1、?-?0101?0202?型攻防演练活动演进趋势2018年不在指定攻击标及时间，不限定攻击段，全检 验企业应对真实攻击能2020年重点检验云计算、数据、物联等新型技术平台的 安全防御能2017年针对指定标业务系统进 模拟定向攻击，检验防守企 业安全防御能2019年允许攻击队采社会程学攻击、0Day漏洞利等流 客攻击段2021年允许攻击队采更加接近实 战的攻击技战术，检验防守 的应急响应能2022年越来越近真实攻击，使用的手段也不再那么局限；促使大部分企业已经开始弱化演习活动的时效性，而是平战结合，作为常态化的安全工作来做2016?年规定动作进检查，完 成络应急响应预案，定期做演练即为合格攻防案

2、例分享 钓鱼是怎样成为攻击的攻击利器的？靶标供应商/营业部办公区生产区集团内网管理区子公司域控域控DMZ对外业务服务一般业务办公OA普通终端防 火 墙V P N普通终端运维域终端防 火 墙堡 垒 机V P N网 闸/防 火 墙运维域终端外网打点：漏洞利用钓鱼RDP爆破/钓鱼不规范网络配置，直连集团核心区供应商/营业部账号利用横移横移账号利用横向横向横向横向供应商缺乏权限管控子公司权限过高分支、供应链接入是最性价比最高的布控环节突防阶段利用漏洞、钓鱼等进行突防横向移动利用系统服务横移、攻击域控反渗透通过进程注入、提权等执行后渗透阶操作侦查阶段信息收集1侦查阶段攻击队通过各种途径收集可能被利用到的

3、信息，包括各种对外暴露的互联网资产，各种招标文件里的供应链采购，互联网或暗网上存在的企业相关的系统账号密码等钓鱼+横移是成功率最高的组合2突防阶段（利用钓鱼成功突破）1、外网打点（失败）：通过批量的方式对所有可以访问到的互联网资产进行初步的探测，发现暴露面之后尝试进行攻击，一般配合 nday甚至 0day；2、钓鱼（成功）：通过邮件、IM、u盘等方式传播钓鱼文件，诱骗用户点击后，完成对终端的控制，实现突破；3、RDP 爆破（失败）：很多终端为了工作方便直接将远程桌面映射到互联网，攻击者直接对其进行爆破实现控制。3横移（借分支和供应链设备横移）突防后攻击者以此为据点收集内网信息，寻找高价值主机，

4、通过多次横移后最终锁定靶标机器。4反渗透通过注入提权等方式拿下靶标主机获取数据分支、供应链是最薄弱的环节经过多年演练，集团总部人员和设备安全意识和防御措施已经非常已经非常充分，分支和供应链无论安全投入还是安全意识都要差很多，管理上不够规范，容易被钓鱼突破然后往总部内网走，是当前最有效的攻击手段和最薄弱的环节“分接”与“供应链接”存在的安全管理痛点与难点为什么“分支接入”与“供应链接入”会成为被重点针对的突破口？（痛点）为什么“分支接入”与“供应链接入”会成为难以解决的安全短板？（难点）、相较于总部员及对应设备，分与供应链的与设备更容易被收集信息、社和实施钓更容易被收集信息、社和实施钓（易突破）

5、（易突破）三、由于业务优先与管理疏忽等问题，很多时候拿下分与供应链单点收益与突破内收益相近，甚更拿下分与供应链单点收益与突破内收益相近，甚更（攻击收益）（攻击收益）“供应链接入”挑战“多分支接入”挑战、通过分与供应链进突破渗透的攻击为会更隐蔽，难以及时响应攻击为会更隐蔽，难以及时响应（难被发现）（难被发现）易突破难被发现攻击收益高人员安全意识不可控设备安全基线不可控缺乏安全状态可见性访问控制松散人员外编安全追责难人员分布广信息易被收集准入难实施VPN体验差难要求供应链设备安装安全软件（兼容性、抵触心理）角色繁多变动频繁，难管理易被近站攻击无安全抓手，存在大量非标设备缺乏安全状态可见性访问控制松

6、散易突破难被发现攻击收益高部分分支接入存在NAT难以精准审计与管控0101?0202?如何对“分接”与“供应链接”当前存在的安全挑战？挑战是什么？应对思路是什么？要做什么？“供应链接入”挑战“多分支接入”挑战更好的安全抓手在接入层构建内生安全能力，让安全融于业务，让业务成为安全的抓手，拒绝安全短板在极易被攻破的接入场景，通过最小化授权理念进行管理，最大化规避安全短板存在的风险人员外编，安全意识薄弱，追责难人员分布广，信息易被收集准入难实施，VPN体验差，无抓手难要求供应链设备安装安全软件（兼容性、抵触心理）角色繁多变动频繁，难管理部分分支接入存在NAT难以精准审计与管控安全融于业务，确保100