网络安全攻防演练“七剑四式”现身西湖论剑

6月16日，以“数治安全 智理未来”为主题的2020西湖论剑・网络安全线上峰会（以下简称“峰会”）成功举办。“实战化防护七剑四式”在峰会上发布，其网络攻防演练技术体系对外展示。

网络安全实战攻防演练是以获取指定目标系统（标靶系统）的管理权限为目标的攻防演练，由攻防领域经验丰富的红队专家组成攻击队，在保障业务系统稳定运行的前提下，采用“不限攻击路径，不限制攻击手段”的贴合实战方式，而形成的“有组织”的网络攻击行动。攻防通常是在真实网络环境下对参演单位目标系统进行全程可控、可审计的实战攻击，拟通过演练检验参演单位的安全防护和应急处置能力，提高网络安全的综合防控能力。此次，“实战化防护七剑四式”将7项技术能力化为招式中的“七剑”，将攻防演练中的四项服务化为“四式”，是安恒信息基于多年攻防实践总结出的体系，不仅能够达成更好的学习效果，也可使服务在攻防演练过程中得到更快速、有效、全面的检验。

据了解，“七剑”分别为莫问剑――Ailpha，游龙剑――Honeypot，青干剑――WAF，竞星剑――NGFW，日月剑――AiNTA，天瀑剑――APT以及舍神剑――EDR。其中，莫问剑Ailpha是大数据智能安全平台；游龙剑Honeypot则是利用Honeypot（蜜罐）技术打造的一款应对攻防实战场景的其片方与产品；青干剑WAF为新一代智能Web应用防火墙；联合防御的NGFW（安全网关）竞星剑以及EDR（主机安全及管理系统）舍神剑；日月剑AiNTA为明鉴新一代威胁感知系统；天瀑剑APT为预警平台，可基于双向流量检测，掌握从外部到内部、内部到外部，以及内部之间的攻击行为。

实践中的攻击行为往往是动态的，只有将静态立体防护与动态攻防行为结合操作才能检验真实的系统防护能力。因此，“四式”中的红队、蓝队、紫队以及威胁情报四项服务则可配合防护技术完成动态攻防过程。在攻防过程中，红队通过前期侦查、最初打点、持续控制、权限提升以及后渗透攻击来仅供参演防御系统。在防御方，蓝队通过建立Gartner自适应保护模型，覆盖预防（P）、保护（P）、检测（D）、响应（R）四个阶段，通过安全基线、防御强化、威胁狩猎以及威胁分析四个阶段保护架构，形成PDCA安全防御闭环，达到安全纵深防御的效果，对应红队攻击路径。出于对安全漏洞与攻防方式学习了解的需要，还引入了“紫队”模式。与传统红/蓝对抗的模式不同，紫队模式是协作而迭代的。紫队模式将红蓝两队拧到一起，帮助防御者更高效地缓解来自现实世界高度复杂的攻击。除此之外，其还为演练单位提供威胁情报。通过大数据与AI技术，利用蜜罐技术、Sumap网络空间测绘、国内外开源情报共享以及风暴中心云端情报等数据来源，构建大数据多元情报生态，为演练单位进行威胁评估与建模，完成攻防整体的重要一环。（马爱平）