0
“若非緊急情況,請暫時不要來醫院”
今年 5 月份,位于英國拉納克郡的多家醫院紛紛貼出了這樣的告示。
這并非是醫院人滿為患或有危險疫情,而是因為其遭到了黑客的入侵,部分手術由于電腦系統癱瘓被迫延遲,連救護車也被誤導,很多預約被取消,耽誤了搶救的最佳時機……
▲拉納克郡醫院發出的告示
上面的事件還只是醫療系統受到攻擊,那如果是一座城市的多個關鍵基礎設施同時受到攻擊會產生怎樣的后果?
以“大數據”為城市名片的貴陽,最近就邀請了來自知道創宇、天融信、安賽等安全公司的30多支團隊,來對整個城市的實際網絡系統進行攻防演練。
注意,以下是真實城市網絡,真實城市網絡,真實城市網絡!重要的事情說三遍。
如果攻擊目標都是真實的,那會不會對日常生活產生影響?
比如我們24小時都會用到的電力網絡、水務系統、交通系統、醫療系統、公交信息系統……如果真的因為攻防演練出現了停水停電不能看病的后果,整個城市的日常生活豈不是會一團糟?
但是,如果這些關鍵系統不參與,又如何能體現出攻防演練的真實性?
要解決這個矛盾,其實挺難的。
作為本次攻防演練的技術總策劃,知道創宇資深顧問陸寶華告訴雷鋒網,這次的演練不能保證“零風險”,因為攻擊的是真實的網絡,但還是盡可能的要達到可管可控的效果。
“第一,這次的攻防演練是在公安、大數據、網信、國安等部門的指導下開展的,所有的參賽隊伍都要經過審查,并承諾遵守攻防規則,才會發放授權書。如果不在公安局備案,我們這就相當于犯罪了,刑法第285、286條對此規定的很明確。
參賽隊伍之一的觀數科技向雷鋒網編輯展示了兩份資料,一份是來自貴陽市公安局的委托書,一份是來自貴陽市政府的邀請函,有了這兩樣東西,才能對選定目標實施漏洞掃描、系統滲透等攻擊。
第二,你看攻防現場所有的隊伍都使用的是主辦方的網線,我們要對所有的攻擊流程做鏡像,誰來攻擊的,使用了什么方式進行攻擊,我們這邊都要有備案。
在現場,雷鋒網編輯也確實看到,有幾塊實時變化的屏幕,顯示有攻擊目標單位、具體攻擊方式、攻擊團隊等。
第三,攻擊隊伍在開始攻擊前都要提交工作清單,批準之后才能開始攻擊。針對攻擊,我們也準備了應急預案,萬一出現問題,我們的風險管理平臺有專人監控,發現違規行為后會立即叫停,并有應急響應隊伍來進行修復。有些紅方的隊伍在攻擊時,可能出現一門心思想拿下目標,下達毀傷嚴重的命令。
陸寶華向雷鋒網強調,只有在做好了各項攻防規則和應急響應的工作后,才能把攻擊造成的破壞限定在一定范圍內,就像去醫院體檢是為了找出毛病,而不是以傷害你為目的。
首先來讓我們看看這些來自安全企業的紅藍方的數量對比。
紅方(檢測隊伍):21支,作為攻擊方。
藍方(應急隊伍):14支,作為防守方。
在紅方中,依照具體的攻擊目標和取得權限的程度來進行得分,比如,取得管理員權限的得分會更高。
而在藍方中,則根據為防護目標的安全漏洞打補丁,以及提供有針對性的防護方案來給予分數。
獲得本次“攻防演練安全成果獎”的冠軍團隊是“中科院信工所”,其領隊汪秋云告訴雷鋒網,與參加 CTF 這種奪旗大賽不同,這次的攻防演練更注重的是協作,合作的意義要大于競爭。
如果是 CTF 這種比賽,競爭非常激烈,各個團隊私下不見面,但這次攻防演練給我感覺更多的是協作,我們有共同的目標,就是找到城市各個網絡系統的漏洞。
每天晚上我們各個領隊都會湊在一起開個會,討論一下漏洞,畢竟這種攻擊真實網絡的機會太少了,大家都很珍惜這次機會,也是個互相學習的過程。
汪秋云坦言,這次參加攻防演練的有“未然實驗室”“永信至誠 Nothing”“懸鏡安全”等很厲害的團隊,他們這次找到了50個左右的中高危漏洞獲得一等獎,除了技術上過硬,還有一點就是工作量可能更大一些。
在一周多的時間里,每天早晨9點到,晚上10點走,基本上除了吃飯睡覺上廁所都在電腦旁。
除了攻擊方,雷鋒網還采訪了一支擔任防守任務的團隊“觀數科技”。相比于21支的攻擊團隊,防守團隊中只有14支。
為什么防守團隊的數量相對少一些?這就要提到由測試目標單位安全運維機構組成的36支防護隊伍了。
作為本次攻防演練的藍方之一,觀數科技向雷鋒網介紹,在演練中,如果紅方攻擊成功,平臺上會實時顯示,這時他們的人就會先通知被攻破的單位進行防守修復。如果修復中遇到困難,他們則會作為技術顧問來提出一些建議進行修復。
為什么要這么做?對于安全企業來說,其實很少能有機會來對一個城市的真實目標進行攻擊和防守,這對于他們的安全人員而言,是一個了解城市各個內部系統非常好的契機。
而對于成為“靶子”的各家單位來說,其安全運維人員,正好可以借機向這些安全團隊進行切磋學習,把暴露出來的問題一一解決。于此同時,也正好檢測一下,之前購買的安全產品是否真的適合自己,安全性是否真的經得起考驗。
據雷鋒網了解,這次攻防演練的檢測對象達到了10150個,雖然數量與去年的相差不多,但“攻擊目標”卻變化很大。重點對城市的關鍵基礎設施進行了測試。
在最后的總結會中,本次攻防演練現場技術總指揮錢曉斌就對重點測試的這部分系統作了介紹。
·今年重點開展的對大數據系統、重要在線系統、關鍵信息基礎設施的檢測中,14個重要在線系統中除2個外,其余12個系統均發現不同程度的安全漏洞,部分系統被拿到控制權限。
·部分系統的漏洞可被黑客利用,對關系民眾生命財產安全的基礎設施進行破壞,威脅社會安全和穩定。
·同時,也有部分單位配合意識不強,在檢測中惡意封堵檢測IP,造成檢測阻斷,反映出對安全的重視不夠。
雖然在今年的攻防演練中,重點測試對象漏洞很多,但這也從側面說明,這是一次實打實的演練,貴陽敢于把城市的真實網絡系統拿出來接受黑客的攻擊,這種開放的態度本就值得贊賞。
如果你連問題都發現不了,何談解決問題?
其實,今年的攻防演練的重要環節之一,就是對去年被打的“千瘡百孔”各個網絡系統再進行一次復查。
在最后的總結會中,錢曉斌介紹,在對去年10000個掃描目標復查后顯示,依然存在中高危漏洞730個,但相比去年的1312個,幾乎減少了一半,尤其是在對一些關鍵設施的檢測中發現, 中、高危漏洞的目標占比由去年68%下降至24%,多數網站部署了去年整改提供的“藥方”,如云防護、WAF、終端安全等,當受到攻擊時,可快速反應,實施動態阻斷。
在攻擊清單中,雷鋒網編輯還發現,除了貴陽本地的網絡系統,還有來自合肥、綿陽、六盤水等地區的遠程掃描和滲透檢測。
在隨后對陸寶華的采訪中,他對雷鋒網編輯說,未來,他希望這種攻防演練不再是一年一次,而是建設成為線上的、常態化的“體檢中心”,目標也不僅限定在貴陽,而是面向全國,讓這種安全可控的檢測可復制、可推廣。
最后,雷鋒網為大家整理一下貴陽政府授獎的黑客團隊:
“安全成果獎”
一等獎的團隊是:“中科院信工所”;
二等獎的團隊是:“無聲雙螺旋”、“北京知道創宇”;
三等獎的團隊是:“華為未然實驗室”、“懸鏡安全”、“貴州大學黔鋒”。
“安全創新獎”
一等獎的團隊是:“永信至誠Nothing”;
二等獎的團隊是:“貴州國衛信安”、“威努特”;
三等獎的團隊是:“不鳴信息科技”、“眾英團隊”、“亨達科技”。
“安全防衛獎”
“金睛云華”、“觀數科技”、“昂楷科技”、“安賽科技”、“宏圖科技”、“愛立示”、“天盾”、“綠衫軍”、“深信服科技”、“貴州師范大學重明鳥”、“亨達科技”、“啟明星辰”、“360企業安全”、“天融信”。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
