基于“安全有效性验证和紫军攻防演练”提升网络安全防御能力

原创陈松&彭卓&翟勇林 2025-04-22 08:45 中国香港

持续提升安全防护水平和防御能力。

摘要：本文重点阐述了平安证券在利用安全有效性验证平台对边界防护，流量检测，主机检测等多个实际场景防护检测的有效性进行验证，通过紫军的攻防演练，基于ATT&CK威胁框架从攻击者角度对安全防御能力进行持续评估，验证防护的覆盖面和防护策略的有效性，进一步提升安全防护能力和实战能力。

关键词：安全有效性安全验证紫军演练安全防御安全运营

一、概述

平安证券持续建设优化纵深防御体系，需要对防御能力及覆盖面进行检验和验证，避免出现已部署的各类防护设备/平台/策略，在面临攻击时出现“应检测而未检测，应告警而未告警”的情况。因此对防御能力的覆盖面和防护策略的有效性验证，是平安证券安全运营工作中的一个重要内容。平安证券利用自建BAS产品对当前的安全防护体系的防护能力开展持续验证，方案核心是基于“自动化有效性验证技术”对各类防护设备和策略开展持续性、有效性安全验证，结合紫军（在安全领域的攻防演练不断实践中除了原始的红军和蓝军，现扩展出了紫军，其作用包括制定演练方案，同步情报等工作，消除红蓝双方对抗面，使得有效性验证的效率及效果有了更大的提升）从攻击者视角，模拟真实（无害化）攻击，检验安全防御现状与防御加固方案有效性，持续提升安全防护能力和实战能力。

二、实施方案

1.验证安全防护设备自身的有用性

平安证券在数据中心的各个区域内都已部署了各类安全防护设备，并配置了防护策略，可能存在部分安全防护设备长期没有产生告警，无法判断防护设备是否异常，基于此情况，以安全有效性验证技术为基础，基于常见的网络攻击类型，选择10个具有代表性的攻击用例，通过设置每小时执行一次的定时任务，自动触发验证流程，根据验证数据，分析防护设备的响应情况，判断是否存在性能或服务异常。

表2.1 常态化验证任务

2.验证安全防护设备策略的有效性

基于安全有效性验证技术，利用常见漏洞利用POC、攻击手法等，设计模拟攻击场景及行为。对各个区域的流量监测设备（APT）、主机安全设备（HIDS）、Web应用防火墙（WAF）、容器等安全设备通过模拟真实攻击场景，创建常态化验证任务，全面检验防护设备的防护能力。及时发现防护设备是否能够识别并拦截攻击行为，可知晓防护措施的有效性。

图2.1 验证平台部署架构

从攻击者角度，选择常用的手法进行选取验证用例：

图2.2 主要验证用例

根据实际情况设置验证任务：

表2.2 常态化验证用例任务

3.紫军演练验证整体安全防护体系有效性

紫军通过模拟真实（无害化）攻击，全面排查平安证券网络中可造成严重后果的信息安全风险和安全防御薄弱点，推动安全漏洞修复和风险暴露面收敛，降低被外部攻击的风险。

具体实施方案：进行全流程的构造不同的模拟无害化攻击场景，主动触发已部署的规则策略，产生对应告警或拦截事件，基于日志事件的分析，判断安全防护措施对本次验证的响应情况，对发现的问题及时推进修复，以提升整体防护响应检测能力。

攻击的重点覆盖：

通用漏洞利用

恶意软件利用

主机信息收集

主机提权驻留

内网横向渗透

图2.3 场景演练攻击路径

三、验证成效

1.防护设备自身的有用性

有用性验证应用以来，通过验证体系，对公司部署在各网络区域内的主机安全类产品、流量检测类产品、WAF等各类防护设备开展验证，实现重要业务区域全覆盖。通过验证后，完善重要区域防护能力，保障安全防护及告警能力正常。

2.防护有效性验证结果

有效性验证平台在第一时间发现了流量监测设备（APT）、主机安全设备（HIDS）、Web应用防火墙（WAF）、容器安全以及安全运营平台日志流转等多个失效点和薄弱环节，抢先在不法分子发现和利用前自我验证发现，确保了公司各项业务的安全开展。

设备本身有效性验证效果：

WAF设备有效性

图3.1 WAF设备有效性

APT设备有效性

图3.2 APT设备有效性

HIDS设备有效性

图3.3 HIDS设备有效性

3.紫军演练覆盖

紫军演练基于ATT&CK威胁框架对安全防御能力进行评估，利用不同入侵技战术，尽可能模拟真实入侵手段，安全运营人员基于现有网络防御策略及应急响应流程进行进行对抗演练，分析出潜在入侵行为，发现现有防御部署中存在的防御不足或可见性缺失的部分。平安证券紫军演练每个季度实施演练项28个左右，涉及ATT&CK矩阵8个战术，12个技术项。

通过紫军演练通过评估、分析差距，发现防御能力的不足，指导防御能力提升，也能帮忙安全运营人员直观地理解已发现威胁事件的战术、技术、行为，提升威胁检测、响应与分析处置能力。