盘一盘，攻防演练中的防守方攻略

 近年来，攻防演练已逐渐成为检验网络安全建设效果的重要方式。那么在网络安全攻防演练中，如何做好防守工作并取得好的成绩呢？今天就一起盘一盘这份攻防演练中的防守方攻略。

上次的文章中提到了如何提升攻防实战能力（见下面链接），基于大量以往实战案例分析，从整体理念层面给出了可行的防守解决方案；这次的文章将聚焦落地，提供干货满满的实操性作战指南。

点击阅读上期文章：深信服“三二一”模式，如何有效提升攻防实战能力？

下面话不多说，直接上“干货”！

知己知彼:攻击方常见的“套路”

在攻防演练的全过程中，攻击方会利用一切手段来突破防线，从大量的攻防演练案例来看，攻击方常用战术思路如下：

1. 前期侦查

    通过百度文库、Github、求职APP等渠道收集有用信息。

2. 突破防线

    利用网站、邮件系统、JAVA等应用的漏洞打开入口。

    攻击APP、公众号、小程序等移动应用获取权限。

    对内部员工发动水坑、钓鱼邮件、QQ聊天等社工或类APT攻击。

    迂回攻击下属单位，进入内网后绕道攻击总部目标。

    攻击供应链，挖掘漏洞或者利用已分配权限进入内网。

    利用第三方运维人员、内部员工违规外联等方式入侵专网。

    攻击第三方供应商、外包团队等，利用第三方接入网络攻击目标单位。

    利用弱口令、密码复用等潜在问题获取权限。

3. 扩大战果

    控制内部域控、堡垒机、云平台、单点登录等系统以点打面。

    搜索多网卡主机、4A系统、网站等资产持续渗透。

    攻击内部核心主机获取重要系统权限。

前车之鉴：防守方存在的普遍问题

防守方网络安全体系的健壮性决定了攻击方的突破难度，从过去的攻防演练来看，防守方普遍存在以下问题：

    互联网暴露面过多-对外的服务太多，没能有效维护和管理。

    弱口令大量存在-除了内网的弱口令问题外，防守方对云平台、大数据、物联网等弱口令问题重视程度不够。

    缺乏纵深防护体系-重视外网边界防护，轻视内网防护。

    重要系统防御单薄-如域控系统、堡垒机等集权系统没有重点加固。

    敏感信息外部散播-网络拓扑、用户信息等泄露在互联网，成为攻击方利用点。

    资产管理不到位-老/旧/僵尸系统清理不及时，容易成为攻击者的跳板。

    供应链疏于管控-软件外包、外部服务提供商等成为迂回攻击的重要通道。

    陈年漏洞长期暴露-早已披露的陈年漏洞未修复，特别是内网的漏洞修复不够及时。

    员工安全意识淡薄-内部员工缺乏安全意识，容易遭受社工攻击。

佳实践：攻防演练防守作战指南

基于对攻击方的作战思路及大量实战案例的分析，深信服总结出“三二一”实战防守思路，帮助用户更有效开展攻防演练备战工作，提升网络安全防御水平。具体措施如下：

三个重点：风险消减、立体保护、监测响应

1. 风险消减指南

    收敛互联网出入口-统一互联网出口，或尽量减少不必要的互联网出入口，减轻防守压力。

    压缩对外资产暴露面-如关闭不需要的网站、对外提供服务的业务系统等。

    漏洞排查与修复/防护-全面开展主机、网络设备、安全设备、应用系统的漏洞排查和修复工作，尤其是发布已久的高危漏洞，如核心系统无法修复，则部署入侵防御系统进行防护。

    弱密码排查与修改-全面排查并修改重要系统、应用的弱密码（如123456、默认密码等），服务器不应复用相同管理密码。

    清理整顿老旧资产-清理不用的老旧资产、僵尸资产等，排查并清除应用的测试账号，防止成为攻击跳板。

    搜集外泄敏感信息-在互联网上（如文库、Github、求职网站等）提前搜集是否存在被泄露的敏感信息，并做出相应的处置措施。

    失陷主机检测处置-对内网所有主机进行排查，检测是否存在已经失陷但未发现的系统（如已经存在远控木马或后门），并进行处置。

    安全设备策略调优-清点优化安全设备策略，清点不合理、重复或失效的策略，并对策略进行细化。

    Wi-Fi安全检测加固-对无线网络安全情况进行梳理，消除弱密码，发现并关停内部用户私接Wi-Fi网络。

    供应链梳理-加强对外包人员、外部供应商的监督和管理，对外包维护的信息系统进行风险排查和加固。

    加强员工安全意识-可对内部员工进行安全意识培训，减少被钓鱼邮件、社工等方式突破的风险。

    安全加固效果验证-对加固完的网络防御能力进行评估，如渗透测试等，找到潜在风险点进行修复。

2. 立体保护指南

    补齐纵向防护能力-建立南北向网络安全纵深防护体系，防止一道防线被突破满盘皆输。使用如下一代防火墙、WAF、API网关、HIDS等建立多层防御体系，增加攻击者边界突破的难度。

    内部网络分区分域-不同业务类型与安全等级的网络区域尽量划分为不同的网络安全区域，如划分为办公区、互联网区、内网应用区等。

    域间安全隔离防护-在分区分域的基础上，针对各个区域边界建立不同的安全防护措施，加大攻击方横向渗透的难度。

3. 监测响应指南

    内网攻击行为监测-部署内网安全检测设备，防止攻击者进入内网持续突破无感知，目前业界较主流技术包括全流量监测分析系统、恶意文件检测沙箱系统等。

    终端异常行为监测-在终端系统上部署如EDR等安全软件，对终端行为进行监测，同时对终端安全日志进行统一收集、分析。

    反向溯源与取证-对于更高的溯源与反向打击要求，在内网建立蜜罐诱捕系统，对攻击方进行完整的取证和溯源。

二项加强：强化关键系统防护、强化关键路径防护

1. 强化关键系统防护措施

    集权系统强化防护-对内部的核心业务系统、关键集权系统（如域控、堡垒机）等进行漏洞检测和修复，并对其安全加固。

    对外应用强化防护-加强互联网相关应用的防护，如WEB网站、APP应用等的安全防护。

    工控系统强化防护-加强工控网络边界安全防护，并对工控网络隔离情况进行排查，看是否存在非法访问路径。

2. 强化关键路径防护措施

    梳理关键路径信息-对到达关键系统的路径进行梳理，关闭不必要的连通路径，并对相应的用户进行权限 小化的管控措施。

    关键路径强化防护-对能够到达关键系统的相关路径，强化安全防护措施，如部署多套异构的安全设备在关键路径上，以加强安全防护。

一个中心：安全运营中心

    建立安全运营中心-安全运营中心作为防守方的安全大脑，对所有网络流量、日志等进行关联分析、处置。在安全运营中心上建立工单系统及事件处置流程，利用SOAR或其它自动化的流程对安全事件进行告警、响应和处置