《一场惊心动魄的实网攻防演习，复盘TOP国有银行如何做到「不破防」？》——良策揭秘篇

360数字安全 2023-02-21

收录于合集 #一场惊心动魄的实网攻防演习，复盘TOP国有银行如何做到不破防 3个

“圆满收官，惊心动魄，却意犹未尽”，防守队的安全专家如是说。
回顾这两个月，从演习前准备到演习正式开始，每一次和防守单位沟通协作、补齐安全防护短板，每一次和攻击方正面交战、铺设陷阱见招拆招，每一次和体系内安全专家协同、分析攻击方技战术……
其中的神奇特技和谋篇布局，我们记录于系列文章，本期是第一期《良策揭秘篇》。
——写在前面

“实网攻防演习”是怎么回事

所谓“实网”是指真实的网络环境，而“实网攻防演习”就是在真实的网络环境下，针对电力、电信、金融等关系国计民生的重点领域、重要单位，通过攻击方和防守方两方的对抗演习，来检验各参演单位面对网络攻击时的技术防护能力、以及解决突发网络安全事件的应急处置能力。

说到这，熟悉军事的小伙伴已经有感觉了，这有点像人民解放军在朱日和实兵对抗演习。当前，我国数字化转型不断加速，每个人、每家企事业单位、每家政府单位甚至城市、国家，在感受到数字化神奇力量的同时，也意识到了数字安全在今天前所未有的重要。

网络攻防是典型的不对等对抗

与其他竞争性、对抗性的斗争不同，网络攻击和防御在大多数时候是天然不对等的，其根源在于数字化的内在脆弱性。近年来，随着新一代数字技术的快速发展并与业务深度融合，这种不对等性越来越显著。

原因有三：

第一是“点面不对称”。防御需考虑全局，而攻击可从任何一个薄弱点入手。
第二是“成本不对等”。网络武器的获取日趋容易，使得网络攻击成本逐步降低，与此同时，防御成本却不断攀升。
第三是“效率不对等”。自动化、智能化的攻击方式使攻击效率显著提升，对防守方的安全响应速度要求越来越快，然而面对大量安全事件，防守方处置效率极低。

网络「不破防」有多难？

随着近年实网攻防演习的规模和强度不断增加，作为防守单位，不仅要防住演习事先确定的核心靶标及相关路径资产，还要对所有重要业务系统、所有重要设备和资产、所有的相关上下级单位都纳入安全防护体系。防守单位的业务体量越大、业务越复杂、相关的涉及面越广，那么防守难度就越大。

面对如此大的暴露面，任何安全防护的漏洞和不足，都会被机智的攻击方利用。在实际演习中，很多防守方甚至不知道发生了什么就失守了，被打穿出局。想要实现圆满防守不破防，其难度可想而知。

攻击方神出鬼没防守方要能「看见」

《孙子兵法》有云：“不知山林、险阻、沮泽之形者，不能行军。”（《孙子兵法·军争篇》）

针对实网攻防演习的高强度对抗，以及该银行在数字化转型中面临的新风险挑战，看见资产、看见风险、看见威胁、看见攻击行为成为最急需解决的问题，打造高敏感度网络安全预警体系成为最需要的核心能力。

概括说来，「看见」有四：

看见战场：攻击者致力于打入防守单位的内部，防守单位首先要摸清自身家底，明晰网络攻防双方交战的战场。看见战场，需要我们防守单位全面梳理网络地图、资产、业务、数据、系统、应用、身份等。
看见风险：对于TOP国有银行单位，由于业务的复杂性和信息技术的深度应用，攻防双方的交战之场范围极广，任何漏洞等风险都可能被攻击方利用。看见风险，需要我们防守单位全面挖掘存在的漏洞、弱口令、错误配置、暴露端口等。
看见威胁：常见的网络威胁有恶意软件、高级持续威胁攻击、勒索攻击、供应链攻击、社会工程学攻击、分布式拒绝服务攻击等。看见威胁，需要我们防守单位感知威胁态势，获取威胁图谱、攻击技战术、威胁情报等。
看见异常：尽管攻击者极力隐匿踪迹，但是雁过留痕，通过汇聚打通各个维度的安全数据，再连接全网数据和全网知识库做全网分析，从大数据中分析发现异常线索。看见异常，需要我们防守单位打破就地分析、本地分析的局限性，形成风险、威胁和攻击的全局视角，看见设备行为异常、人员行为异常、应用行为异常、数据行为异常、网络通信异常等。

通过「看见」，提前斩断杀伤链

解决了看见资产、看见风险、看见威胁、看见攻击行为的问题，作为防守单位，要想实现对攻击的抵御，还需要基于上述「看见」，对攻击者进行追踪，进一步「看见」其攻击意图、攻击过程等，「看见」全局态势，进而进行响应编排、清理阻断和修复加固，「看见」防御效果。

概括说来，从五方面着手：

狩猎追踪：对攻击者进行狩猎追踪，分析攻击者的意图、攻击路径、攻击手段、攻击过程等。
态势感知：掌握攻击者的入侵态势，攻击者所面对的风险态势，以及合规态势。
响应编排：优化告警规则、降低误报，通过自动编排实现高效响应，使安全事件响应处置流程化。
清理阻断：对于看见的攻击，及时阻断清理。
修复加固：通过打补丁、修改安全配置、增加安全机制等方式，封堵裂痕、修复加固，消除降低安全隐患。

构建以「看见」为核心的安全运营服务体系——即不破防的「良策」

为了圆满完成本次实网攻防演习，360专家团队深度调研了该银行单位业务、梳理信息资产、评估安全风险、制定防护策略，按照总行与全国所有分行整体防护的思路、以及“数据制胜、以人为本、集中研判、持续服务”的思想，助力该TOP国有银行构建以「看见」为核心的安全运营服务体系。

该银行单位与360进行深度合作，将360数字安全大脑框架与银行现有安全体系相融合，首次把总行与全国所有分行纳入统一防护范围做整体规划、策略设计、调度协同，依靠360强大的云端分析能力、海量安全大数据和专家团队，通过对该行全量安全数据的汇集、自动化分析处理、专家集中研判，第一时间发现攻击、快速捕获、即时处置并对攻击溯源，通过“数据+人+技术”的有效结合、交互协作，做到了看见威胁、看见对手，实现了“看见”银行全网态势的核心能力，建立了安全的全局视野。

众里寻他，为什么360有最强「看见」能力？

想要看见高级威胁攻击、勒索攻击、供应链攻击等各类威胁事件，需要具备全球视野、海量云端大数据的存储及处理能力、高质量事件的捕获能力、AI分析技术及实战经验丰富的安全专家团队。

因此，360具有业界最强的全网「看见」能力，源于这16项能力要素：

终端：通过15亿终端，实时感知全球全网安全事件
云端：全球首家云原生安全公司，云端分析安全数据
安全大数据：总规模2EB，任何网络攻击都能被看见
大数据技术：首创超大规模安全数据，存储、处理和检索技术
AI分析技术：在海量样本中自动化、智能化发现攻击线索
数据中台：超大规模数据实时处理，和亿万终端并发处理
全网视野：建立全局视野，看见全球和全网安全态势
历史维度：完整记录全量安全大数据，攻击线索历史回溯与关联
安全样本库：世界上最大的安全样本库，样本总数300亿
APT基因库&攻防知识库：掌握样本基因、APT攻击技战法，识别未知攻击
攻防对抗：在10亿终端上实时查杀、追踪、阻断、清理
专家团队：安全专家2000多名，组成东半球最强白帽子军团
漏洞能力：累计挖掘CVE漏洞3000多，是国内第一、世界领先
运营体系：人+技术+工具+数据+平台，持续安全运营能力
服务能力：以互联网SaaS模式提供安全服务，10余年服务15亿用户
商业模式：以安全支撑互联网，以互联网反哺安全

360基于「看见」，捍卫国家网空主权

360打破西方网络强国的“单向透明”优势，捍卫网空主权，累计发现了50个境外APT组织，独家捕获美国CIA/NSA对我国关键信息基础设施长达十余年的网络渗透攻击。

这里，要和各位看官说明下“APT攻击”这个重要概念。APT攻击，是有组织、有计划、针对特定目标的一系列攻击，往往高度隐藏，潜伏渗透周期可达数年甚至十数年，其目的是通过攻击国防、制造业、金融、能源、科研等单位，获取政治、情报、数据、经济利益等，严重威胁国家安全。典型的APT攻击事件，如伊朗核电站感染震网病毒造成核能相关发展停滞、委内瑞拉因网络攻击造成大面积断水断电、某国总统大选期间绝密邮件遭泄漏影响选情等。

「看见」有哪些价值？

360作为数字安全运营商，以「看见」为核心，为数字安全时代贡献360方案，以服务为核心价值，为政府、企业、城市和中小微企业的数字化转型保驾护航。

服务国家：面向各大监管部门，以SaaS化方式输出全网安全数据，提供数据赋能。
服务企业：集中建设以安全大脑为核心的安全运营中心，通过汇聚数据和分析能力集中建设，提供统一态势感知、威胁检测、联动响应；对基层单位支持和赋能，联防联控。
服务城市：创新城市数字安全建设新模式，把过去的“卖药”的模式升级为建设城市“数字安全医院”，构建城市网络安全与数字化发展长效机制，打造以数字安全大脑为核心的城市数字安全能力体系，为当地政府部门和企业提供SaaS化安全服务。
服务中小微企业：依托全面SaaS架构实现从本地到远程、从终端到网络的硬件、软件、数据、行为、人的全方位数字化管理。
服务个人用户：以免费安全守护亿万消费者安全用网，提升国民网络安全整体水平。