假如三國有網(wǎng)絡(luò)安全攻防演練

東漢末年，天下三分，而奠定這一局勢的戰(zhàn)役就是歷史上赫赫有名的“赤壁大戰(zhàn)”。

作為我國以少勝多的經(jīng)典戰(zhàn)例，赤壁之戰(zhàn)匯聚了三國最頂級(jí)的名臣武將，期間各種計(jì)謀、策略環(huán)環(huán)相扣，高潮迭起，攻守雙方你方唱罷我方登場，堪稱冷兵器時(shí)代的巔峰之戰(zhàn)。

兩千多年來，雖然武器的發(fā)展和戰(zhàn)爭的形式有了翻天覆地的變化，但是赤壁之戰(zhàn)中所呈現(xiàn)的謀略卻一直被人津津樂道，并被奉為經(jīng)典戰(zhàn)爭教學(xué)案例。

戰(zhàn)爭的本質(zhì)是人與人之間的對(duì)抗，某種程度來說，網(wǎng)絡(luò)攻防其實(shí)就是發(fā)生在虛擬世界中的戰(zhàn)爭。如果赤壁之戰(zhàn)是一場攻防演練，那么它的畫風(fēng)可能是這樣的。

如果我們以網(wǎng)絡(luò)安全攻防演練的視角來復(fù)盤赤壁之戰(zhàn)，它的畫風(fēng)可能是這樣的。

注：本文假定曹操方為A公司，孫劉聯(lián)盟方為B公司，雙方正在開展一場攻防實(shí)戰(zhàn)演練。以下情節(jié)純屬個(gè)人猜想，若有不足之處敬請指正。

 一、蔣干盜書之U盤有毒 

A公司技術(shù)力量雄厚，剛剛拿下了C公司（荊州），隨即氣勢洶洶朝B公司發(fā)起攻擊，但一時(shí)未能有效突破，雙方進(jìn)入對(duì)峙階段，紛紛積蓄力量，尋找安全漏洞和出手時(shí)機(jī)。

這時(shí)，A公司人事招聘組蔣干信心滿滿地向曹老板報(bào)告，可以把對(duì)方B公司技術(shù)負(fù)責(zé)人周瑜給挖過來。曹老板聽完后大喜，立馬讓蔣干去挖人。蔣干馬上坐船到B公司，此時(shí)周瑜正帶著技術(shù)人員一起開慶功會(huì)。

酒桌上周瑜帶著眾人一直向蔣干灌酒，不給他說話的計(jì)劃。周瑜自己也假裝喝高了，拉著蔣干到自己辦公室休息，還一直說夢話，表示自己已經(jīng)掌握了A公司的漏洞情報(bào)，不日就可以拿下演練目標(biāo)。

蔣干聽完后心里拔涼拔涼，挖人也沒有挖到，半夜惆悵地起床偶然間發(fā)現(xiàn)桌上放著一個(gè)U盤，便簽上寫著“A公司漏洞情報(bào)”。蔣干打開一看，里面滿滿都是各種零日漏洞，瞬間對(duì)周瑜的夢話信了幾分。

于是他拿著U盤連夜跑回去見曹老板，把打聽到的事情一一匯報(bào)。曹老板聽完心里大驚，當(dāng)即就把U盤插到了電腦上，打開后卻發(fā)現(xiàn)里面都是已經(jīng)披露的漏洞信息。此時(shí)，曹老板當(dāng)即醒悟過來“中計(jì)了”，于是快速扯掉U盤，大喊一聲“U盤有毒”，但周瑜精心準(zhǔn)備的惡意軟件已經(jīng)入侵到系統(tǒng)之中，給A公司帶來嚴(yán)重?fù)p失。

啟示錄：來歷不明的U盤不要拿，拿了也不要往公司的電腦上插。一個(gè)簡簡單單的U盤，有可能給公司和個(gè)人帶來風(fēng)險(xiǎn)和損失，在網(wǎng)絡(luò)攻防演練期間尤其應(yīng)當(dāng)提高警惕。

 二、草船借箭之蜜罐顯威 

由于B公司實(shí)力不足，周瑜認(rèn)為想要戰(zhàn)勝A公司，那么必須要思考“如何增加己方的工具，以及了解對(duì)方的攻擊策略”，才有可能獲得勝利。此時(shí)，B公司另外一個(gè)技術(shù)大咖諸葛亮登場了。

他的做法是在內(nèi)部系統(tǒng)中設(shè)置了十分高明的蜜罐，在A公司遭遇了“U盤有毒”事件之后就悄悄上線了蜜罐。此時(shí)，曹老板復(fù)仇心切，將壓力給到了公司的攻防人員。此時(shí)葛亮則通過他人放出假消息，讓人以為蜜罐是真實(shí)目標(biāo)。

于是乎，攻防人員依據(jù)曹老板的指示，對(duì)著蜜罐發(fā)起了密集且持續(xù)的網(wǎng)絡(luò)攻擊，各種好用的工具全都使了出來，而這正是諸葛亮想要看到的結(jié)果。通過對(duì)A公司的攻擊行為進(jìn)行捕獲和分析，了解攻擊方所使用的工具與方法，并將其化為己用；同時(shí)也讓B公司更加清晰看到了曹老板的攻擊意圖和自己所面對(duì)的威脅，并針對(duì)性加強(qiáng)自身的安全防護(hù)能力。

啟示錄：對(duì)于甲方來說，高超的蜜罐往往會(huì)帶來意想不到的效果，不僅可以有效提升系統(tǒng)的安全性，還可以搜集對(duì)方的各種攻擊工具和方法，為后續(xù)溯源反制打下了基礎(chǔ)，甚至還可以固定證據(jù)，用現(xiàn)實(shí)世界的法律讓對(duì)方付出慘痛的代價(jià)。

 三、黃蓋詐降之網(wǎng)絡(luò)釣魚 

即便是通過蜜罐獲得了不少工具和方法，但是B公司和A公司之間的技術(shù)實(shí)力差距依舊存在，正面對(duì)抗難有勝算。對(duì)此，周瑜決定對(duì)A公司發(fā)起網(wǎng)絡(luò)釣魚攻擊，以此建立后續(xù)大規(guī)模攻擊的橋頭堡。

為了讓對(duì)方相信郵件內(nèi)容的真實(shí)性，周瑜做了一些列的偽裝。例如在某次動(dòng)員會(huì)上，和B公司技術(shù)骨干黃蓋故意發(fā)生沖突，導(dǎo)致黃蓋暫時(shí)停職，并扣除本年度所有的獎(jiǎng)金。黃蓋以此為借口向曹老板發(fā)了封郵件，大概意思是“本人不堪被侮辱，想要抱曹老板的大腿，在后面攻防演練時(shí)反水，幫助A公司拿下目標(biāo)。”

曹老板聽聞黃蓋的不公平待遇，選擇相信黃蓋的投降郵件，而后雙方不斷通過郵件傳遞消息。直到攻防演練的關(guān)鍵時(shí)刻，黃蓋發(fā)了一封“漏洞情報(bào)”的郵件，此時(shí)曹老板已經(jīng)放松警惕，直接打開了郵件中的附件，系統(tǒng)卻提示“文件已損壞”。而周瑜暗藏在附件中的病毒就這樣悄悄入侵了曹老板的電腦，并通過他拿到了該主機(jī)的內(nèi)網(wǎng)權(quán)限。

啟示錄：在網(wǎng)絡(luò)攻防演練中，網(wǎng)絡(luò)釣魚攻擊常被用戶獲取對(duì)方系統(tǒng)權(quán)限，建立網(wǎng)絡(luò)攻擊橋頭堡的有效途徑。輔助于各類社工信息，攻擊者往往會(huì)對(duì)釣魚郵件進(jìn)行精心偽裝，最終實(shí)現(xiàn)以假亂真的效果，騙取對(duì)方信任。因此，在攻防演練期間員工和高層，尤其是關(guān)鍵崗位應(yīng)保持足夠高的警惕性。

 四、鐵索連舟之內(nèi)部無隔離 

就在周瑜拿到曹老板權(quán)限之前，A公司剛剛完成了業(yè)務(wù)轉(zhuǎn)型。為了更好地促進(jìn)業(yè)務(wù)發(fā)展，曹老板聽從下屬建議，將傳統(tǒng)的內(nèi)部安全域隔離全部取消，真正實(shí)現(xiàn)內(nèi)部業(yè)務(wù)系統(tǒng)全部打通，極大地提高了業(yè)務(wù)運(yùn)行和發(fā)展的效率。

此時(shí)，安全人員程昱提出了一個(gè)疑問：內(nèi)部無隔離固然有助于業(yè)務(wù)發(fā)展，但是如果外面防護(hù)體系被打穿，將會(huì)給系統(tǒng)帶來難以估量的損失，整個(gè)公司防護(hù)體系將直接崩潰。對(duì)方只需要拿下一臺(tái)主機(jī)，通過橫向滲透攻擊，B公司攻擊人員就可以在系統(tǒng)內(nèi)橫行無忌，直至獲得攻防演練的勝利。

曹老板對(duì)此嗤之以鼻，對(duì)方想要突破我們的防護(hù)體系，必須要借助相關(guān)的零日漏洞，目前公司通過威脅情報(bào)已經(jīng)排除零日漏洞的困擾，同時(shí)系統(tǒng)剛剛經(jīng)過檢測和更新，采用了最新的安全措施和加固，不存在任何零日漏洞。程昱此舉雖是考慮周全，但還需要結(jié)合實(shí)際，仔細(xì)斟酌。

啟示錄：傳統(tǒng)安全域隔離雖然已經(jīng)無法適應(yīng)數(shù)字化轉(zhuǎn)型的節(jié)奏，但是全部取消隔離有時(shí)會(huì)給公司帶來毀滅性打擊。安全服務(wù)于業(yè)務(wù)，但更應(yīng)該守住關(guān)鍵紅線，絕不可一味迎合業(yè)務(wù)。或者在取消安全域隔離后，上線諸如“微隔離”等新興技術(shù)手段，進(jìn)一步兼顧平衡安全和業(yè)務(wù)。

 五、借東風(fēng)之零日漏洞 

周瑜聽聞曹老板鐵索連舟之后，內(nèi)心極為欣喜。就在他信心滿滿準(zhǔn)備發(fā)起攻擊時(shí)，內(nèi)心有點(diǎn)絕望，他沒有一個(gè)適合的零日漏洞，那么將很難給予A公司重創(chuàng)，而A公司技術(shù)實(shí)力明顯強(qiáng)于B公司，相持過久則必?cái)o疑。

曹老板敢于將內(nèi)部系統(tǒng)全部打通的底氣也來源與此。出于對(duì)自身防護(hù)體系和威脅情報(bào)的自信，他斷定周瑜手里并沒有合適的零日漏洞，那么對(duì)方的攻擊必定無法取得全面勝利。以B公司目前的技術(shù)實(shí)力，他們也將只有一次機(jī)會(huì)。

正當(dāng)周瑜一籌莫展之時(shí)，B公司另技術(shù)大咖諸葛亮給周瑜提供了一個(gè)，在B公司系統(tǒng)中潛藏許久的零日漏洞，此時(shí)攻擊準(zhǔn)備工作已經(jīng)全部完成。

于是，周瑜通過黃蓋釣魚郵件建立的橋頭堡順利入侵對(duì)方內(nèi)網(wǎng)系統(tǒng)，在利用零日漏洞對(duì)A公司內(nèi)網(wǎng)系統(tǒng)造成了毀滅性打擊。一時(shí)間A公司內(nèi)網(wǎng)系統(tǒng)瞬間陷入癱瘓，幾乎每個(gè)地方都出現(xiàn)了大面積故障，網(wǎng)絡(luò)安全防護(hù)體系全面崩潰。

啟示錄：漏洞無處不在，系統(tǒng)動(dòng)態(tài)安全。安全應(yīng)時(shí)刻保持警惕之心，時(shí)刻關(guān)注安全技術(shù)迭代，在零日漏洞和攻擊頻繁的今天，越是對(duì)于企業(yè)安全防護(hù)體系自信，越是容易滋生驕傲懈怠之心，此時(shí)正是企業(yè)安全最危險(xiǎn)的時(shí)刻。也許下一刻，零日漏洞就會(huì)在系統(tǒng)中爆發(fā)開來。

 六、敗走華容之持續(xù)攻擊 

面對(duì)如此危及時(shí)刻，曹老板只能選擇優(yōu)先對(duì)核心業(yè)務(wù)和數(shù)據(jù)進(jìn)行應(yīng)急響應(yīng)。但是周瑜早就有所準(zhǔn)備，派遣B公司另外一波以劉備為首的技術(shù)人員持續(xù)對(duì)A公司進(jìn)行打擊，尤其是加大力度對(duì)其核心業(yè)務(wù)和數(shù)據(jù)的打擊力度，導(dǎo)致A公司始終無法有效組織應(yīng)急響應(yīng)工作，最終只能被迫擺爛，B 公司則趁機(jī)進(jìn)一步擴(kuò)大戰(zhàn)果。

至此，周瑜帶來B公司以微弱的技術(shù)在和A公司的對(duì)抗中取得了前所未有的勝利，A公司所有的安全防護(hù)體系全部被打穿，絕大部分業(yè)務(wù)體系和數(shù)據(jù)中心遭遇嚴(yán)重打擊，造成了前所未有的損失。

啟示錄：未勝先料敗，在網(wǎng)絡(luò)攻防演練期間，安全團(tuán)隊(duì)需要時(shí)刻做好攻擊事件爆發(fā)的準(zhǔn)備，故應(yīng)加大應(yīng)急響應(yīng)預(yù)案的演練，強(qiáng)化在突發(fā)事件下如何保護(hù)企業(yè)核心業(yè)務(wù)和數(shù)據(jù)不受影響，避免出現(xiàn)因?yàn)槌掷m(xù)性攻擊下而被迫擺爛。

 結(jié)語 

網(wǎng)絡(luò)攻防是網(wǎng)絡(luò)空間中的戰(zhàn)爭。盡管網(wǎng)絡(luò)攻防和傳統(tǒng)戰(zhàn)爭的形式有著明顯不同，但是戰(zhàn)爭的本質(zhì)——人與人之間的對(duì)抗，依舊是一樣的，那么傳統(tǒng)戰(zhàn)爭中的理念和手法值得思考和借鑒。畢竟在網(wǎng)絡(luò)安全攻防演練期間，各種釣魚攻擊層出不窮，各類出人意料的打法也取得了有效的戰(zhàn)果。

同時(shí)，網(wǎng)絡(luò)攻防也正在成為現(xiàn)實(shí)戰(zhàn)爭的一部分。在俄烏戰(zhàn)爭爆發(fā)之前，網(wǎng)絡(luò)戰(zhàn)已經(jīng)先一步展開，并且已經(jīng)成為左右戰(zhàn)爭局勢的關(guān)鍵因素之一。例如在軍事行動(dòng)之前，烏克蘭已經(jīng)承受了俄羅斯針對(duì)性的網(wǎng)絡(luò)攻擊，擾亂基于網(wǎng)絡(luò)的社會(huì)治理功能，制造社會(huì)混亂和恐慌。

很明顯，網(wǎng)絡(luò)戰(zhàn)未來將會(huì)成為熱戰(zhàn)爭的急先鋒，而我們或許可以帶點(diǎn)戰(zhàn)爭思維來審視網(wǎng)絡(luò)安全攻防演練，并以此發(fā)現(xiàn)自身的薄弱環(huán)節(jié)，從而真真切切提高企業(yè)網(wǎng)絡(luò)安全防御水平。