攻防演練中網絡安全監測研究

李 東 蔡良飛

(核工業計算機應用研究所網絡安全研究室 北京 100048) (北京中核華輝科技發展有限公司 北京 100048)

網絡安全實戰攻防演練(以下簡稱“攻防演練”)是以獲取指定目標系統(標靶系統)的管理權限為目標的攻防演練，由攻防領域經驗豐富的紅隊專家組成攻擊方，在保障系統穩定運行的前提下，采用“不限攻擊路徑，不限攻擊手段”的貼合實戰方式，形成“有組織”的網絡攻擊行動[1].攻防演練通常是在真實網路環境下對參演單位目標系統進行全程可控、可審計的實戰攻擊，擬通過演練檢驗參演單位的安全防護和應急處置能力，提高網絡安全的綜合防控能力.

1 攻防演練中網絡安全監測的作用

網絡安全防護工作的目的是“對外監測抵御網絡攻擊，對內發現漏洞及時修補”.攻防演練不同于傳統應急演練，屬于非對稱對抗方式，攻擊方在不影響參演單位業務的前提下，將完全采用黑客的思路，高強度、高水平地發起網絡攻擊.因此在攻防演練的防守工作中，及時發現攻擊是至關重要的第1步.參演單位的快速應急響應能力是這場戰役中的重要因素.參演單位不僅需要發揮已有的監測水平，更要在攻防演練期間，跟上攻擊方技術手段的變化，將已知的風險點，轉化為網絡安全監測能力.綜上所述，網絡安全監測的重要作用主要體現在以下2點：

1)網絡安全監測能力的缺失，將會導致無法發現網絡攻擊，自然也不會有應急響應，也就失去了參加攻防演練的意義.

2)監測能力弱，即防守隊的監測能力不能跟上攻擊方的技術能力，會導致“無感知”的后果，很可能參演的防守方單位在沒有任何預警的情況下就遭到淘汰.

從這2點可以看出，在攻防演練中，網絡安全監測扮演著“哨兵”的角色.

2 攻防演練中網絡安全監測工作

2.1 準備階段

所謂“不打無準備之仗”，準備階段決定著防守方在攻防演練中能否取得比較好的成績.

在準備階段，參演單位應完成梳理網絡安全監測設備、監測設備策略調優、評估網絡安全監測工作量、確定重點監測資產、攻擊路徑研判、駐場監測人員培訓和模擬演練7項工作.

2.1.1 梳理網絡安全監測設備

子曰：“工欲善其事，必先利其器”.目前，絕大部分單位的網絡安全監測工作依舊十分依賴網絡安全監測設備.因此充分了解和靈活使用網絡安全監測設備是做好網絡安全監測工作的必要條件.

鑒于每個單位都會購置眾多網絡安全監測產品，建議將網絡安全監測產品進行分類考量，該項工作旨在協助網絡安全監測團隊更好認識本單位的網絡安全監測產品，調整網絡安全監測的維度和方式，清醒地認知自身網絡安全監測的能力，進一步推動網絡安全監測工作.分類方式可以從以下幾個方面著手：

1)按照安全監測設備監測對象分類；

2)按照安全設備反饋機制分類；

3)按照安全設備分層或者監測區域分類.

具體分類如表1所示：

以安全監測設備監測對象分類舉例.監測對象可分為流量監測類、日志收集類和行為監測類3類：

1)流量監測類

該類產品是使用最廣泛的一類網絡安全監測產品，包括Web應用防火墻、入侵防御系統、入侵檢測系統[2]、威脅溯源系統、高級威脅檢測系統檢測和全流量監測產品.這類產品大多數是旁路部署，其輸入是網絡流量，輸出是告警.告警規則大多數是自動更新，少部分是手動更新.因為流量監測類產品部署靈活，誤報率較高，建議出現告警時需要進一步研判.

2)日志收集類

該類產品包括網絡安全管理平臺[3]或者態勢感知平臺等.在實際工作中，這類產品收集日志范圍根據企業需求不同而不同.大致包括主機及服務器運行狀態、告警信息、攻擊IP的統計信息和攻擊態勢等信息.

3)行為監測類

該類產品包括蜜罐[4]和基于流量的網絡行為監測告警系統.這類安全產品可作為流量監測類安全產品的補充工具，負責監測攻擊方突破邊界后橫向移動階段的行為.

以如下場景為例，當攻擊者使用0day漏洞[5]穿越邊界時，部署在邊界的流量監測類安全產品一般不會告警，而攻擊者突破邊界時產生的日志還淹沒在海量日志中，而此時只要攻擊者發動進一步的攻擊行為，防守方便可以從行為監測類產品告警中識別到.

2.1.2 網絡安全監測設備策略調優

在攻防演練中，攻擊方一般會使用掃描和漏洞利用的技術手段進行信息收集和脆弱性掃描，攻擊行為比較明顯.所以，參演單位應按照“策略從嚴，突出攻擊告警”的原則，對部署在網絡邊界的網絡安全監測設備策略進行進一步的優化.

2.1.3 評估網絡安全監測工作量

網絡安全監測工作量評估主要關系到參演人員的投入和參演單位的投入成本，其存在2個影響因素，分別是外網暴露面和內網聯通復雜度.

外網暴露面是指互聯網暴露面，是攻擊方建立據點的第一戰場.梳理互聯網暴露面的顆粒度越小越好，最好精確到端口.在梳理互聯網暴露面的過程中，應在相關網絡設備上進行確認，以免遺漏域名或者IP.

內網通聯復雜度是指各單位間、總部和成員單位間的通聯情況以及企業使用VPN撥入內網的情況[6].

梳理內網通聯情況對研判可能的攻擊路徑至關重要，尤其是VPN撥入內網訪問重要應用的情景.在梳理內網通聯情況時，需標注其他單位進入本企業內網的邊界和VPN進入內網的邊界，這些位置應重點監測.而這樣的通聯邊界越多，內網通聯性越復雜，監測工作量就越大.

評估完成后，可將網絡安全監測工作量進行量化，并分配到人員，以表格形式進行記錄，從而確定參加本次演練的網絡安全人員數量和參演單位投入的資源.

2.1.4 確定重點監測資產

在攻防演練中，目標系統的防護是重中之重，除此之外，還應重點監測重點數據服務器、高權重服務器,以及網閘、證書認證中心、域控制器[7]和堡壘機等.建議參演單位對重點監測資產進行監測優先級排序(如表2所示)，將有限的資源用在重點資產監測上，此外，應尤其重點關注本單位的郵件系統.

表2 重點監測資產表

2.1.5 攻擊路徑研判

攻擊路徑研判工作可從2方面入手：一是參考歷史網絡安全事件；二是通過分析數據流方向，包括DNS協議數據流方向、出網和入網數據流方向等，研判攻擊隊可能的攻擊路徑.同時，建議具備滲透及攻擊方經驗網絡安全監測人員，以攻擊者的視角對攻擊路徑進行演練，進而切實提升安全水位，防止一道防線被突破滿盤皆輸.

2.1.6 駐場監測人員培訓

完成以上工作后，即可安排駐場的網絡安全監測人員駐場，并進行培訓，幫助駐場的網絡安全監測人員更快、更好地融入網絡安全監測環境，并且能夠深刻了解監測對象在整體監測中的作用，培訓內容如表3所示：

表3 人員培訓內容表

2.1.7 模擬演練

模擬演練工作可在攻防演練開始前1～2周進行.內容包括演練監測流程，排除誤報和編制規范報告.通過多次模擬演練可以大概率避免正式攻防演練階段出現監測流程不暢、報告不規范等情況.

2.2 攻防演練階段

2.2.1 網絡安全監測目標

在攻防演練階段中，為避免網絡安全監測工作不落地、不規范，參演單位的網絡安全監測團隊應按照“告警全覆蓋，重點資產分析全覆蓋”原則開展網絡安全監測工作，以上原則主要包括2個方面的含義：

1)全面分析安全設備告警，并及時通報；

2)分析重點資產流量、日志和告警信息.

2.2.2 網絡安全監測管理

網絡安全監測工作需要以團隊的形式進行，這樣不可避免地需要對團隊進行管理.建議從2方面管理入手：

1)量化管理.網絡安全監測管理的量化管理包括安全設備巡查表和監測報告數量，以這2個指標為準，對網絡安全監測人員進行必要的考核.而這2個指標也可反映出攻擊態勢.

2)質量管理.常用質量管理方法包括輪崗監測和監測人員責任制.前者能夠避免監測疲勞，并且能夠防止告警遺漏；后者是指監測人員對自己負責的監測區域和設備的監測結果負責，有助于一些監測報告的研判.

2.2.3 情報的利用

攻防演練期間的情報主要包括漏洞情報和態勢情報.漏洞情報需要和監控資產進行對標，必要時可以進行驗證，利用此情報，網絡安全監測團隊可以將其轉化為監測能力.態勢情報是指攻擊方攻擊態勢的消息，態勢情報應與網絡安全監測團隊監測態勢進行對比驗證，如果有出入，應以網絡安全監測團隊的監測結果為準.

網絡安全監測團隊應根據不同的情報類型靈活應用，以達到最好的監測效果.

2.2.4 團隊溝通交流

攻防演練并非孤軍作戰，監測團隊作為攻防演練的第1線團隊，應與其他團隊保持良好溝通，重點明確資產架構情況和業務情況，從而有效的排除誤報或者確定異常.

2.2.5 發現異常的方法

攻防演練中發現異常的常規技術手段包括利用設備告警和流量審計等.除此之外，參演單位還可根據工作實際，參考訪問控制找出異常、網絡內新增文件審計和利用威脅情報等方式.具體如下：

1)利用訪問控制找出異常.條件允許的情況下，參演單位可將相關應用設置嚴格的訪問控制，只允許幾個固定IP地址訪問.因此攻防演練期間，若有其他非法IP訪問此應用并產生雙向流量，即可判斷為異常.

2)新增文件審計.對監測網絡內新增文件進行審計，通過對文件類型和內容的研判，能夠找到Webshell[8]文件，值得注意的是該方法不能找到內存木馬.

3)利用威脅情報[9].通過威脅情報找到互聯網側的黑IP、惡意域名等，進而迅速發現威脅.

4)網絡邊界設備HTTP協議審計.通過審計網絡邊界設備的HTTP協議內容，能夠發現企圖突破邊界的0day漏洞攻擊向量.

2.3 總結階段

攻防演練結束后，參演單位應進行復盤總結.針對攻防演練中出現的網絡安全事件，找到網絡安全監測盲點、盲區，實施有效的網絡安全監測補償措施，從而建立短期或者長期的網絡安全監測規劃，進一步提高安全防護能力.

3 網絡安全監測工作面臨的挑戰

兵無常勢，水無常形.縱觀整個攻防演練，網絡安全監測團隊雖然保障了攻防實戰中的系統安全，提升整體防御效果，以攻促防，持續優化.但這項工作仍面臨如下挑戰：

1)網絡安全監測的有效性.

網絡安全監測的有效性具體表現在以下2個方面，即網絡安全監測范圍是否全覆蓋、攻擊手段是否都能監測.各單位可根據資產重要性及成本考慮，參考以下措施：通過部署網絡安全監測設備達到監測范圍全覆蓋；結合單位實際情況，參考MITRE ATT&CK框架[10]等知識庫，進行內部紅藍對抗進行驗證，并將漏洞檢測規則及時更新，從而提高攻擊監測率.

2)復雜的業務數據流.

規模較大的企事業單位一般至少分為總部和成員單位2級.它們之間的業務數據流較為復雜，不僅正常業務數據會觸發告警，使用加密協議和單點登錄技術的流量也會觸發網絡安全監測設備告警.

3)加密流量的監測.

加密流量是網絡安全監測中無法避免的問題.建議可從以下2個方面判定加密流量是否為異常流量：①發現網絡連接時間頻次存在一定規律的加密流量，網絡安全監測人員需重點關注，該行為大概率為惡意回連控制服務器；②部分遠控軟件對本應不加密的協議字段進行加密處理，進而傳輸數據，比如ICMP隧道[11].利用這一點，也可以發現一些異常.

同時，網絡安全監測人員應熟悉正常業務使用的加密流量.例如HTTPS協議密鑰交換過程是否完整，加密數據正常大小的范圍等.只有網絡安全監測人員掌握這些“基本規律”，才有可能及時發現加密流量中的異常.

4)攻擊向量的混淆.

攻擊向量混淆主要指攻擊向量中Powershell腳本混淆和Webshell混淆，從而讓網絡安全監測人員誤以為是 “垃圾數據”或者“無效數據”.這無疑給網絡安全監測分析工作加大了難度，對監測人員的能力提出了更高要求.

5)疑似異常的正常訪問行為.

在日常工作中，正常業務的訪問請求有時也會觸發告警，這些設備及告警應在模擬演練時重點標注，避免誤封，同時也防止真正攻擊的疏漏.

6)安全監測設備的誤報.

由于網絡安全監測設備原理機制的原因，網絡安全監測設備的誤報無法避免.當有大量誤報時，網絡安全監測人員只能憑經驗進行排除，難度比較大.

4 總 結

本文主要介紹了網絡安全監測工作在攻防演練中的工作方法，無論是傳統的“合規防御”還是更高級的“攻防對抗”，隨著網絡安全問題不斷嚴峻，網絡安全監測工作在網絡安全防護的角色也愈加明顯.誤報、告警、漏洞等信息，在攻防演練中，無時無刻不在挑戰監測人員的經驗和知識儲備.只有堅持“所見即真實”的信條，分析研判，得出結論，再分析、再研判，攻防演練中的網絡安全監測團隊才能發揮應有的作用.