网络安全攻防演习：70%的防守队没做好这些事 导致“未战先输”

一年一度、如火如荼的网络安全攻防演习即将拉开大幕。在攻防领域流传着很多金句，如“未知攻、焉知防”、“说一百遍不如打一遍”、“以攻促防”、“网络安全的本质在对抗”等等。它们虽表述不同，其核心思想是一致的：即防守队非常需要攻击队视角，从攻击者角度去站位思考，分析总结攻方会采取的手段和步骤，来反思自身的安全体系、防护弱点，达到“知己知彼、百战不殆”。

为此，我们推出了实战攻防演习“以攻促防”连载系列，立足历年数百场攻防演习中，攻击队最惯常使用的手段方法，来进行精准、针对性的堵截防御，实现“无懈可击”。本篇从侦察角度，看攻防双方如何进行侦察与反侦察的较量。

侦察 攻击前的第一步 

有部很知名的老电影叫《渡江侦察记》，讲述渡江战役前夕，解放军派侦察班先遣小队，渡江去侦察敌情，并获得一份江防工事图，探明敌人江防部署。总攻开始后，解放军万帆齐发、大炮雷鸣，把敌人沿江工事精准摧毁，保障百万雄师顺利渡江，取得全面胜利。这部电影将侦察的重要性体现的淋漓尽致。

同样，2007年有部叫做《斯巴达300勇士》的电影，从守方角度体现了对忽视侦察导致的后果。斯巴达王列奥尼达率领300勇士，将波斯数十万大军堵在了温泉关，让对方寸步难行、伤亡惨重。然而，列奥尼达没有防范身后的一条小路，最终被一个叛徒引导波斯军抄小路，绕道进攻后方薄弱环节，导致300勇士腹背受敌、全军覆没。

在实战攻防演习中，作为攻击活动的初始环节，攻击者会通过各种手段，搜集目标信息，并选择薄弱点，如窃取登录凭证、扫描高危端口等，将其作为主攻方向。具体包括，通过外围信息收集和多种扫描技术，获得目标的IP地址、端口、操作系统版本、每个端口运行的服务、存在的漏洞等攻击必需信息等等。

从攻击者的视角，侦察获得的信息越全面，找到薄弱点、突破口的概率就越高。因此，作为防守队，第一步需要做的事情，不是急迫布防，安装威胁检测、边界安全等产品，而是不要让敌人侦察到攻击的突破口，让他们无隙可乘。

防守队痛点：未知资产暴露在外 弱口令无处不在 

对于防守队而言，第一个痛点是资产繁多、难以管理，尤其是很多暴露在外的未知资产，一旦被攻方侦察到，失陷基本只是时间问题。

参加实战攻防演习的政企机构，绝大多数信息化、数字化程度都很高，对外开放的业务应用非常广泛，导致暴露在整个互联网上的服务器、设备的端口、协议、应用等非常庞杂和繁多。尤其是因内部管理流程不完善等原因，导致很多未知资产暴露在外。这些未知资产，对于经验丰富的攻击队而言，可以用常规扫描工具轻松侦察到。攻方演习一旦开始，这些未纳入统一管理的未知资产，很容易成为率先被攻破的目标。

第二个痛点，屡禁不止的弱口令，防守虚弱的特权账号等，让攻击者屡试不爽。

弱口令是指账号口令复杂度策略配置较低，或容易被攻击者获取的口令，通常有简单口令、默认口令、空口令、规律性口令、社会工程学弱口令等。由于其口令强度过弱，容易被攻破，堪称每年实战攻防演习的十大安全漏洞之首。而实战中通过弱口令获得权限的情况占比更是高达70%以上。

同时，因涉及到攻击者的最终利益，特权账号往往是攻击者瞄准的重点攻击目标。特权账号由于其分布广、数量多的特点造成特权账号梳理难，组织管理员无法全面的掌握特权账号动态情况。加上僵尸账号、幽灵账号、后门账号、弱口令账号、长期未改密账号等风险账号等广泛存在，且比较隐蔽，给系统资产带来很大的安全隐患。

防守方破解之道：做好资产测绘 严控账号风险

让众多未知资产暴露在互联网等公开区域，无异于给攻击队若干不设防的攻击目标，演习中会被处处打穿。为此，奇安信实战攻防专家建议，防守队首先要做的第一件事情，就是收缩暴露面，通过技术手段实现对旗下各类资产的统一管理，才能有针对性的防护。

目前，奇安信推出的全球鹰网络空间测绘