近两年,“护网”已成为网络安全领域的热门话题。
“护网”具体是指由公安部组织发起的全国性网络实战攻防演练活动,旨在检验企事业单位关键信息基础设施的安全防护能力,提升网络安全应急处置队伍的应对能力,完善应急处置流程和工作机制,进而提升安全事件应急处置的综合能力水平。
进攻方将对防守方发动网络攻击,检测出防守方存在的安全漏洞。
护网行动每年举办一次,目前参与的机构众多,包括公安部、政府单位、事业单位、国企单位、名企单位等等。
2018年的护网:
最开始护网行动,作为防守方非常累,7*24两班倒,没什么休息时间。那时候的护网还是以渗透居多,很难打进来,而防守方的主要职责就是封IP,一个人一天大概要封50个IP左右,现在回想起来封IP有什么用?漏洞依然存在,治其表不治其里而已,防御方修复漏洞的手段也简单粗暴:
1、封IP
2、删代码
3、下系统
各大厂商的设备都很成熟,流量监控+态势感知,一套组合拳打下来可以说没几条漏网之鱼。防御方总结起来就三个字:没意思。
说完防守方我们再来说说攻击方,这里的攻击方统一指18年的护网,那时候的护网规模远远没有现在那么大,攻击方基本上都是用渗透的手段来进行攻击。当然不乏有人进行钓鱼,但毕竟是少数。基本上用0day的是没听说过,hw最初比的是细心,比的是耐心,比的是经验。
2019年的护网:
19年的护网行动规模在一次扩大,并且三个互联网巨头纷纷入场(腾讯、阿里、百度),随着BTA的入场,护网行动的性质就完全变了,从护网变成了砸钱。
打补丁、上策略、升级规则、封IP
然而
防火墙或网闸买得再多、访问控制策略做得再细致和规范,若它们自身就存在0day漏洞或1day漏洞未修补,则直接可被攻破;
业务系统接入了云防御,即使云端防御再好,一旦攻击者找到了未做信任策略的源站地址,一切防御将全部失效;
内网部署了很好的防御产品和策略,包括防病毒、反垃圾邮件等,但内部员工被鱼叉攻击,依然会泄露重要和敏感信息;
业务系统防范严密,却在某个具有出口的测试环境中存在暗资产,或者在GitHub上泄露了数据,导致其成为跳板甚至被进行内网漫游或使攻击者直接获得了某些重要资料和信息;
腾讯阿里在19年护网中大量使用0day,包括深信服、通达等等几个在政企使用量非常大的cms。但是不乏想一下护网的初衷是什么?护网的初衷是在狼进来之前加固围栏,让狼进来所需要付出的代价更高。如果说用0day那谁能防的住呢?要防守方干嘛呢?经过那次以后各大厂商纷纷“觉醒”,知道比人力是没用的,应该比财力。买0day,招人挖0day,这成了20年护网的主流。所以说护网行动已经失去了他原本的意义。
周鸿祎所说,“解决网络安全的关键不是硬件,也不是软件,而是人才”。加快培养网络安全人才是解决网络安全问题的关键所在。
所以护网行动严防“无间道”
《无间道4:护网行动》
乙方公司群日常:
领导:你们都在哪护网啊,汇报一下。
同事:对不起,我不能告诉你。
1、各种方式混入机房直接内网攻击
2、谎称升级/维护设备获取内网终端权限
3、社工钓鱼邮件给运维邮箱获取服务器权限
搞护网的兄弟们容易吗?系统攻击和人攻击一个都没拉下。
听说还有撬锁破门而入的!八仙过海,各显神通!
今年的护网行动大家有哪些看法呢?欢迎大家评论区互动
文章来源:知乎、搜狐新闻
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
