0
“若非紧急情况,请暂时不要来医院”
今年 5 月份,位于英国拉纳克郡的多家医院纷纷贴出了这样的告示。
这并非是医院人满为患或有危险疫情,而是因为其遭到了黑客的入侵,部分手术由于电脑系统瘫痪被迫延迟,连救护车也被误导,很多预约被取消,耽误了抢救的最佳时机……
▲拉纳克郡医院发出的告示
上面的事件还只是医疗系统受到攻击,那如果是一座城市的多个关键基础设施同时受到攻击会产生怎样的后果?
以“大数据”为城市名片的贵阳,最近就邀请了来自知道创宇、天融信、安赛等安全公司的30多支团队,来对整个城市的实际网络系统进行攻防演练。
注意,以下是真实城市网络,真实城市网络,真实城市网络!重要的事情说三遍。
如果攻击目标都是真实的,那会不会对日常生活产生影响?
比如我们24小时都会用到的电力网络、水务系统、交通系统、医疗系统、公交信息系统……如果真的因为攻防演练出现了停水停电不能看病的后果,整个城市的日常生活岂不是会一团糟?
但是,如果这些关键系统不参与,又如何能体现出攻防演练的真实性?
要解决这个矛盾,其实挺难的。
作为本次攻防演练的技术总策划,知道创宇资深顾问陆宝华告诉雷锋网,这次的演练不能保证“零风险”,因为攻击的是真实的网络,但还是尽可能的要达到可管可控的效果。
“第一,这次的攻防演练是在公安、大数据、网信、国安等部门的指导下开展的,所有的参赛队伍都要经过审查,并承诺遵守攻防规则,才会发放授权书。如果不在公安局备案,我们这就相当于犯罪了,刑法第285、286条对此规定的很明确。
参赛队伍之一的观数科技向雷锋网编辑展示了两份资料,一份是来自贵阳市公安局的委托书,一份是来自贵阳市政府的邀请函,有了这两样东西,才能对选定目标实施漏洞扫描、系统渗透等攻击。
第二,你看攻防现场所有的队伍都使用的是主办方的网线,我们要对所有的攻击流程做镜像,谁来攻击的,使用了什么方式进行攻击,我们这边都要有备案。
在现场,雷锋网编辑也确实看到,有几块实时变化的屏幕,显示有攻击目标单位、具体攻击方式、攻击团队等。
第三,攻击队伍在开始攻击前都要提交工作清单,批准之后才能开始攻击。针对攻击,我们也准备了应急预案,万一出现问题,我们的风险管理平台有专人监控,发现违规行为后会立即叫停,并有应急响应队伍来进行修复。有些红方的队伍在攻击时,可能出现一门心思想拿下目标,下达毁伤严重的命令。
陆宝华向雷锋网强调,只有在做好了各项攻防规则和应急响应的工作后,才能把攻击造成的破坏限定在一定范围内,就像去医院体检是为了找出毛病,而不是以伤害你为目的。
首先来让我们看看这些来自安全企业的红蓝方的数量对比。
红方(检测队伍):21支,作为攻击方。
蓝方(应急队伍):14支,作为防守方。
在红方中,依照具体的攻击目标和取得权限的程度来进行得分,比如,取得管理员权限的得分会更高。
而在蓝方中,则根据为防护目标的安全漏洞打补丁,以及提供有针对性的防护方案来给予分数。
获得本次“攻防演练安全成果奖”的冠军团队是“中科院信工所”,其领队汪秋云告诉雷锋网,与参加 CTF 这种夺旗大赛不同,这次的攻防演练更注重的是协作,合作的意义要大于竞争。
如果是 CTF 这种比赛,竞争非常激烈,各个团队私下不见面,但这次攻防演练给我感觉更多的是协作,我们有共同的目标,就是找到城市各个网络系统的漏洞。
每天晚上我们各个领队都会凑在一起开个会,讨论一下漏洞,毕竟这种攻击真实网络的机会太少了,大家都很珍惜这次机会,也是个互相学习的过程。
汪秋云坦言,这次参加攻防演练的有“未然实验室”“永信至诚 Nothing”“悬镜安全”等很厉害的团队,他们这次找到了50个左右的中高危漏洞获得一等奖,除了技术上过硬,还有一点就是工作量可能更大一些。
在一周多的时间里,每天早晨9点到,晚上10点走,基本上除了吃饭睡觉上厕所都在电脑旁。
除了攻击方,雷锋网还采访了一支担任防守任务的团队“观数科技”。相比于21支的攻击团队,防守团队中只有14支。
为什么防守团队的数量相对少一些?这就要提到由测试目标单位安全运维机构组成的36支防护队伍了。
作为本次攻防演练的蓝方之一,观数科技向雷锋网介绍,在演练中,如果红方攻击成功,平台上会实时显示,这时他们的人就会先通知被攻破的单位进行防守修复。如果修复中遇到困难,他们则会作为技术顾问来提出一些建议进行修复。
为什么要这么做?对于安全企业来说,其实很少能有机会来对一个城市的真实目标进行攻击和防守,这对于他们的安全人员而言,是一个了解城市各个内部系统非常好的契机。
而对于成为“靶子”的各家单位来说,其安全运维人员,正好可以借机向这些安全团队进行切磋学习,把暴露出来的问题一一解决。于此同时,也正好检测一下,之前购买的安全产品是否真的适合自己,安全性是否真的经得起考验。
据雷锋网了解,这次攻防演练的检测对象达到了10150个,虽然数量与去年的相差不多,但“攻击目标”却变化很大。重点对城市的关键基础设施进行了测试。
在最后的总结会中,本次攻防演练现场技术总指挥钱晓斌就对重点测试的这部分系统作了介绍。
·今年重点开展的对大数据系统、重要在线系统、关键信息基础设施的检测中,14个重要在线系统中除2个外,其余12个系统均发现不同程度的安全漏洞,部分系统被拿到控制权限。
·部分系统的漏洞可被黑客利用,对关系民众生命财产安全的基础设施进行破坏,威胁社会安全和稳定。
·同时,也有部分单位配合意识不强,在检测中恶意封堵检测IP,造成检测阻断,反映出对安全的重视不够。
虽然在今年的攻防演练中,重点测试对象漏洞很多,但这也从侧面说明,这是一次实打实的演练,贵阳敢于把城市的真实网络系统拿出来接受黑客的攻击,这种开放的态度本就值得赞赏。
如果你连问题都发现不了,何谈解决问题?
其实,今年的攻防演练的重要环节之一,就是对去年被打的“千疮百孔”各个网络系统再进行一次复查。
在最后的总结会中,钱晓斌介绍,在对去年10000个扫描目标复查后显示,依然存在中高危漏洞730个,但相比去年的1312个,几乎减少了一半,尤其是在对一些关键设施的检测中发现, 中、高危漏洞的目标占比由去年68%下降至24%,多数网站部署了去年整改提供的“药方”,如云防护、WAF、终端安全等,当受到攻击时,可快速反应,实施动态阻断。
在攻击清单中,雷锋网编辑还发现,除了贵阳本地的网络系统,还有来自合肥、绵阳、六盘水等地区的远程扫描和渗透检测。
在随后对陆宝华的采访中,他对雷锋网编辑说,未来,他希望这种攻防演练不再是一年一次,而是建设成为线上的、常态化的“体检中心”,目标也不仅限定在贵阳,而是面向全国,让这种安全可控的检测可复制、可推广。
最后,雷锋网为大家整理一下贵阳政府授奖的黑客团队:
“安全成果奖”
一等奖的团队是:“中科院信工所”;
二等奖的团队是:“无声双螺旋”、“北京知道创宇”;
三等奖的团队是:“华为未然实验室”、“悬镜安全”、“贵州大学黔锋”。
“安全创新奖”
一等奖的团队是:“永信至诚Nothing”;
二等奖的团队是:“贵州国卫信安”、“威努特”;
三等奖的团队是:“不鸣信息科技”、“众英团队”、“亨达科技”。
“安全防卫奖”
“金睛云华”、“观数科技”、“昂楷科技”、“安赛科技”、“宏图科技”、“爱立示”、“天盾”、“绿衫军”、“深信服科技”、“贵州师范大学重明鸟”、“亨达科技”、“启明星辰”、“360企业安全”、“天融信”。
雷峰网原创文章,未经授权禁止转载。详情见转载须知。