隨著物聯網、工業(yè)智能制造、大數據、云平臺等網絡技術的不斷發(fā)展，各個系統領域被發(fā)現的安全威脅越來越多。病毒入侵、數據竊取、網絡攻擊等安全事件時常發(fā)生，網絡空間已然成為各國爭奪的重要戰(zhàn)略空間。為應對網絡安全威脅，嚴守“關基”網絡安全底線，我國公安部自2016年開始組織多家機構，對國內基礎設施系統按照網絡安全要求，全面深入排查重點單位安全隱患，檢驗各單位網絡安全防護能力。隨著HW系統開展涉及的行業(yè)更多、范圍更廣，“HW行動”作為我國關鍵資產網絡安全風險應對的重要措施，各單位企業(yè)積極參與完成國家安全要求及自身安全建設成為了必須完成的基礎工作。

　　攻擊方思路分析

　　攻擊方采用滲透測試手段完全模擬黑客可能使用的攻擊技術和漏洞發(fā)現技術，對目標系統的安全做深入的探測，發(fā)現系統最脆弱的環(huán)節(jié)，獲取目標權限。各隊采用APT攻擊手段在短時間內根據攻擊檢測目標及在信息收集階段通過資產指紋掃描、漏洞掃描、端口掃描等手段收集到的各種問題進行匯總分析對目標進行攻擊滲透。常見手段如下圖所示：

　　隨著護網中防護的發(fā)展攻擊方也在逐漸的改變常規(guī)思路，在攻防對立中尋求突破，攻擊過程中遇到的場景問題如下。

　　攻擊方由于目標明確，且攻擊周期較短，往往采用自動化掃描進行快速的獲取目標相關信息，在此過程中容易被監(jiān)測發(fā)現進行針對性封鎖與反制。

　　目標方針對性臨時管理外部接口服務，防守方在HW前臨時關閉大量外部常用服務，HW期間部分單位采用斷網、斷電行為無法監(jiān)測，導致目標量減少。

　　終端監(jiān)測及郵箱監(jiān)測加強，病毒查殺、準入模式及沙箱的部署，致使webshell植入、木馬植入、水坑、魚叉攻擊成功率較低。

　　內外網蜜罐誘捕系統的部署導致攻擊方易被捕獲。

　　攻擊突破方式

　　通過安全掃描搜索引擎、利用分布式掃描源迷惑目標監(jiān)測系統、分布式掃描形式快速獲取目標資產信息，根據指紋信息進行逐步分析。

　　針對通用性系統如OA、CMS、堡壘機、安防設備進行分析獲取相同版本0day漏洞存儲，根據指紋進行針對性漏洞利用。

　　Webshell、木馬程序免殺制作，通過rce直接執(zhí)行powershell、反彈執(zhí)行控制權。

　　利用搜索引擎及開源源碼托管平臺進行獲取用戶信息、源碼信息等內容。

　　多方了解不同業(yè)務內網構成，熟悉業(yè)務情況，精準捕獲核心數據。

　　防護思路分析

　　各單位防守方依據HW行動時間軸可分為四大階段，分別為備戰(zhàn)階段、臨戰(zhàn)階段、決戰(zhàn)階段、戰(zhàn)后總結進行安全防護與應急。

　　備戰(zhàn)階段目標單位對安全現狀排查，進行資產梳理、針對性風險評估、自查自糾、開展安全培訓、建立安全防護體系；臨戰(zhàn)階段按照HW整體模式開展資產巡查、滲透測試、制定應急預案、開展實戰(zhàn)應急演練、依據內外網檢測結果進行系統加固及應急優(yōu)化；決戰(zhàn)階段依據建立的安全防護應急隊伍主要工作是完成了前期的準備工作后的值守，進行7*24小時現場值守，實時監(jiān)控安全態(tài)勢，并對安全事件進行應急響應確保整個重大活動期間的安全保障，包含依據安全審計防護設備告警信息進行實時監(jiān)控與上報、實時監(jiān)測重點系統的風險及安全隱患第一時間進行應急處置、現場依據策略調整進行處理突發(fā)事件、針對產生的安全事件進行應急溯源分析等；戰(zhàn)后總結對本次護網的工作成果及不足進行討論總結，并根據經驗持續(xù)改進優(yōu)化網絡安全整體建設，網絡安全防護整體流程如圖所示：

　　在攻防博弈過程中，隨著攻擊手段的不斷發(fā)展及網絡運營需求，防護的脆弱性仍然無法消除，每年仍存在大量的目標淪陷的情況。其主要原因如下：

　　整體網絡安全建設薄弱，眾多企業(yè)邊界在前期網絡安全建設中為了系統高效運行，弱化安全防護手段，往往只在邊界部署防火墻設備進行相關防護，防護效果甚微。

　　安全意識淡薄，沒有形成主動防范、積極應對的全民意識，測試系統、默認口令、用戶弱口令、信息保護不足等問題導致安全事件產生。

　　過度依賴安全防護類產品，大量企業(yè)采購各類防護產品，但策略配置不當、0day無法監(jiān)測、供應產品自身漏洞問題致使安全事件產生。

　　資產排查存在遺漏，部分外部資產、待下線系統責任不明確，導致不在監(jiān)測范圍內。

　　事前加固及處置排查能力有限，因服務人員能力、相關經驗不足、時間限制等無法全面排查安全風險及針對事件進行快速的應急處置。