“若非緊急情況，請暫時不要來醫(yī)院”

今年 5 月份，位于英國拉納克郡的多家醫(yī)院紛紛貼出了這樣的告示。

這并非是醫(yī)院人滿為患或有危險疫情，而是因為其遭到了黑客的入侵，部分手術(shù)由于電腦系統(tǒng)癱瘓被迫延遲，連救護車也被誤導，很多預約被取消，耽誤了搶救的最佳時機……

▲拉納克郡醫(yī)院發(fā)出的告示

上面的事件還只是醫(yī)療系統(tǒng)受到攻擊，那如果是一座城市的多個關(guān)鍵基礎(chǔ)設(shè)施同時受到攻擊會產(chǎn)生怎樣的后果？

以“大數(shù)據(jù)”為城市名片的貴陽，最近就邀請了來自知道創(chuàng)宇、天融信、安賽等安全公司的30多支團隊，來對整個城市的實際網(wǎng)絡系統(tǒng)進行攻防演練。

注意，以下是真實城市網(wǎng)絡，真實城市網(wǎng)絡，真實城市網(wǎng)絡！重要的事情說三遍。

不要怕，這次攻防是可控的

如果攻擊目標都是真實的，那會不會對日常生活產(chǎn)生影響？

比如我們24小時都會用到的電力網(wǎng)絡、水務系統(tǒng)、交通系統(tǒng)、醫(yī)療系統(tǒng)、公交信息系統(tǒng)……如果真的因為攻防演練出現(xiàn)了停水停電不能看病的后果，整個城市的日常生活豈不是會一團糟？

但是，如果這些關(guān)鍵系統(tǒng)不參與，又如何能體現(xiàn)出攻防演練的真實性？

要解決這個矛盾，其實挺難的。

作為本次攻防演練的技術(shù)總策劃，知道創(chuàng)宇資深顧問陸寶華告訴雷鋒網(wǎng)，這次的演練不能保證“零風險”，因為攻擊的是真實的網(wǎng)絡，但還是盡可能的要達到可管可控的效果。

  “第一，這次的攻防演練是在公安、大數(shù)據(jù)、網(wǎng)信、國安等部門的指導下開展的，所有的參賽隊伍都要經(jīng)過審查，并承諾遵守攻防規(guī)則，才會發(fā)放授權(quán)書。如果不在公安局備案，我們這就相當于犯罪了，刑法第285、286條對此規(guī)定的很明確。

參賽隊伍之一的觀數(shù)科技向雷鋒網(wǎng)編輯展示了兩份資料，一份是來自貴陽市公安局的委托書，一份是來自貴陽市政府的邀請函，有了這兩樣東西，才能對選定目標實施漏洞掃描、系統(tǒng)滲透等攻擊。

第二，你看攻防現(xiàn)場所有的隊伍都使用的是主辦方的網(wǎng)線，我們要對所有的攻擊流程做鏡像，誰來攻擊的，使用了什么方式進行攻擊，我們這邊都要有備案。

在現(xiàn)場，雷鋒網(wǎng)編輯也確實看到，有幾塊實時變化的屏幕，顯示有攻擊目標單位、具體攻擊方式、攻擊團隊等。

第三，攻擊隊伍在開始攻擊前都要提交工作清單，批準之后才能開始攻擊。針對攻擊，我們也準備了應急預案，萬一出現(xiàn)問題，我們的風險管理平臺有專人監(jiān)控，發(fā)現(xiàn)違規(guī)行為后會立即叫停，并有應急響應隊伍來進行修復。有些紅方的隊伍在攻擊時，可能出現(xiàn)一門心思想拿下目標，下達毀傷嚴重的命令。

陸寶華向雷鋒網(wǎng)強調(diào)，只有在做好了各項攻防規(guī)則和應急響應的工作后，才能把攻擊造成的破壞限定在一定范圍內(nèi)，就像去醫(yī)院體檢是為了找出毛病，而不是以傷害你為目的。

如何攻城

首先來讓我們看看這些來自安全企業(yè)的紅藍方的數(shù)量對比。

紅方（檢測隊伍）：21支，作為攻擊方。

藍方（應急隊伍）：14支，作為防守方。

在紅方中，依照具體的攻擊目標和取得權(quán)限的程度來進行得分，比如，取得管理員權(quán)限的得分會更高。

而在藍方中，則根據(jù)為防護目標的安全漏洞打補丁，以及提供有針對性的防護方案來給予分數(shù)。

獲得本次“攻防演練安全成果獎”的冠軍團隊是“中科院信工所”，其領(lǐng)隊汪秋云告訴雷鋒網(wǎng)，與參加 CTF 這種奪旗大賽不同，這次的攻防演練更注重的是協(xié)作，合作的意義要大于競爭。

如果是 CTF 這種比賽，競爭非常激烈，各個團隊私下不見面，但這次攻防演練給我感覺更多的是協(xié)作，我們有共同的目標，就是找到城市各個網(wǎng)絡系統(tǒng)的漏洞。

每天晚上我們各個領(lǐng)隊都會湊在一起開個會，討論一下漏洞，畢竟這種攻擊真實網(wǎng)絡的機會太少了，大家都很珍惜這次機會，也是個互相學習的過程。

汪秋云坦言，這次參加攻防演練的有“未然實驗室”“永信至誠 Nothing”“懸鏡安全”等很厲害的團隊，他們這次找到了50個左右的中高危漏洞獲得一等獎，除了技術(shù)上過硬，還有一點就是工作量可能更大一些。

在一周多的時間里，每天早晨9點到，晚上10點走，基本上除了吃飯睡覺上廁所都在電腦旁。

除了攻擊方，雷鋒網(wǎng)還采訪了一支擔任防守任務的團隊“觀數(shù)科技”。相比于21支的攻擊團隊，防守團隊中只有14支。

為什么防守團隊的數(shù)量相對少一些？這就要提到由測試目標單位安全運維機構(gòu)組成的36支防護隊伍了。

作為本次攻防演練的藍方之一，觀數(shù)科技向雷鋒網(wǎng)介紹，在演練中，如果紅方攻擊成功，平臺上會實時顯示，這時他們的人就會先通知被攻破的單位進行防守修復。如果修復中遇到困難，他們則會作為技術(shù)顧問來提出一些建議進行修復。

為什么要這么做？對于安全企業(yè)來說，其實很少能有機會來對一個城市的真實目標進行攻擊和防守，這對于他們的安全人員而言，是一個了解城市各個內(nèi)部系統(tǒng)非常好的契機。

而對于成為“靶子”的各家單位來說，其安全運維人員，正好可以借機向這些安全團隊進行切磋學習，把暴露出來的問題一一解決。于此同時，也正好檢測一下，之前購買的安全產(chǎn)品是否真的適合自己，安全性是否真的經(jīng)得起考驗。

據(jù)雷鋒網(wǎng)了解，這次攻防演練的檢測對象達到了10150個，雖然數(shù)量與去年的相差不多，但“攻擊目標”卻變化很大。重點對城市的關(guān)鍵基礎(chǔ)設(shè)施進行了測試。

在最后的總結(jié)會中，本次攻防演練現(xiàn)場技術(shù)總指揮錢曉斌就對重點測試的這部分系統(tǒng)作了介紹。

·今年重點開展的對大數(shù)據(jù)系統(tǒng)、重要在線系統(tǒng)、關(guān)鍵信息基礎(chǔ)設(shè)施的檢測中，14個重要在線系統(tǒng)中除2個外，其余12個系統(tǒng)均發(fā)現(xiàn)不同程度的安全漏洞，部分系統(tǒng)被拿到控制權(quán)限。

·部分系統(tǒng)的漏洞可被黑客利用，對關(guān)系民眾生命財產(chǎn)安全的基礎(chǔ)設(shè)施進行破壞，威脅社會安全和穩(wěn)定。

·同時，也有部分單位配合意識不強，在檢測中惡意封堵檢測IP，造成檢測阻斷，反映出對安全的重視不夠。

寫在最后

雖然在今年的攻防演練中，重點測試對象漏洞很多，但這也從側(cè)面說明，這是一次實打?qū)嵉难菥?，貴陽敢于把城市的真實網(wǎng)絡系統(tǒng)拿出來接受黑客的攻擊，這種開放的態(tài)度本就值得贊賞。

如果你連問題都發(fā)現(xiàn)不了，何談解決問題？

其實，今年的攻防演練的重要環(huán)節(jié)之一，就是對去年被打的“千瘡百孔”各個網(wǎng)絡系統(tǒng)再進行一次復查。

在最后的總結(jié)會中，錢曉斌介紹，在對去年10000個掃描目標復查后顯示，依然存在中高危漏洞730個，但相比去年的1312個，幾乎減少了一半，尤其是在對一些關(guān)鍵設(shè)施的檢測中發(fā)現(xiàn)， 中、高危漏洞的目標占比由去年68%下降至24%，多數(shù)網(wǎng)站部署了去年整改提供的“藥方”，如云防護、WAF、終端安全等，當受到攻擊時，可快速反應，實施動態(tài)阻斷。

在攻擊清單中，雷鋒網(wǎng)編輯還發(fā)現(xiàn)，除了貴陽本地的網(wǎng)絡系統(tǒng)，還有來自合肥、綿陽、六盤水等地區(qū)的遠程掃描和滲透檢測。

在隨后對陸寶華的采訪中，他對雷鋒網(wǎng)編輯說，未來，他希望這種攻防演練不再是一年一次，而是建設(shè)成為線上的、常態(tài)化的“體檢中心”，目標也不僅限定在貴陽，而是面向全國，讓這種安全可控的檢測可復制、可推廣。

最后，雷鋒網(wǎng)為大家整理一下貴陽政府授獎的黑客團隊：

“安全成果獎”

一等獎的團隊是：“中科院信工所”；

二等獎的團隊是：“無聲雙螺旋”、“北京知道創(chuàng)宇”；

三等獎的團隊是：“華為未然實驗室”、“懸鏡安全”、“貴州大學黔鋒”。

“安全創(chuàng)新獎”

一等獎的團隊是：“永信至誠Nothing”；

二等獎的團隊是：“貴州國衛(wèi)信安”、“威努特”；

三等獎的團隊是：“不鳴信息科技”、“眾英團隊”、“亨達科技”。

“安全防衛(wèi)獎”

“金睛云華”、“觀數(shù)科技”、“昂楷科技”、“安賽科技”、“宏圖科技”、“愛立示”、“天盾”、“綠衫軍”、“深信服科技”、“貴州師范大學重明鳥”、“亨達科技”、“啟明星辰”、“360企業(yè)安全”、“天融信”。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。