隨著數(shù)字化轉(zhuǎn)型的深入，資產(chǎn)數(shù)字化導(dǎo)致了各組織單位的暴露面不斷擴(kuò)大，加之愈發(fā)密集的網(wǎng)絡(luò)攻擊，頻繁發(fā)生的安全事件促使網(wǎng)絡(luò)安全從合規(guī)走向了實(shí)戰(zhàn)對(duì)抗的新階段。

但在大部分組織的防守策略一成不變的同時(shí)，攻擊方的“武器”配備卻逐漸完善，社交網(wǎng)絡(luò)釣魚(yú)、0Day、Nday、無(wú)文件攻擊等新型手法層出不窮。不僅如此，攻擊方的攻擊路徑也更為刁鉆，開(kāi)始針對(duì)遠(yuǎn)程辦公、云原生場(chǎng)景、軟件供應(yīng)鏈等防守“空白區(qū)”發(fā)起攻擊。

攻擊者可以失誤無(wú)數(shù)次，但防守方卻只能失誤一次。面對(duì)種種攻防之間的實(shí)力差距，您真的擁有了與攻擊者實(shí)時(shí)對(duì)抗的能力嗎？又該如何在實(shí)戰(zhàn)對(duì)抗中做到“0失誤”？

今天，深信服為您帶來(lái)一本“攻防兵法”，通過(guò)“攻防五計(jì)”助您補(bǔ)齊防守能力，守好實(shí)戰(zhàn)攻防的大門(mén)。

“攻防兵法”第一計(jì)：知彼知己

如今，收集資產(chǎn)信息已經(jīng)成為所有攻擊方默認(rèn)的第一步。但很多政企單位對(duì)自身的脆弱性和暴露面不了解，影子資產(chǎn)、數(shù)據(jù)泄露事件給了攻擊方大量可利用入口。

所謂“知彼”，政企單位需要掌握攻擊方的方法變化，通�？梢岳�用紅隊(duì)檢測(cè)模擬出攻擊方可能開(kāi)展的攻擊路徑，進(jìn)行相應(yīng)的防守部署。

所謂“知己”，政企單位需要在資產(chǎn)梳理的基礎(chǔ)上進(jìn)行互聯(lián)網(wǎng)敏感信息排查、識(shí)別脆弱性、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估等動(dòng)作，洞悉內(nèi)外部風(fēng)險(xiǎn)點(diǎn)。

在“知彼知己”的基礎(chǔ)上，想要“百戰(zhàn)不殆”，還需要一個(gè)關(guān)鍵動(dòng)作——查漏補(bǔ)缺，防守方需針對(duì)人、端、網(wǎng)、云、應(yīng)用五個(gè)層面優(yōu)化訪問(wèn)策略、安全基線、漏洞補(bǔ)丁等現(xiàn)有安全防護(hù)，補(bǔ)齊安全監(jiān)測(cè)分析、云平臺(tái)防護(hù)、誘捕攻擊等缺失的防護(hù)能力，打牢實(shí)戰(zhàn)對(duì)抗的防守“基本功”。

“攻防兵法”第二計(jì)：重點(diǎn)防護(hù)

總結(jié)往年多次實(shí)戰(zhàn)對(duì)抗的經(jīng)驗(yàn)，攻擊方和防守方在主機(jī)安全側(cè)存在嚴(yán)重的能力不對(duì)等。

一方面，防守方以往的安全建設(shè)方式側(cè)重于邊界安全，往往輕視了主機(jī)的安全防護(hù)。另一方面，攻擊方敏銳地察覺(jué)到了主機(jī)安全的防護(hù)缺失，開(kāi)始大肆利用新型攻擊手段來(lái)繞過(guò)邊界，突破服務(wù)器、終端，以此進(jìn)入內(nèi)網(wǎng)和核心系統(tǒng)。

因此，防守方需針對(duì)主機(jī)安全進(jìn)行“事前、事中、事后”的全面重點(diǎn)防護(hù)，除去主機(jī)殺毒軟件的事后處置，防守方也需要利用CWPP、EDR等軟件做好事前風(fēng)險(xiǎn)排查、異常行為實(shí)時(shí)監(jiān)測(cè)的全流程管控，補(bǔ)齊針對(duì)新型攻擊的動(dòng)態(tài)防守能力：

1． 持續(xù)排查

動(dòng)態(tài)梳理攻擊面，持續(xù)發(fā)現(xiàn)主機(jī)側(cè)的系統(tǒng)、應(yīng)用、中間件、數(shù)據(jù)庫(kù)等資產(chǎn)的漏洞、弱口令、配置缺陷，有針對(duì)性進(jìn)行安全加固，避免被攻擊者利用。

2．實(shí)時(shí)監(jiān)測(cè)

通過(guò)CWPP等軟件的多行為關(guān)聯(lián)分析引擎對(duì)終端行為的不間斷監(jiān)測(cè)，實(shí)時(shí)發(fā)現(xiàn)惡意行為和高級(jí)威脅，阻斷諸如加密、0Day、無(wú)文件等采用新型技術(shù)的攻擊。

3．溯源處置

針對(duì)已經(jīng)發(fā)生的攻擊，做好主機(jī)內(nèi)威脅自動(dòng)取證及攻擊行為關(guān)聯(lián)聚合，通過(guò)可視化研判系統(tǒng)提供的攻擊故事線還原能力，完整還原攻擊入侵全過(guò)程，從而快速定位攻擊入口、全面篩查受感染面、精準(zhǔn)隔離威脅源頭，深度保護(hù)業(yè)務(wù)資產(chǎn)安全。

“攻防兵法”第三計(jì)：精準(zhǔn)管控

訪問(wèn)人員復(fù)雜、弱密碼問(wèn)題嚴(yán)重、用戶權(quán)限固化、可疑行為難追溯、異常訪問(wèn)難發(fā)現(xiàn)……由于大部分政企單位的訪問(wèn)控制管理存在以上問(wèn)題。利用弱口令爆破、釣魚(yú)郵件、水坑攻擊等手段竊取合法身份，利用用戶權(quán)限入侵至重要系統(tǒng)，也成了近年攻擊方普遍使用的方法之一。

從攻防對(duì)抗的視角出發(fā)，針對(duì)所有員工所使用的終端、連接的網(wǎng)絡(luò)、訪問(wèn)的應(yīng)用系統(tǒng)和數(shù)據(jù)建立零信任控制機(jī)制，設(shè)立層層識(shí)別的用戶訪問(wèn)系統(tǒng)和動(dòng)態(tài)管理的訪問(wèn)控制權(quán)限，做好訪問(wèn)權(quán)限的精準(zhǔn)管控，可以極大程度上阻止此類(lèi)攻擊事件的發(fā)生：

1．做好基于統(tǒng)一身份憑據(jù)的訪問(wèn)控制，收縮業(yè)務(wù)、網(wǎng)絡(luò)暴露面，隱藏業(yè)務(wù)網(wǎng)絡(luò)拓?fù)洌�確保授信終才能訪問(wèn)。

2．基于統(tǒng)一“鑒白”分析與持續(xù)信任評(píng)估，實(shí)現(xiàn)認(rèn)證、訪問(wèn)、外聯(lián)等環(huán)節(jié)的風(fēng)險(xiǎn)可控。

3．通過(guò)跨多類(lèi)訪問(wèn)場(chǎng)景的統(tǒng)一策略控制，持續(xù)調(diào)優(yōu)防火墻、代理網(wǎng)關(guān)、終端等場(chǎng)景環(huán)節(jié)的訪問(wèn)控制策略。

4．通過(guò)流量鏡像將全部用戶認(rèn)證和訪問(wèn)業(yè)務(wù)的流量傳輸給NDR，由NDR進(jìn)行分析和檢測(cè)，發(fā)現(xiàn)風(fēng)險(xiǎn)，及時(shí)處置，防止攻擊入侵。

“攻防兵法”第四計(jì)：溯源反制

在做好防守、監(jiān)測(cè)、響應(yīng)等工作后，防守方還可以選擇“主動(dòng)出擊”，誘捕攻擊進(jìn)行溯源。但大部分攻擊誘捕設(shè)備需要獨(dú)立部署，極其容易被攻擊方發(fā)現(xiàn)。深信服“攻防兵法”提供了新思路：將誘捕技術(shù)與防火墻結(jié)合，在防火墻上偽裝代理和誘餌。

一方面，偽裝代理防火墻及其關(guān)聯(lián)的沙箱采用動(dòng)態(tài)策略，對(duì)外呈現(xiàn)動(dòng)態(tài)網(wǎng)絡(luò)資產(chǎn)架構(gòu)，干擾攻擊者視線，引導(dǎo)攻擊者進(jìn)入互聯(lián)網(wǎng)誘餌系統(tǒng)，阻斷攻擊。

另一方面，誘餌系統(tǒng)將反向引導(dǎo)攻擊者在虛假攻擊中暴露出設(shè)備指紋、社交ID等關(guān)鍵信息，在態(tài)勢(shì)感知平臺(tái)上統(tǒng)一展示。且互聯(lián)網(wǎng)側(cè)防火墻還可以引流到云端，結(jié)合云端威脅情報(bào)進(jìn)行高級(jí)溯源分析，發(fā)揮最佳誘捕和溯源分析效果。

“攻防兵法”第五計(jì)：云地協(xié)同

在安全人員精力有限的情況下，面對(duì)設(shè)備上不間歇增加的安全告警，防守方該如何快速篩掉誤報(bào)？如何進(jìn)行有效的關(guān)聯(lián)分析？如何跨組織跨小組迅速調(diào)動(dòng)人員、協(xié)同作戰(zhàn)？

“找外援“也許是個(gè)不錯(cuò)的辦法，威脅分析平臺(tái)與實(shí)時(shí)在線的云端高階專(zhuān)家配合完成實(shí)戰(zhàn)期間的日志實(shí)時(shí)采集、威脅監(jiān)測(cè)、關(guān)聯(lián)分析、事件響應(yīng)。而以往深陷于海量告警的安全人員只需要關(guān)注實(shí)戰(zhàn)攻防演習(xí)防守作戰(zhàn)協(xié)同平臺(tái)（SIR）即可直觀了解到各資產(chǎn)狀態(tài)、威脅分析研判結(jié)果、安全事件處置進(jìn)展及人員排班。

不僅僅如此，在夜間等防守薄弱時(shí)期，云端專(zhuān)家配合現(xiàn)場(chǎng)值守人員進(jìn)行7＊24小時(shí)監(jiān)測(cè)。一旦發(fā)現(xiàn)威脅或事件，云端專(zhuān)家將會(huì)立即發(fā)出告警并分析研判，由威脅分析平臺(tái)聯(lián)動(dòng)安全防護(hù)設(shè)備進(jìn)行精準(zhǔn)處置。通過(guò)自動(dòng)化平臺(tái)、云端高階專(zhuān)家與本地人員的共同協(xié)作，最終搭建起全天候、高效率的實(shí)時(shí)監(jiān)測(cè)預(yù)警響應(yīng)體系，減輕防守方的監(jiān)測(cè)值守壓力。

在歷年的實(shí)戰(zhàn)攻防中，深信服以自身優(yōu)秀的攻防能力及防守策略幫助眾多防守方圓滿完成防守任務(wù)。面對(duì)今年“強(qiáng)度更高、難度更大“的網(wǎng)絡(luò)攻防實(shí)戰(zhàn)，也許您還有很多防守工作的困惑和疑問(wèn)，您可咨詢深信服專(zhuān)家，深信服專(zhuān)家將為您提供一對(duì)一專(zhuān)家解答，助您提前避坑，在今年的實(shí)戰(zhàn)攻防中取得佳績(jī)。