苗守野：网络攻防技术对抗之网络攻防实战技术工程化应用

9月21日，一场聚焦关键信息基础设施安全保护的网络安全行业盛会——2024年度关键信息基础设施安全保护论坛，在北京圆满落下帷幕，取得圆满成功。会上，中国联通集团网络与信息安全部总经理苗守野就《网络攻防技术对抗之二——网络攻防实战技术工程化应用》发表了精彩演讲。他深入阐述了网络安全攻防的实战化特点及技术体系，强调了从网络暴露面收敛到风险隐患排查、纵深防御措施等多方面的体系化应用。

苗守野首先对网络攻防的概念进行了阐释，他指出网络攻防是攻击者和防御者通过各自的技术手段和方法，对网络、系统和数据进行攻击与保护的过程。

他强调了网络攻击针对性强、手段多样、隐蔽性强、持续不断、智能高效的特点，进一步探讨了实战防守的痛点，包括安全威胁多样复杂防守难度加大、互联网暴露面日益增大、安全防御体系发展滞后、安全技术手段协同不足、安全人员实战能力不足等。

二、网络安全攻防实战技术

苗守野依据MITRE定义的ATT&CK和杀伤链框架，详细解读了网络安全攻防实战技术。他从攻击阶段、攻击技术和防守技术三个维度，深入分析了侦察准备、初始入口、执行攻击、持续控制、权限提升、防御规避、凭据访问、环境观察、横向移动、收集信息、完成目标以及清理痕迹等各个阶段的关键技术和策略。

三、网络安全攻防技术体系化应用

苗守野在演讲中提出了一个全面的网络安全攻防技术体系化应用框架。他首先强调了网络暴露面收敛的重要性，认为通过减少网络攻击面可以显著降低安全风险。此外，他还提出了风险隐患排查治理的必要性，认为这是提升组织安全防护水平的关键步骤。在纵深防御措施方面，苗守野先生着重介绍了如何通过多层次的防御体系来提升整体的防护能力，确保即使某一层防护被突破，其他层也能够提供足够的保护，从而降低整体风险。

在重点防护措施方面，苗守野强调了对关键系统的防护，确保重要核心数据安全的重要性。他还提出了精细化防护的概念，即通过提升安全监测与防护的精细化水平，提高对各种威胁的检测和响应速度。在威胁情报共享方面，苗守野先生认为建立内外部威胁情报共享机制是提高威胁应对能力的关键。他提倡通过情报共享，提前预知潜在威胁，采取应对措施，降低安全事件的影响。

苗守野提出了网络安全攻防实战能力的规划。他强调了识别防护对象的重要性，这涉及到了解和分析潜在的安全威胁，以便制定有效的防御策略。此外，他还提出了在防护、预警、对抗和处置等方面的能力规划，这些都是构建网络安全防御体系的关键组成部分。在运营能力规划方面，苗守野先生提出了“监、防、管、控、制”五个关键维度。他详细阐述了如何通过监测、防御、管理、控制和反制等手段，来提高网络安全的运营效率和效果。这五个方面的运营能力规划，旨在通过系统化和标准化的方法，提升网络安全管理的整体水平。

四、通信运营商领域的工程化应用

苗守野结合通信运营商的实际情况，探讨了网络攻防技术的工程化应用。他围绕基础通信网和业务支撑网两大防护对象，从“监、防、管、控、制”方面详细阐述安全运营能力关键技术和应用，主要包括态势感知、综合安全防护、威胁情报中心、安全数据分析、资产安全管理、漏洞安全管理、统一安全运营、常态指挥调度、专项攻防演练、攻击溯源分析以及攻击诱捕追踪等。通过网络攻防技术工程化应用，中国联通常态化安全运营逐步完善，实战攻防对抗能力逐年提升。

编者注：