攻防演练中网络安全监测研究

李 东 蔡良飞

(核工业计算机应用研究所网络安全研究室 北京 100048) (北京中核华辉科技发展有限公司 北京 100048)

网络安全实战攻防演练(以下简称“攻防演练”)是以获取指定目标系统(标靶系统)的管理权限为目标的攻防演练，由攻防领域经验丰富的红队专家组成攻击方，在保障系统稳定运行的前提下，采用“不限攻击路径，不限攻击手段”的贴合实战方式，形成“有组织”的网络攻击行动[1].攻防演练通常是在真实网路环境下对参演单位目标系统进行全程可控、可审计的实战攻击，拟通过演练检验参演单位的安全防护和应急处置能力，提高网络安全的综合防控能力.

1 攻防演练中网络安全监测的作用

网络安全防护工作的目的是“对外监测抵御网络攻击，对内发现漏洞及时修补”.攻防演练不同于传统应急演练，属于非对称对抗方式，攻击方在不影响参演单位业务的前提下，将完全采用黑客的思路，高强度、高水平地发起网络攻击.因此在攻防演练的防守工作中，及时发现攻击是至关重要的第1步.参演单位的快速应急响应能力是这场战役中的重要因素.参演单位不仅需要发挥已有的监测水平，更要在攻防演练期间，跟上攻击方技术手段的变化，将已知的风险点，转化为网络安全监测能力.综上所述，网络安全监测的重要作用主要体现在以下2点：

1)网络安全监测能力的缺失，将会导致无法发现网络攻击，自然也不会有应急响应，也就失去了参加攻防演练的意义.

2)监测能力弱，即防守队的监测能力不能跟上攻击方的技术能力，会导致“无感知”的后果，很可能参演的防守方单位在没有任何预警的情况下就遭到淘汰.

从这2点可以看出，在攻防演练中，网络安全监测扮演着“哨兵”的角色.

2 攻防演练中网络安全监测工作

2.1 准备阶段

所谓“不打无准备之仗”，准备阶段决定着防守方在攻防演练中能否取得比较好的成绩.

在准备阶段，参演单位应完成梳理网络安全监测设备、监测设备策略调优、评估网络安全监测工作量、确定重点监测资产、攻击路径研判、驻场监测人员培训和模拟演练7项工作.

2.1.1 梳理网络安全监测设备

子曰：“工欲善其事，必先利其器”.目前，绝大部分单位的网络安全监测工作依旧十分依赖网络安全监测设备.因此充分了解和灵活使用网络安全监测设备是做好网络安全监测工作的必要条件.

鉴于每个单位都会购置众多网络安全监测产品，建议将网络安全监测产品进行分类考量，该项工作旨在协助网络安全监测团队更好认识本单位的网络安全监测产品，调整网络安全监测的维度和方式，清醒地认知自身网络安全监测的能力，进一步推动网络安全监测工作.分类方式可以从以下几个方面着手：

1)按照安全监测设备监测对象分类；

2)按照安全设备反馈机制分类；

3)按照安全设备分层或者监测区域分类.

具体分类如表1所示：

以安全监测设备监测对象分类举例.监测对象可分为流量监测类、日志收集类和行为监测类3类：

1)流量监测类

该类产品是使用最广泛的一类网络安全监测产品，包括Web应用防火墙、入侵防御系统、入侵检测系统[2]、威胁溯源系统、高级威胁检测系统检测和全流量监测产品.这类产品大多数是旁路部署，其输入是网络流量，输出是告警.告警规则大多数是自动更新，少部分是手动更新.因为流量监测类产品部署灵活，误报率较高，建议出现告警时需要进一步研判.

2)日志收集类

该类产品包括网络安全管理平台[3]或者态势感知平台等.在实际工作中，这类产品收集日志范围根据企业需求不同而不同.大致包括主机及服务器运行状态、告警信息、攻击IP的统计信息和攻击态势等信息.

3)行为监测类

该类产品包括蜜罐[4]和基于流量的网络行为监测告警系统.这类安全产品可作为流量监测类安全产品的补充工具，负责监测攻击方突破边界后横向移动阶段的行为.

以如下场景为例，当攻击者使用0day漏洞[5]穿越边界时，部署在边界的流量监测类安全产品一般不会告警，而攻击者突破边界时产生的日志还淹没在海量日志中，而此时只要攻击者发动进一步的攻击行为，防守方便可以从行为监测类产品告警中识别到.

2.1.2 网络安全监测设备策略调优

在攻防演练中，攻击方一般会使用扫描和漏洞利用的技术手段进行信息收集和脆弱性扫描，攻击行为比较明显.所以，参演单位应按照“策略从严，突出攻击告警”的原则，对部署在网络边界的网络安全监测设备策略进行进一步的优化.

2.1.3 评估网络安全监测工作量

网络安全监测工作量评估主要关系到参演人员的投入和参演单位的投入成本，其存在2个影响因素，分别是外网暴露面和内网联通复杂度.

外网暴露面是指互联网暴露面，是攻击方建立据点的第一战场.梳理互联网暴露面的颗粒度越小越好，最好精确到端口.在梳理互联网暴露面的过程中，应在相关网络设备上进行确认，以免遗漏域名或者IP.

内网通联复杂度是指各单位间、总部和成员单位间的通联情况以及企业使用VPN拨入内网的情况[6].

梳理内网通联情况对研判可能的攻击路径至关重要，尤其是VPN拨入内网访问重要应用的情景.在梳理内网通联情况时，需标注其他单位进入本企业内网的边界和VPN进入内网的边界，这些位置应重点监测.而这样的通联边界越多，内网通联性越复杂，监测工作量就越大.

评估完成后，可将网络安全监测工作量进行量化，并分配到人员，以表格形式进行记录，从而确定参加本次演练的网络安全人员数量和参演单位投入的资源.

2.1.4 确定重点监测资产

在攻防演练中，目标系统的防护是重中之重，除此之外，还应重点监测重点数据服务器、高权重服务器,以及网闸、证书认证中心、域控制器[7]和堡垒机等.建议参演单位对重点监测资产进行监测优先级排序(如表2所示)，将有限的资源用在重点资产监测上，此外，应尤其重点关注本单位的邮件系统.

表2 重点监测资产表

2.1.5 攻击路径研判

攻击路径研判工作可从2方面入手：一是参考历史网络安全事件；二是通过分析数据流方向，包括DNS协议数据流方向、出网和入网数据流方向等，研判攻击队可能的攻击路径.同时，建议具备渗透及攻击方经验网络安全监测人员，以攻击者的视角对攻击路径进行演练，进而切实提升安全水位，防止一道防线被突破满盘皆输.

2.1.6 驻场监测人员培训

完成以上工作后，即可安排驻场的网络安全监测人员驻场，并进行培训，帮助驻场的网络安全监测人员更快、更好地融入网络安全监测环境，并且能够深刻了解监测对象在整体监测中的作用，培训内容如表3所示：

表3 人员培训内容表

2.1.7 模拟演练

模拟演练工作可在攻防演练开始前1～2周进行.内容包括演练监测流程，排除误报和编制规范报告.通过多次模拟演练可以大概率避免正式攻防演练阶段出现监测流程不畅、报告不规范等情况.

2.2 攻防演练阶段

2.2.1 网络安全监测目标

在攻防演练阶段中，为避免网络安全监测工作不落地、不规范，参演单位的网络安全监测团队应按照“告警全覆盖，重点资产分析全覆盖”原则开展网络安全监测工作，以上原则主要包括2个方面的含义：

1)全面分析安全设备告警，并及时通报；

2)分析重点资产流量、日志和告警信息.

2.2.2 网络安全监测管理

网络安全监测工作需要以团队的形式进行，这样不可避免地需要对团队进行管理.建议从2方面管理入手：

1)量化管理.网络安全监测管理的量化管理包括安全设备巡查表和监测报告数量，以这2个指标为准，对网络安全监测人员进行必要的考核.而这2个指标也可反映出攻击态势.

2)质量管理.常用质量管理方法包括轮岗监测和监测人员责任制.前者能够避免监测疲劳，并且能够防止告警遗漏；后者是指监测人员对自己负责的监测区域和设备的监测结果负责，有助于一些监测报告的研判.

2.2.3 情报的利用

攻防演练期间的情报主要包括漏洞情报和态势情报.漏洞情报需要和监控资产进行对标，必要时可以进行验证，利用此情报，网络安全监测团队可以将其转化为监测能力.态势情报是指攻击方攻击态势的消息，态势情报应与网络安全监测团队监测态势进行对比验证，如果有出入，应以网络安全监测团队的监测结果为准.

网络安全监测团队应根据不同的情报类型灵活应用，以达到最好的监测效果.

2.2.4 团队沟通交流

攻防演练并非孤军作战，监测团队作为攻防演练的第1线团队，应与其他团队保持良好沟通，重点明确资产架构情况和业务情况，从而有效的排除误报或者确定异常.

2.2.5 发现异常的方法

攻防演练中发现异常的常规技术手段包括利用设备告警和流量审计等.除此之外，参演单位还可根据工作实际，参考访问控制找出异常、网络内新增文件审计和利用威胁情报等方式.具体如下：

1)利用访问控制找出异常.条件允许的情况下，参演单位可将相关应用设置严格的访问控制，只允许几个固定IP地址访问.因此攻防演练期间，若有其他非法IP访问此应用并产生双向流量，即可判断为异常.

2)新增文件审计.对监测网络内新增文件进行审计，通过对文件类型和内容的研判，能够找到Webshell[8]文件，值得注意的是该方法不能找到内存木马.

3)利用威胁情报[9].通过威胁情报找到互联网侧的黑IP、恶意域名等，进而迅速发现威胁.

4)网络边界设备HTTP协议审计.通过审计网络边界设备的HTTP协议内容，能够发现企图突破边界的0day漏洞攻击向量.

2.3 总结阶段

攻防演练结束后，参演单位应进行复盘总结.针对攻防演练中出现的网络安全事件，找到网络安全监测盲点、盲区，实施有效的网络安全监测补偿措施，从而建立短期或者长期的网络安全监测规划，进一步提高安全防护能力.

3 网络安全监测工作面临的挑战

兵无常势，水无常形.纵观整个攻防演练，网络安全监测团队虽然保障了攻防实战中的系统安全，提升整体防御效果，以攻促防，持续优化.但这项工作仍面临如下挑战：

1)网络安全监测的有效性.

网络安全监测的有效性具体表现在以下2个方面，即网络安全监测范围是否全覆盖、攻击手段是否都能监测.各单位可根据资产重要性及成本考虑，参考以下措施：通过部署网络安全监测设备达到监测范围全覆盖；结合单位实际情况，参考MITRE ATT&CK框架[10]等知识库，进行内部红蓝对抗进行验证，并将漏洞检测规则及时更新，从而提高攻击监测率.

2)复杂的业务数据流.

规模较大的企事业单位一般至少分为总部和成员单位2级.它们之间的业务数据流较为复杂，不仅正常业务数据会触发告警，使用加密协议和单点登录技术的流量也会触发网络安全监测设备告警.

3)加密流量的监测.

加密流量是网络安全监测中无法避免的问题.建议可从以下2个方面判定加密流量是否为异常流量：①发现网络连接时间频次存在一定规律的加密流量，网络安全监测人员需重点关注，该行为大概率为恶意回连控制服务器；②部分远控软件对本应不加密的协议字段进行加密处理，进而传输数据，比如ICMP隧道[11].利用这一点，也可以发现一些异常.

同时，网络安全监测人员应熟悉正常业务使用的加密流量.例如HTTPS协议密钥交换过程是否完整，加密数据正常大小的范围等.只有网络安全监测人员掌握这些“基本规律”，才有可能及时发现加密流量中的异常.

4)攻击向量的混淆.

攻击向量混淆主要指攻击向量中Powershell脚本混淆和Webshell混淆，从而让网络安全监测人员误以为是 “垃圾数据”或者“无效数据”.这无疑给网络安全监测分析工作加大了难度，对监测人员的能力提出了更高要求.

5)疑似异常的正常访问行为.

在日常工作中，正常业务的访问请求有时也会触发告警，这些设备及告警应在模拟演练时重点标注，避免误封，同时也防止真正攻击的疏漏.

6)安全监测设备的误报.

由于网络安全监测设备原理机制的原因，网络安全监测设备的误报无法避免.当有大量误报时，网络安全监测人员只能凭经验进行排除，难度比较大.

4 总 结

本文主要介绍了网络安全监测工作在攻防演练中的工作方法，无论是传统的“合规防御”还是更高级的“攻防对抗”，随着网络安全问题不断严峻，网络安全监测工作在网络安全防护的角色也愈加明显.误报、告警、漏洞等信息，在攻防演练中，无时无刻不在挑战监测人员的经验和知识储备.只有坚持“所见即真实”的信条，分析研判，得出结论，再分析、再研判，攻防演练中的网络安全监测团队才能发挥应有的作用.