中睿天下實戰對抗之392積極防禦體系建設

實戰對抗核心思想

2016年《網路安全法》頒佈，出臺網路安全演練相關規定：關鍵資訊基礎設施的運營者應“制定網路安全事件應急預案，並定期進行演練”。網路安全實戰化攻防演練作為國家層面促進各個行業重要資訊系統順利建設、加強關鍵資訊基礎設施網路安全防護、提升應急響應水平的關鍵工作，以實戰、對抗等方式促進網路安全保障能力提升。

網路安全的本質是對抗，對抗的本質在於攻防兩端的較量

。隨著大規模攻防演練行動的開展，網路安全技術已經趨向於實戰對抗的防護思路，網路安全建設逐漸從合規驅動型轉向實戰對抗驅動型。如何有效地實施演練，提升實戰攻防對抗演練效果，讓防守方在行動時做出更加準確的判斷成為了大量企業的關注重點。

結合實戰對抗下網路安全現狀與關鍵資訊基礎設施運營單位網路安全需求北京中睿天下資訊科技有限公司（簡稱“中睿天下”）

面向關鍵基礎設施運營單位提出實戰對抗—392積極防禦體系建設方案

，其核心思想定位為“

利用攻擊溯源技術，立足實戰對抗前沿，實現攻擊精準防護

”。

安全防護體系架構

中睿天下成立於2014年6月，成立前期公司核心成員一直從事於網路攻擊實戰對抗前沿，自成立至今始終站在攻擊者的視角，深入研究攻擊手法與攻擊工具，深度揣摩攻擊者心理，結合多年實戰攻防經驗把當下安全建設分為三大階段：

第一個階段依法合規建設

：滿足國家級監管部門安全合規、依法執行要求，保障業務基礎防禦能力。

第二個階段是積極防禦建設：

結合企業自身現狀提升安全能力建設，積極主動應對未知威脅攻擊。例如0day攻擊、APT攻擊、供應鏈攻擊等。完善企業自身安全團隊建設，提高企業軟硬綜合實力。

第三個階段網路對抗建設：

透過常態化對抗演練來模擬和驗證企業積極防禦能力，達到平時練兵，戰時用兵的效果。

中睿天下總結多年實戰對抗經驗，從安全防護體系的角度將積極防禦與網路對抗合併為實戰對抗，將實戰對抗進一步拆解為

三個階段、九個動作、兩個支撐

。應對攻擊的三個階段分別為

攻

擊前的風險識別加固、攻擊中的監測溯源階段、攻擊後的常態化運營階段

；九大動作分別為

認清風險、整改加固、定期演練、攔截阻斷、監控預警、攻擊溯源、應急響應、修補整改、常態運營

；兩大能力包含

基於實戰攻防視角的紅藍隊能力支撐

。協助關基運營單位建設實戰對抗下的積極防禦的體系，提升企業實戰對抗過程中軟硬實力。

攻擊前階段

安全建設的第一步是摸清家底，攻擊者在攻擊前階段進行的工作就是在摸清企業的家底，透過各種攻擊工具利用各種攻擊手段找到企業資產風險，例如敏感埠、網際網路暴露面資產、裝置系統弱密碼、企業敏感資料等等。中睿天下站在攻擊者的視角，模仿攻擊者的“作案”手法與工具，以安全服務加合法工具的方式幫助企業提前認清風險，協助企業

整改加固系統補齊企業安全短板

，最後透過

定期演練

加強企業員工的安全意識，

站在全域性視角協助企業提升風險應對能力

。

攻擊中階段

攻擊正在進行或者攻擊已經發生，都可以歸類於攻擊中階段，在攻擊中階段

積極防禦的能力突顯尤為重要

。

0

1

首先我們可以聯動阻斷裝置對已經明確的攻擊進行主動攔截；

0

2

其次對正在進行的攻擊透過安全工具和安全服務進行監控預警，這個時候比的是裝置的軟硬實力（檢測能力和有效告警）；

0

3

再者利用全流量儲存裝置結合威脅情報系統對攻擊進行溯源，溯源攻擊者的攻擊行為、攻擊工具、攻擊手法、國家背景等等；

0

4

最後是對已經發生的攻擊做應急響應，利用主機溯源深入挖掘攻擊者痕跡，結合取證分析服務和事件溯源出具溯源報告。

攻擊後階段

攻擊後階段最重要的工作就是要不斷的修改整補最終實現常態化運營，以當前安全常態化運營的發展局勢來看，需要有功能強大的態感平臺和一支安全技術過硬的安全團隊共同支撐。安全工具可以透過技術實現，安全隊伍建設需要經過不斷的培訓來拉齊隊伍認知，紅隊培訓可以解決網路對抗下攻防不對等的問題，拉齊紅隊PK攻擊組織的能力。藍隊培訓有助於提升基於實戰對抗下的藍隊綜合防禦能力。

392體系應用效益

中睿天下在2016-2018年期間建立國網首個60秒響應中心，榮幸成為國網27個網省、38家直屬單位核心安全運營監控供應商；

2019年協助中銀保信獲得政府行業的“No。1”；

2020年參與的43家HVV防守單位無人出

局

。

首次

作

為主防單位，協助農信銀榮獲金融行業第一名。

在客戶側現場發現0day漏洞攻擊，提供情報及技術加分總計超過兩萬分；

2021年首次發現的0day合計6個，提供一線報告數量350多份、技戰法報告30多份，成功被入選3份以上。