相比較以前，今年的網(wǎng)絡攻防演練專項行動比之前，來的更猛烈些。

從2016年的僅公安部、民航局、國家電網(wǎng)三個事業(yè)單位的參與到2019年，工信、安全、武警、交通、鐵路、民航、能源、新聞廣電、電信運營商等30多個行業(yè)118家單位。而今年是否會擴展到幾百家，我們不得而知。

2016年《網(wǎng)絡安全法》頒布后，“網(wǎng)絡攻防演練專項行動”已成為一年一度的慣例。不僅僅是涉及范圍越來越廣，網(wǎng)絡安全形勢的愈發(fā)嚴峻也加大了業(yè)內(nèi)對網(wǎng)絡攻防演練專項行動的關(guān)注。大數(shù)據(jù)、物聯(lián)網(wǎng)、云計算的快速崛起，以及5G的到來，網(wǎng)絡威脅已經(jīng)成為國家安全的新挑戰(zhàn)。“網(wǎng)絡安全的本質(zhì)是對抗，對抗的本質(zhì)是攻防兩端能力的較量 ”。在網(wǎng)絡空間對抗中如何實現(xiàn)如同軍事演習的攻防演練目的，各單位如何做到與攻擊方的斗智斗勇，更是今年新形勢下網(wǎng)絡攻防演練專項行動的又一次看點。

2020網(wǎng)絡攻防演練專項行動，從新出發(fā)

今年網(wǎng)絡攻防演練專項行動在即，相信不少的企業(yè)或單位已早早做好準備了，經(jīng)過演練行動，保障企業(yè)通過網(wǎng)絡攻防演練專項行動的同時提升企業(yè)自身的網(wǎng)絡安全防護能力。

企業(yè)網(wǎng)絡攻防演練專項行動的3個階段

縱觀2019年的網(wǎng)絡攻防演練專項行動，得分是一個很重要的規(guī)則。由于在攻擊過程中，攻擊方會采用多種方式進攻來獲取分數(shù)，在多面的復雜攻擊中，應急處理流程，發(fā)現(xiàn)威脅，消除威脅，網(wǎng)絡側(cè)的安全防護方式等都是企業(yè)所要加強的。今年的網(wǎng)絡攻防演練專項行動相比較去年又會有哪些相同和不同呢？

今年來看，網(wǎng)絡攻防演練專項行動的架構(gòu)、時間、節(jié)奏，行動流程（從攻到防），業(yè)務、網(wǎng)絡、設(shè)備環(huán)境大體上變化不大。從攻擊方來看，從內(nèi)部突破概率可能增加；從防守方來看，由于網(wǎng)絡攻防演練專項行動范圍擴大，可用的安全支撐人員相對減少，這一點從去年的相關(guān)報道中就可看到，招聘安全人員的日薪從1.5k-12k，時長為1個月-3個月，真是令人眼紅。安全人才的稀缺對防守方來說也是不得不考慮的問題。

以史為鑒，聯(lián)軟總結(jié)出幾點有效經(jīng)驗和常見誤區(qū)，供大家做參考：

·高誤報率影響分析判斷

·端點安全通常為全網(wǎng)架構(gòu)中的短板

·缺乏全網(wǎng)資產(chǎn)梳理，邊緣資產(chǎn)帶來高危風險暴露面

·網(wǎng)絡權(quán)限缺少全生命周期管理

·信息安全團隊人力資源不足

·企業(yè)大部分企業(yè)人員不足

·紅方的攻擊從信息收集開始，而非網(wǎng)絡攻防演練專項行動攻擊啟動節(jié)點開始

·互聯(lián)網(wǎng)信息中的敏感信息必須關(guān)注，避免留下可被攻擊的信息（如 VPN賬號、郵箱等關(guān)鍵信息）

面對網(wǎng)絡攻防演練專項行動的經(jīng)驗、常見誤區(qū)及可能發(fā)生的變化，企業(yè)更應該思考以下幾點：

? 如何實現(xiàn)常態(tài)化網(wǎng)絡防護，而非戰(zhàn)時突擊？

? 以前重建設(shè)，輕規(guī)劃、輕運營，未來如何平衡各方面的投入？

? 往年網(wǎng)絡攻防演練專項行動中，面對投入比產(chǎn)出高的情況，如何將高性價比的產(chǎn)品快速落地?

? 疫情誕生的遠程辦公需求，增加了風險暴露面，如何保障安全？

演練開戰(zhàn)在即，安全工作如何聚焦，快速落地？

不知攻，焉知防？在傳統(tǒng)的攻擊鏈模型中，一個完整的攻擊從偵查到基于目標操作分7個階段，每個階段對于攻擊方都有不同的方式，如何防護和打破攻擊鏈條，就需要建立縱深防御體系，在每個層面都能有效打破攻擊鏈，每個層級用相對應的產(chǎn)品解決問題。

攻擊鏈模型

縱深防御體系的7個層面

面對迫在眉睫的2020年攻防演練行動，如何在最短的時間落實網(wǎng)絡防護方案恐怕是大多數(shù)企業(yè)關(guān)心的。從去年的網(wǎng)絡攻防演練專項行動中，大部分攻擊方滲透內(nèi)網(wǎng)后，優(yōu)先拿高價值目標，如AD、郵箱等。聯(lián)軟建議安全工作更需要聚焦在高價值數(shù)據(jù)、重要目標/系統(tǒng)、高價值終端/人員等身上，從這3個重點快速突破，避免系統(tǒng)失陷引起的丟分，并通過發(fā)現(xiàn)攻擊、消除威脅配合應急處置爭取在演練行動中得分。

圍繞上述3個點，聯(lián)軟提出了從攻擊面分析、縱深防護、分析監(jiān)控、應急響應等4個方面建立2020網(wǎng)絡攻防演練專項行動整體方案：

（1）攻擊面分析是基礎(chǔ)工作，對于企業(yè)用戶來講，資產(chǎn)是否清晰是安全防護體系建立的基礎(chǔ)；

（2）在縱深防護方面，聯(lián)軟能幫助企業(yè)做到接入、端點和關(guān)鍵點防護；

（3）分析監(jiān)控方面，EDR幫助企業(yè)進行端點淪陷檢測，做到安全監(jiān)控、日志分析等檢測監(jiān)控工作；

（4）應急響應層面，加強企業(yè)安全事件響應和處置，方便事件取證和溯源。

這4個方面貫穿整個企業(yè)攻防演練行動的臨戰(zhàn)和備戰(zhàn)階段，助力企業(yè)用戶完成信息采集和威脅對抗等工作，以便更好地進行戰(zhàn)后復盤。

2020網(wǎng)絡攻防演練專項行動整體方案

具體方案建設(shè)：

·全網(wǎng)資產(chǎn)梳理

攻擊面/風險暴露面分析是安全工作的基礎(chǔ)，聯(lián)軟通過全網(wǎng)信息及持續(xù)監(jiān)測的資產(chǎn)梳理，覆蓋全網(wǎng)空間的資產(chǎn)探測及暴露面檢測，建立全網(wǎng)空間數(shù)字資產(chǎn)檔案庫。

·安全接入

前面我們提到，在攻防演練行動中，有些企業(yè)實行戰(zhàn)時突擊，往往會采用關(guān)閉端口的方式來減少攻擊面，這可能會在一定程度上影響企業(yè)業(yè)務的開展。聯(lián)軟基于Zero Trust理念的SDP安全架構(gòu)，通過分離訪問控制和數(shù)據(jù)信道，最小化攻擊面降低安全風險，保護關(guān)鍵資產(chǎn)和基礎(chǔ)架構(gòu)，從而阻止?jié)撛诘幕诰W(wǎng)絡的攻擊，保障企業(yè)業(yè)務安全接入；而面對今年疫情中遠程辦公需求產(chǎn)生的企業(yè)風險暴露面擴大的問題，SDP也能解決傳統(tǒng)VPN架構(gòu)的安全漏洞，使企業(yè)以更加安全便捷的方式接入網(wǎng)絡。

·端點防護

端點防護是縱深防護體系必不可少的環(huán)節(jié)，更是整個攻擊防御中的戰(zhàn)場，通過入網(wǎng)認證檢測和安全基線實現(xiàn)網(wǎng)內(nèi)端點的最小安全權(quán)限，進一步關(guān)注高價值終端/數(shù)據(jù)的監(jiān)控、防護工作，針對端點進行攻擊/淪陷檢測，及攻擊時的應急處置和定向取證。

·管理跨網(wǎng)/網(wǎng)間的文件交換

通過管控全網(wǎng)文件傳輸?shù)耐ǖ溃瑢Ω邇r值數(shù)據(jù)的移動進行監(jiān)控，補充網(wǎng)絡層文件監(jiān)控的短板。

實踐出真知，安全從來都不是泛泛之談

客觀來看，網(wǎng)絡攻防演練專項行動使得各類企業(yè)在安全建設(shè)方面的投入持續(xù)增加，從一定層面上提高了企業(yè)的安全防護意識。作為網(wǎng)絡安全行業(yè)的綜合性廠商，聯(lián)軟助力了多家企業(yè)網(wǎng)絡攻防演練專項行動，在與企業(yè)用戶的交流和實踐過程中，雖然不同的企業(yè)關(guān)注點各有不同，但大體對于資產(chǎn)梳理、終端加固，防泄密等方面的安全建設(shè)還是得到大部分用戶的認同。目前聯(lián)軟已助力上交所、東方證券、東航等企業(yè)用戶搭建多方面安全體系，同時7x24小時全方位服務，幫助企業(yè)及時解決問題，迎接網(wǎng)絡攻防演練行動。

網(wǎng)絡安全的本質(zhì)在對抗（紅方與藍方），但攻防的力量就像我們知道的，從來都是不對等的，攻擊方優(yōu)勢遠大于防御方，而且隨著新技術(shù)、場景業(yè)務，人力有限等多因素挑戰(zhàn)，兩方的力量也在不斷變化。聯(lián)軟認為未來會有更多力量建設(shè)藍方，用更加智能高效的方式對抗越發(fā)復雜的紅方力量，聯(lián)軟也會積極成為其中的一員。2020年網(wǎng)絡攻防演練專項行動在即，我們也會持續(xù)關(guān)注，把這場實戰(zhàn)演練中的技術(shù)心得、攻防思考等第一時間與大家分享，歡迎交流。