去年的护网行动规模特别大。

对攻击方来说，优势在于可以在任意时间段发起攻击，完全占据着主动权，甚至有些队伍早就提前准备了新型的木马病毒和0day，使得防守方陷入极为被动的局面。

但对防守方而言，毕竟是主场作战，熟悉自身网络架构，拥有全部访问流量和大量的安全设备，实时监控攻击者动向并封禁恶意IP，甚至可以部署蜜罐给攻击方玩玩。

攻与守之间并不存在绝对的优势，双方都在攻与守的对立中寻求突破。

一个攻击队拿下一个企业核心系统的时间需要根据目标的安全防护程度来决定，一般情况下会需要大量的时间投入，假如是APT的话甚至要潜伏数年才能获得想要的数据。但是在护网行动中规定的时间可能仅仅不到一个月，而且每个攻击队伍都有许多个目标，那也就意味着排除提前几个月做护网踩点探测的情况下，攻击方要在短时间内快速的获取目标信息，并针对性的发动有效攻击才能完成自己的目的。

护网行动中攻击方会对目标的公司组织架构、人员信息和IT资产进行情报和信息的收集，这就是攻防与渗透测试最大的区别所在，更加的贴近实战。在掌握目标企业组织架构和人员信息后便可以进行针对性的攻击了，比如以邮箱攻击为例，先选定目标企业的某某工作人员，对其邮箱进行攻击，在成功获得该邮箱登录权限后便可以去通信录导出企业所有联系人，然后批量的对导出邮箱进行简单的口令爆破；如果在进行这些操作后还没拿到有价值的账号时，便根据组织结构进行定点攻击，比如用swaks伪造管理员发送钓鱼邮件，或者编造一个理由加密发送一个宏病毒等方式进行攻击。

在攻击方看来，大部分的企业资产情况混乱，存在DMZ区和办公网之间没有网络隔离，办公网和互联网相通，没有良好的管控远程控制软件，网络区域划分不严格等问题，在网络分区隔离不完善的情况下攻击方可以很轻易的实现跨区攻击。中间件、安全设备漏洞未及时修复，例如Weblogic漏洞，Weblogic应用比较广泛，并且存在反序列化漏洞，是一个很好的突破口。Vpn也是攻击方非常看重的点，对vpn设备进行漏洞攻击，弱口令爆破等方式取得账号权限便可以直接进入内网进行渗透。

一般的企业单位，因为没有开展常态化的安全运营，在护网期间都会购买渗透测试服务或是招安全驻场人员参与护网，所以护网期间网络安全人才紧缺是必然的，但是在那段时间里由于渗透人员的紧缺，很多企业招到的可能只是一个实习生或者大学生。就算真的招到了一个渗透大神，也会因为漏洞太多，一时间无法完成全部漏洞排查或是整改，即便时间足够完成了全部的排查处置，那如果要新上业务系统又该怎么办。所以网络安全工作必须是常态化开展的，想通过一次性的渗透测试服务解决所有网络安全问题是不可行的，必须得要有一个正规的网络安全团队常态化的运营支撑，负责包括对内部资产的梳理、内部漏洞的排查处置及新上业务系统的安全测试等工作，而不是为了应付护网行动而临时招募的团队。

0day攻击着实是防守方最头疼的一个点，理论来说0day攻击是无法防御，但是实际上其实并不是那么的绝对。重边界、轻内网导致了边界防护一旦被绕过或是破坏，企业内网会存在崩塌的风险，所以防守方会在边界部署很多安全设备，比如WAF、IPS、IDS、态势感知设备等，此类安全设备受用面极广也是各大安全厂商大力推荐的监控设备，但是恰好这些设备都是经不住0day攻击的。这些安全设备都是以黑名单、规则或是安全情报为基础，假如攻击方会用最新的IP、域名或者是0day进行攻击，原有IOC情报、规则在这种情况下基本无效，这就会让安全平台无法识别此类攻击。一旦安全设备不告警，防守方即使7*24小时防守也没有实际意义，可能系统被突破了还浑然不知。应对0day攻击正确的办法应该是注重对WEB攻击行为与攻击意图的监控，或是加强管控终端程序运行，阻断非许可进程的运行等方式来防范，而非迷信规则情报类的安全设备。

对于防守方来说，蜜罐绝对是一个利器，因为他赋予了防守方反制的机会。蜜罐是一种对攻击方进行欺骗的技术，通过布置诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击从而了解攻击方的攻击手段和意图等情报信息。比如防守方可以先设置一个虚的域名用来钓鱼，在攻击方用字典爆破域名时，便会进入防守方布好的蜜罐之中，然后防守方便可静静等待着攻击方表演。理想状态下，蜜罐是应该完全对系统服务进行仿造，然后具备攻击溯源和反向攻击功能。蜜罐确实是十分优秀的一个技术，在护网期间的表现确实也很亮眼，但是防守方真的部署之后会发现可能除了各种攻防演练情况外，基本就不会捕获到攻击，日常状态下其实并没有那么多的黑客攻击，这也是防守方放弃蜜罐的一个因素之一。但是安全就应该防范于未然。

2020护网行动在即，希望这一次护网行动中攻防队伍可以继续上演巅峰技术对决的大戏，也希望网安行业可以越来越好。