕獲。

　　攻擊突破方式

　　通過安全掃描搜索引擎、利用分布式掃描源迷惑目標監(jiān)測系統(tǒng)、分布式掃描形式快速獲取目標資產(chǎn)信息，根據(jù)指紋信息進行逐步分析。

　　針對通用性系統(tǒng)如OA、CMS、堡壘機、安防設備進行分析獲取相同版本0day漏洞存儲，根據(jù)指紋進行針對性漏洞利用。

　　Webshell、木馬程序免殺制作，通過rce直接執(zhí)行powershell、反彈執(zhí)行控制權(quán)。

　　利用搜索引擎及開源源碼托管平臺進行獲取用戶信息、源碼信息等內(nèi)容。

　　多方了解不同業(yè)務內(nèi)網(wǎng)構(gòu)成，熟悉業(yè)務情況，精準捕獲核心數(shù)據(jù)。

　　防護思路分析

　　各單位防守方依據(jù)HW行動時間軸可分為四大階段，分別為備戰(zhàn)階段、臨戰(zhàn)階段、決戰(zhàn)階段、戰(zhàn)后總結(jié)進行安全防護與應急。

　　備戰(zhàn)階段目標單位對安全現(xiàn)狀排查，進行資產(chǎn)梳理、針對性風險評估、自查自糾、開展安全培訓、建立安全防護體系；臨戰(zhàn)階段按照HW整體模式開展資產(chǎn)巡查、滲透測試、制定應急預案、開展實戰(zhàn)應急演練、依據(jù)內(nèi)外網(wǎng)檢測結(jié)果進行系統(tǒng)加固及應急優(yōu)化；決戰(zhàn)階段依據(jù)建立的安全防護應急隊伍主要工作是完成了前期的準備工作后的值守，進行7*24小時現(xiàn)場值守，實時監(jiān)控安全態(tài)勢，并對安全事件進行應急響應確保整個重大活動期間的安全保障，包含依據(jù)安全審計防護設備告警信息進行實時監(jiān)控與上報、實時監(jiān)測重點系統(tǒng)的風險及安全隱患第一時間進行應急處置、現(xiàn)場依據(jù)策略調(diào)整進行處理突發(fā)事件、針對產(chǎn)生的安全事件進行應急溯源分析等；戰(zhàn)后總結(jié)對本次護網(wǎng)的工作成果及不足進行討論總結(jié)，并根據(jù)經(jīng)驗持續(xù)改進優(yōu)化網(wǎng)絡安全整體建設，網(wǎng)絡安全防護整體流程如圖所示：

　　在攻防博弈過程中，隨著攻擊手段的不斷發(fā)展及網(wǎng)絡運營需求，防護的脆弱性仍然無法消除，每年仍存在大量的目標淪陷的情況。其主要原因如下：

　　整體網(wǎng)絡安全建設薄弱，眾多企業(yè)邊界在前期網(wǎng)絡安全建設中為了系統(tǒng)高效運行，弱化安全防護手段，往往只在邊界部署防火墻設備進行相關防護，防護效果甚微。

　　安全意識淡薄，沒有形成主動防范、積極應對的全民意識，測試系統(tǒng)、默認口令、用戶弱口令、信息保護不足等問題導致安全事件產(chǎn)生。

　　過度依賴安全防護類產(chǎn)品，大量企業(yè)采購各類防護產(chǎn)品，但策略配置不當、0day無法監(jiān)測、供應產(chǎn)品自身漏洞問題致使安全事件產(chǎn)生。

　　資產(chǎn)排查存在遺漏，部分外部資產(chǎn)、待下線系統(tǒng)責任不明確，導致不在監(jiān)測范圍內(nèi)。

　　事前加固及處置排查能力有限，因服務人員能力、相關經(jīng)驗不足、時間限制等無法全面排查安全風險及針對事件進行快速的應急處置。