一、案例背景

國(guó)能發(fā)安全〔2018〕72號(hào)指出，要“強(qiáng)化網(wǎng)絡(luò)安全檢測(cè)與服務(wù)。強(qiáng)化安全檢測(cè)機(jī)構(gòu)能力建設(shè)，嚴(yán)格執(zhí)行國(guó)家及行業(yè)網(wǎng)絡(luò)安全檢測(cè)標(biāo)準(zhǔn)，鼓勵(lì)自主研發(fā)檢測(cè)工具，豐富安全檢測(cè)技術(shù)手段。完善行業(yè)網(wǎng)絡(luò)安全服務(wù)體系，開展網(wǎng)絡(luò)安全認(rèn)證、檢測(cè)、風(fēng)險(xiǎn)評(píng)估等安全服務(wù)”。由此，國(guó)家電網(wǎng)提出“開展單兵作戰(zhàn)裝置等新技術(shù)試點(diǎn)驗(yàn)證”。

二、客戶需求

1、依靠從互聯(lián)網(wǎng)獲取通用工具開展漏洞發(fā)現(xiàn)及溯源分析等工作存在軟件非正版授權(quán)、工具滲透功能不全面、系統(tǒng)不兼容等問(wèn)題；
2、在實(shí)戰(zhàn)攻防演練、常態(tài)首發(fā)漏洞挖掘、常態(tài)溯源分析等工作過(guò)程中，由于缺乏專業(yè)的漏洞挖掘和取證分析工具，導(dǎo)致漏洞挖掘、溯源分析等工作的成功率和效率較低。

三、解決方案

經(jīng)過(guò)多次技術(shù)交流與實(shí)測(cè)驗(yàn)證，最終采用盛邦安全網(wǎng)絡(luò)安全單兵偵測(cè)系統(tǒng)，以覆蓋“目標(biāo)偵查、暴露面排查、滲透利用、事件調(diào)查、專用紅隊(duì)工具庫(kù)”的全面能力，助力國(guó)家電網(wǎng)公司的常態(tài)化安全檢測(cè)工作與人才培養(yǎng)工作開展。重點(diǎn)功能應(yīng)用包括：

1、自動(dòng)化滲透驗(yàn)證：結(jié)合攻擊隊(duì)的滲透經(jīng)驗(yàn)形成的滲透模型，可以自動(dòng)化完成目標(biāo)偵查、暴力破解、漏洞驗(yàn)證、滲透利用等模擬完整攻擊鏈的一系列活動(dòng)，令攻防演練和安全檢測(cè)工作更加標(biāo)準(zhǔn)化、系統(tǒng)化和規(guī)范化，同時(shí)也支持自定義檢測(cè)流程，滿足不同層階安全人員使用需求。
2、精準(zhǔn)漏洞檢測(cè)，威脅零誤報(bào)：實(shí)現(xiàn)精準(zhǔn)漏洞檢測(cè)，規(guī)避了傳統(tǒng)掃描器基于版本匹配模式產(chǎn)生的誤報(bào)行為，并提供漏洞詳細(xì)驗(yàn)證過(guò)程，有效提高了漏洞的通報(bào)和處置準(zhǔn)確度。
3、紅隊(duì)專用工具集：提供紅隊(duì)專用工具集與配套指導(dǎo)，覆蓋信息收集、武器構(gòu)造、載荷投遞、漏洞利用、命令控制等，有效支撐紅隊(duì)專項(xiàng)工作和人才培養(yǎng)工作開展。同時(shí)提供常用滲透工具的運(yùn)行平臺(tái)基礎(chǔ)環(huán)境，可自定義安裝私有工具集，簡(jiǎn)化安全工具準(zhǔn)備環(huán)節(jié)。

四、實(shí)際應(yīng)用

配置多套便攜式網(wǎng)絡(luò)安全單兵偵測(cè)系統(tǒng)，配合紅隊(duì)員日常工作及人員實(shí)訓(xùn)能力提升，典型應(yīng)用如下：

1、紅隊(duì)隊(duì)員在滲透測(cè)試工作中，通過(guò)紅隊(duì)專用工具庫(kù)，快速完成目標(biāo)偵查、暴露面發(fā)現(xiàn)、脆弱性驗(yàn)證、獲取權(quán)限、權(quán)限維持及橫向滲透等工作；
2、作為自動(dòng)化漏洞驗(yàn)證工具，快速精準(zhǔn)完成常態(tài)化漏洞治理、高危漏洞檢測(cè)等工作；
3、作為人員能力提升實(shí)訓(xùn)工具，覆蓋滲透全流程紅隊(duì)工具庫(kù)及使用說(shuō)明，配套漏洞靶場(chǎng)進(jìn)行實(shí)訓(xùn)。

五、項(xiàng)目效果

通過(guò)單兵偵測(cè)系統(tǒng)賦能紅隊(duì)日常工作，標(biāo)準(zhǔn)化安全檢測(cè)工作流程，提高漏洞挖掘及溯源分析工作效率80%以上，輔助人員能力提升，提高應(yīng)用系統(tǒng)漏洞的深度挖掘和精準(zhǔn)溯源攻擊者的成功率，降低新型安全風(fēng)險(xiǎn)。