鐵路網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)演練研究

李向陽(yáng)，譚 劍，馬曉雅

（中國(guó)鐵路信息科技集團(tuán)有限公司 網(wǎng)信安全處，北京 100844）

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》于2016年11月7日正式通過(guò)，并于2017年6月1日起施行，明確要求關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者需制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期進(jìn)行網(wǎng)絡(luò)安全應(yīng)急演練[1]。2016年，由國(guó)家相關(guān)部門(mén)牽頭組織、面向關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)方開(kāi)展的全國(guó)大型攻防實(shí)戰(zhàn)演練活動(dòng)正式開(kāi)啟，參與者從最初僅幾家單位發(fā)展為百余家單位。攻防演練從內(nèi)容和形式上也經(jīng)歷了幾次優(yōu)化迭代，演練頻次已趨于常態(tài)化，標(biāo)志著我國(guó)網(wǎng)絡(luò)安全建設(shè)逐漸步入實(shí)戰(zhàn)化階段。

鐵路作為國(guó)家重要的交通設(shè)施和經(jīng)濟(jì)發(fā)展的大動(dòng)脈，其關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)的安全運(yùn)行至關(guān)重要[2]。為更好、更有效地應(yīng)對(duì)有組織、持續(xù)性的網(wǎng)絡(luò)攻擊和威脅，需建設(shè)攻防兼?zhèn)涞木W(wǎng)絡(luò)安全技戰(zhàn)隊(duì)伍，提升實(shí)戰(zhàn)化網(wǎng)絡(luò)安全保障能力。

本文介紹了攻防演練的定義，總結(jié)攻擊方常用的攻擊方法和防守方常用的防御方法，以及鐵路攻防演練的經(jīng)驗(yàn)，為提升鐵路安全防護(hù)能力提供參考。

1 攻防演練概述

1.1 攻防演練定義

一般情況下，攻防演練會(huì)設(shè)立攻擊方和防守方。攻防演練是指攻擊方在不影響企業(yè)正常業(yè)務(wù)系統(tǒng)運(yùn)行的前提下，以獲取特定目標(biāo)系統(tǒng)管理權(quán)限為目標(biāo)，針對(duì)防守方從多角度、多方面進(jìn)行的盡可能貼近真實(shí)的模擬攻擊入侵。防守方通過(guò)設(shè)備監(jiān)測(cè)、日志及流量分析等手段，監(jiān)測(cè)攻擊行為并進(jìn)行處置，從而檢驗(yàn)防守方的安全建設(shè)現(xiàn)狀，鍛煉應(yīng)急響應(yīng)能力。部分情況下會(huì)設(shè)立中立方（即裁判組），以確保攻擊方和防守方在遵守規(guī)則的前提下開(kāi)展攻防演練。攻防演練組織架構(gòu)如圖1所示。

圖1 攻防演練織架構(gòu)

1.2 鐵路網(wǎng)絡(luò)攻防演練現(xiàn)狀

2018年起，中國(guó)國(guó)家鐵路集團(tuán)有限公司（簡(jiǎn)稱(chēng)：國(guó)鐵集團(tuán)）作為防守方參與由國(guó)家相關(guān)部門(mén)牽頭組織的網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)演練活動(dòng)，逐漸建立了高效的上下聯(lián)動(dòng)架構(gòu)，指揮部為國(guó)鐵集團(tuán)，工作組為國(guó)鐵集團(tuán)所屬各單位。在此過(guò)程中，國(guó)鐵集團(tuán)形成了完善的攻防演練工作機(jī)制：事先組織開(kāi)展鐵路內(nèi)部網(wǎng)絡(luò)安全攻防演練，提前摸底排查隱藏問(wèn)題；建立了7×24 h現(xiàn)場(chǎng)值守工作機(jī)制，確保問(wèn)題被及時(shí)發(fā)現(xiàn)、立即處置；堅(jiān)持在演練結(jié)束后進(jìn)行總結(jié)復(fù)盤(pán)，全面梳理薄弱面，及時(shí)完善應(yīng)急預(yù)案。

國(guó)鐵集團(tuán)各單位在實(shí)戰(zhàn)中逐步落實(shí)“三化六防”體系要求[3]，以“實(shí)戰(zhàn)化、體系化、常態(tài)化”為新理念，以“動(dòng)態(tài)防御、主動(dòng)防御、縱深防御、精準(zhǔn)防護(hù)、整體防護(hù)、聯(lián)防聯(lián)控”為新舉措，發(fā)現(xiàn)并解決鐵路關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)存在的突出問(wèn)題，進(jìn)一步完善鐵路網(wǎng)絡(luò)安全格局。

2 攻防演練常用方法

通過(guò)演練活動(dòng)，攻擊方和防守方的技戰(zhàn)法都在相互博弈中日漸精進(jìn)。2020年前，攻擊方的常規(guī)思路是以Web為入口，直接突破企業(yè)防線；2020年起，釣魚(yú)郵件、供應(yīng)鏈、零日漏洞等多樣化攻擊手段層出不窮，推動(dòng)防守方逐漸加強(qiáng)信息系統(tǒng)各組成部分的安全防護(hù)，包括應(yīng)用、網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)、操作系統(tǒng)、中間件等，以網(wǎng)絡(luò)邊界安全為中心，逐步向數(shù)據(jù)安全、云計(jì)算安全、應(yīng)用安全等方向發(fā)展。

2.1 主要攻擊方法

2.1.1 Web應(yīng)用攻擊

Web應(yīng)用攻擊是最常見(jiàn)的攻擊手段之一。攻擊者只需從互聯(lián)網(wǎng)遠(yuǎn)程對(duì)目標(biāo)發(fā)起攻擊，就能達(dá)到獲取數(shù)據(jù)、執(zhí)行命令、控制服務(wù)器等目的[4]。同時(shí)，Web應(yīng)用攻擊方法也在不斷演化，攻擊面除了傳統(tǒng)的Web應(yīng)用系統(tǒng)，還加入了移動(dòng)端App，如微信公眾號(hào)等。攻擊手法除利用弱口令、文件上傳、結(jié)構(gòu)化查詢語(yǔ)言（SQL，Structured Query Language）注入等常規(guī)漏洞外，反序列化代碼漏洞所占比重逐漸增大。該方法使攻擊者可在龐大的Web資產(chǎn)列表中迅速找到可突破的地方。

2.1.2 釣魚(yú)郵件攻擊

釣魚(yú)郵件攻擊指通過(guò)郵件、微信、電話等方式誘導(dǎo)防守方人員點(diǎn)擊惡意鏈接或打開(kāi)惡意文檔，從而直接獲取辦公終端權(quán)限的攻擊方法，通常結(jié)合木馬免殺進(jìn)行[5]。攻擊方人員收集防守方人員的聯(lián)系方式等信息，精心準(zhǔn)備相應(yīng)話術(shù)，誘導(dǎo)內(nèi)部人員點(diǎn)擊，從而進(jìn)入內(nèi)部網(wǎng)絡(luò)進(jìn)行橫向攻擊，獲取大量數(shù)據(jù)。目前，已出現(xiàn)針對(duì)特定防守方人員進(jìn)行的釣魚(yú)攻擊，也稱(chēng)為魚(yú)叉攻擊，此類(lèi)攻擊目標(biāo)性更強(qiáng)、話術(shù)更具有迷惑性，故目標(biāo)上鉤的可能性更大。

2.1.3 供應(yīng)鏈攻擊

供應(yīng)鏈攻擊是指針對(duì)開(kāi)發(fā)人員和供應(yīng)商開(kāi)展的攻擊，一個(gè)信息系統(tǒng)從開(kāi)發(fā)到交付運(yùn)行過(guò)程中，每個(gè)被忽視的安全細(xì)節(jié)都可能成為風(fēng)險(xiǎn)點(diǎn)。由于供應(yīng)商給防守方進(jìn)行軟件開(kāi)發(fā)和系統(tǒng)運(yùn)營(yíng)維護(hù)等行為時(shí)均存在直接連通網(wǎng)絡(luò)的情況，攻擊者可從供應(yīng)商入手，獲得源碼或挖掘零日漏洞，從而進(jìn)行入侵，甚至可通過(guò)供應(yīng)商直接連接至防守方的內(nèi)部網(wǎng)絡(luò)。

2.1.4 內(nèi)存馬攻擊

內(nèi)存馬是無(wú)文件攻擊常用的一種方法[6]。傳統(tǒng)WebShell連接方式是通過(guò)某種漏洞，將惡意的腳本木馬文件上傳后，通過(guò)工具連接。近幾年防火墻、入侵檢測(cè)系統(tǒng)（IDS，Intrusion Detection System）、入侵防御系統(tǒng)（IPS，Intrusion Prevention System）、高級(jí)持續(xù)性威脅（APT，Advanced Persistent Threat）檢測(cè)、終端檢測(cè)和響應(yīng)（EDR，Endpoint Detection and Response）系統(tǒng)等專(zhuān)業(yè)安全設(shè)備、系統(tǒng)被廣泛應(yīng)用，傳統(tǒng)方式下的上傳WebShell或以文件形式駐留的后門(mén)易被專(zhuān)業(yè)安全防護(hù)設(shè)備捕獲、攔截，也易被殺毒軟件查殺。內(nèi)存馬是無(wú)文件WebShell，在運(yùn)行的服務(wù)中直接插入并執(zhí)行WebShell，不存在實(shí)體文件，故給防守方檢測(cè)、攔截帶來(lái)巨大的難度。

2.1.5 零日漏洞攻擊

零日漏洞是指僅被某個(gè)機(jī)構(gòu)或個(gè)人掌握、官方尚未發(fā)布修復(fù)措施的安全漏洞。因防守方尚未得知此漏洞的存在，未建立相應(yīng)的防守規(guī)則和策略，利用零日漏洞攻擊通常具有較大的突發(fā)性、破壞性、致命性，成功率極高，且防守方不易監(jiān)測(cè)，甚至直至漏洞公布之后才能發(fā)現(xiàn)被攻擊。當(dāng)前，零日漏洞攻擊變得越來(lái)越頻繁。

2.2 主要防御方法

2.2.1 安全態(tài)勢(shì)感知

通過(guò)部署態(tài)勢(shì)感知系統(tǒng)，綜合全網(wǎng)流量數(shù)據(jù)、重要系統(tǒng)日志、各系統(tǒng)報(bào)警數(shù)據(jù)，開(kāi)展全天候的網(wǎng)絡(luò)安全態(tài)勢(shì)監(jiān)控，對(duì)內(nèi)/外部安全態(tài)勢(shì)進(jìn)行全局性的集中監(jiān)測(cè)及分析[7]，及時(shí)感知、發(fā)現(xiàn)各種攻擊威脅與異常，進(jìn)而對(duì)威脅相關(guān)的影響范圍、攻擊路徑、目的、手段進(jìn)行快速判斷。

2.2.2 IPS監(jiān)測(cè)和網(wǎng)絡(luò)流量監(jiān)測(cè)

IPS監(jiān)測(cè)是一種主動(dòng)防御手段，對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行實(shí)時(shí)入侵檢測(cè)，并實(shí)時(shí)進(jìn)行監(jiān)測(cè)策略優(yōu)化。監(jiān)控范圍通常覆蓋防守方互聯(lián)網(wǎng)、辦公網(wǎng)、生產(chǎn)網(wǎng)等重要網(wǎng)絡(luò)區(qū)域。

網(wǎng)絡(luò)流量監(jiān)測(cè)指通過(guò)部署流量安全分析系統(tǒng)，利用鏡像將互聯(lián)網(wǎng)、辦公網(wǎng)、生產(chǎn)網(wǎng)等重要網(wǎng)絡(luò)區(qū)域的流量接入流量安全分析系統(tǒng)，并通過(guò)升級(jí)規(guī)則庫(kù)、本地策略優(yōu)化等手段，有針對(duì)性地提升防守方對(duì)網(wǎng)絡(luò)攻擊行為的發(fā)現(xiàn)和預(yù)警能力。

2.2.3 流量攔截

流量攔截指安全設(shè)備在對(duì)網(wǎng)絡(luò)流量進(jìn)行檢測(cè)時(shí)，發(fā)現(xiàn)流量中有攻擊行為后[8]，對(duì)攻擊行為進(jìn)行的阻斷操作。一般的阻斷方式包括在網(wǎng)絡(luò)層發(fā)送傳輸控制協(xié)議傳輸控制協(xié)議（TCP，Transmission Control Protocol）的reset報(bào)文，在應(yīng)用層發(fā)送HTTP的403/405狀態(tài)碼等。

2.2.4 主動(dòng)防御

主動(dòng)防御主要指防守方利用蜜罐誘捕攻擊方。蜜罐是一種在互聯(lián)網(wǎng)上精心布置的特定信息系統(tǒng)，以網(wǎng)絡(luò)服務(wù)或信息作為誘餌，誘使攻擊者開(kāi)展攻擊。所有對(duì)蜜罐嘗試的行為都被視為可疑行為。防守方可提前預(yù)警、盡早處置并追蹤溯源。蜜罐主要包括仿真Web蜜罐、通用Web蜜罐、系統(tǒng)服務(wù)蜜罐和偽裝缺陷蜜罐等。

3 攻防演練經(jīng)驗(yàn)

在攻防演練的過(guò)程中，國(guó)鐵集團(tuán)不斷優(yōu)化防守方案、建立防守模型、總結(jié)實(shí)戰(zhàn)經(jīng)驗(yàn)。主要包括以下幾類(lèi)重要的經(jīng)驗(yàn)。

3.1 加強(qiáng)員工網(wǎng)絡(luò)安全意識(shí)

在網(wǎng)絡(luò)實(shí)戰(zhàn)演練中，通過(guò)弱口令、釣魚(yú)攻擊、社會(huì)工程學(xué)、Wi-Fi入侵等攻擊成功的例子較多。為提高鐵路網(wǎng)絡(luò)安全防護(hù)能力，必須加強(qiáng)員工的網(wǎng)絡(luò)安全意識(shí)。日常工作中，員工須定期更新自己的終端設(shè)備密碼，增強(qiáng)密碼強(qiáng)度，杜絕弱口令[9]；使用郵件時(shí)，不輕易點(diǎn)開(kāi)陌生郵件中的鏈接，不使用公共場(chǎng)所的網(wǎng)絡(luò)設(shè)備進(jìn)行敏感操作，郵件中重要文件要做好防護(hù)；不輕易連接、使用免費(fèi)Wi-Fi，及時(shí)關(guān)閉手機(jī)和電腦的無(wú)線局域網(wǎng)功能；對(duì)辦公區(qū)域的陌生面孔進(jìn)行詢問(wèn)，不隨意使用出現(xiàn)在自己身邊的陌生物品等[10]。

3.2 建立網(wǎng)絡(luò)資產(chǎn)臺(tái)賬并開(kāi)展問(wèn)題排查

鐵路系統(tǒng)網(wǎng)絡(luò)資產(chǎn)龐大，信息系統(tǒng)、設(shè)備數(shù)量巨大，面對(duì)復(fù)雜的網(wǎng)絡(luò)安全形式，建立網(wǎng)絡(luò)資產(chǎn)臺(tái)賬、針對(duì)不同資產(chǎn)逐步精細(xì)化管理非常必要。（1）在互聯(lián)網(wǎng)側(cè)對(duì)操作系統(tǒng)、應(yīng)用、數(shù)據(jù)庫(kù)、虛擬專(zhuān)用網(wǎng)絡(luò)（VPN，Virtual Private Network）等資產(chǎn)要進(jìn)行全面排查和安全評(píng)估，安全評(píng)估不達(dá)標(biāo)的主機(jī)和應(yīng)用須立即整改；（2）在鐵路內(nèi)部網(wǎng)絡(luò)，針對(duì)信息系統(tǒng)、工控系統(tǒng)，以及托管在外的資產(chǎn)系統(tǒng)進(jìn)行排查工作，明確資產(chǎn)歸屬和責(zé)任人；（3）對(duì)廢棄、無(wú)主、高危風(fēng)險(xiǎn)系統(tǒng)進(jìn)行嚴(yán)格整改處理，對(duì)線上系統(tǒng)進(jìn)行漏洞掃描，并及時(shí)修復(fù)高危漏洞；（4）有針對(duì)性地引入外部威脅情報(bào)庫(kù)，逐步實(shí)現(xiàn)威脅的定向清除。

3.3 構(gòu)建聯(lián)防聯(lián)控機(jī)制

國(guó)鐵集團(tuán)下屬單位眾多，攻擊者往往從鐵路站段、下屬公司等分支機(jī)構(gòu)尋找突破口，進(jìn)而層層突破，開(kāi)展對(duì)國(guó)鐵集團(tuán)的網(wǎng)絡(luò)攻擊。國(guó)鐵集團(tuán)各單位和下屬機(jī)構(gòu)間建立了高效的信息共享機(jī)制，建設(shè)專(zhuān)用溝通工具，實(shí)現(xiàn)一點(diǎn)發(fā)現(xiàn)、各單位快速反應(yīng)的聯(lián)防聯(lián)控格局；在各層級(jí)的安全設(shè)備間共享威脅源，實(shí)現(xiàn)對(duì)威脅源的快速封禁。

3.4 收斂互聯(lián)網(wǎng)出口

對(duì)于火車(chē)站、貨運(yùn)營(yíng)業(yè)部等面向公眾的場(chǎng)所，須嚴(yán)格控制信息系統(tǒng)的部署范圍，切斷和鐵路生產(chǎn)業(yè)務(wù)無(wú)關(guān)的設(shè)備與鐵路內(nèi)部網(wǎng)絡(luò)的連接。加強(qiáng)對(duì)售票機(jī)、取票機(jī)等面向公眾提供服務(wù)的設(shè)備設(shè)施的防護(hù)，杜絕網(wǎng)線、信號(hào)線無(wú)防護(hù)暴露在外的情況。對(duì)第三方機(jī)構(gòu)的網(wǎng)絡(luò)接入，要部署防火墻、網(wǎng)閘、光閘等安全隔離措施，同時(shí)做好IP地址白名單的控制策略。加強(qiáng)供應(yīng)鏈網(wǎng)絡(luò)安全管理，細(xì)致篩查為供應(yīng)商、運(yùn)營(yíng)維護(hù)廠商開(kāi)啟的VPN、遠(yuǎn)程桌面、安全外殼協(xié)議（SSH，Secure Shell ）服務(wù)、系統(tǒng)特權(quán)賬號(hào)口令，全面清理遠(yuǎn)程接入服務(wù)和賬號(hào)。

4 結(jié)束語(yǔ)

本文介紹了攻防演練定義、常見(jiàn)攻擊手段和防御手段，并對(duì)國(guó)鐵集團(tuán)參與攻防演練的實(shí)戰(zhàn)經(jīng)驗(yàn)進(jìn)行了梳理。經(jīng)過(guò)網(wǎng)絡(luò)攻防實(shí)戰(zhàn)化演練，鐵路企業(yè)建立了聯(lián)防聯(lián)控機(jī)制，采取了主動(dòng)防御措施，提升了鐵路網(wǎng)絡(luò)安全防護(hù)能力。未來(lái)，鐵路企業(yè)須繼續(xù)組織、參加攻防演練，持續(xù)完善鐵路網(wǎng)絡(luò)安全防御體系建設(shè)，提升鐵路網(wǎng)絡(luò)安全全方位防御能力。