01

當前攻防態(tài)勢

在目前實戰(zhàn)型攻防演練日益常態(tài)化的的趨勢下，攻擊方與防守方互相博弈。攻擊方的攻擊手段和技術(shù)更加多樣化，從傳統(tǒng)的以滲透測試為主的邊界突破轉(zhuǎn)向了釣魚郵件、供應鏈攻擊、安全設備0Day漏洞挖掘等更加豐富的入侵手段同時攻擊行為也更加隱蔽，內(nèi)存馬、隱秘隧道、加密通信流量等技術(shù)在其攻擊過程中也普遍應用。因此防守方的檢測防御技術(shù)也要針對性的從多個維度進行提升來應對不斷進步的攻擊技術(shù)。

02

暴露面梳理

攻擊方在實戰(zhàn)中只要實現(xiàn)單點突破即可，作為防守方則要從全局出發(fā)對各邊界暴露面和重要的內(nèi)部區(qū)域建立相應的監(jiān)控防護手段，因此對資產(chǎn)進行全面排查和梳理十分重要，是開展檢測、防御工作的前提和根本。

首先防守方要基于現(xiàn)有的各類資產(chǎn)管理平臺進行梳理，明確需要重點防護的互聯(lián)網(wǎng)邊界、三方邊界、重要內(nèi)部系統(tǒng)等所在區(qū)域及其涉及的相關(guān)資產(chǎn)，并確認其是否部署了有效的安全監(jiān)控防護措施，同時還需與對應平臺建立信息同步機制以保障資產(chǎn)變更時，與其對應的安全防護策略也可以第一時間進行調(diào)整，以保障安全防護的有效性。

另外在實際中企業(yè)涉及到的業(yè)務系統(tǒng)、應用系統(tǒng)多種多樣，僅通過資產(chǎn)平臺對其梳理往往會出現(xiàn)遺漏。因此還要從攻擊方的視角來進行資產(chǎn)收集，使用攻擊者常用的子域名爆破、ip地址段掃描、三方網(wǎng)絡空間策略工具搜索等技術(shù)手法來對安全資產(chǎn)管理機制進行補充和完善。通過上述機制來及時發(fā)現(xiàn)基于資產(chǎn)平臺梳理所遺漏未知資產(chǎn)、無人認領(lǐng)的資產(chǎn)、以及未徹底下線的老舊系統(tǒng)對其進行針對性的安全監(jiān)控，來減少安全監(jiān)控的死角。同時還可對暴露的邊界資產(chǎn)周期性的進行統(tǒng)一監(jiān)控和輕量級的風險探查以期來發(fā)現(xiàn)更多對外風險，對發(fā)現(xiàn)的風險點進行及時加固，進而使對外風險點逐步進行收斂。

03

多層次的檢測防御體系

針對日益多樣化的攻擊方式和更加隱蔽的攻擊手法，也要建立多維度多層次的檢測防御體系進行應對。在檢測層面要通過采集多維度海量的邊界區(qū)域網(wǎng)絡全流量日志，各類應用服務器的操作日志、安全設備告警日志等多樣化的日志數(shù)據(jù)，將其以標準化的形式存儲到集中的數(shù)據(jù)處理平臺，并建立對應的檢測模型和檢測規(guī)則在網(wǎng)絡流量和主機應用層面進行威脅自動化挖掘和關(guān)聯(lián)分析，并在內(nèi)外網(wǎng)絡中以不同的監(jiān)控視角為切入點進行制定有針對性的監(jiān)控策略。

在互聯(lián)網(wǎng)等邊界網(wǎng)絡區(qū)域，要以安全攻擊監(jiān)控分析為重點。邊界區(qū)域的各類應用為攻擊方最直觀的攻擊入口，其通常會嘗試各種攻擊手段嘗試進行邊界突破獲得內(nèi)網(wǎng)的攻擊入口，因此針對邊界應對各類安全攻擊進行精準的分類分級，建立合理的分析、處置措施，來過濾大量無效掃描流量，定位真正有風險的安全攻擊，并對其攻擊結(jié)果，攻擊造成的影響第一時間進行響應和處置。

在內(nèi)部網(wǎng)絡區(qū)域，要以異常行為感知為監(jiān)控分析的重點。攻擊方通過邊界突破、職場社工、釣魚郵件等方式獲得內(nèi)網(wǎng)權(quán)限后，通常都會以各類加密流量為基礎(chǔ)建立持續(xù)隱蔽的通信隧道，因此通過常規(guī)的安全監(jiān)控手段無法對其進行有效的檢測和發(fā)現(xiàn)，但攻擊方會以此為入口進一步探測內(nèi)網(wǎng)資產(chǎn)、獲取內(nèi)部數(shù)據(jù)來進行范圍更廣的內(nèi)部橫向移動。因此內(nèi)部安全監(jiān)控要以異常發(fā)現(xiàn)為重點，基于內(nèi)部各類主機、應用、蜜罐等的數(shù)據(jù)來制定針對性監(jiān)控策略及時發(fā)現(xiàn)安全風險并進行分析和處置。

在防御層面應將WAF（web應用防火墻）、流量分析檢測系統(tǒng)、威脅情報系統(tǒng)、防火墻等各類設備和系統(tǒng)進行聯(lián)動。將分析檢測系統(tǒng)發(fā)現(xiàn)的威脅結(jié)合情報系統(tǒng)以及其他維度的數(shù)據(jù)進行分析和風險評分。將達到一定分值的告警源IP下發(fā)至防火墻和WAF等設備進行自動化封堵，及時對惡意的攻擊行為進行攔截阻斷，通過自動化的攔截處置措施，來降低人力監(jiān)控的成本，提高安全監(jiān)控的效率。

此外還可以通過部署一定數(shù)量的互聯(lián)網(wǎng)蜜罐，采取以蜜罐為基礎(chǔ)的主動防御手段。通過蜜罐來捕獲攻擊方惡意攻擊行為，通過對攻擊行為進行深入分析來發(fā)現(xiàn)攻擊者的攻擊意圖、其所使用攻擊手法和攻擊技術(shù)。將獲取到的攻擊信息與自身防御體系結(jié)合，進行更加精準和高效的防御。

04

常態(tài)化的安全態(tài)勢監(jiān)控

從實際來看攻防對抗是一個持續(xù)動態(tài)的過程，攻擊者的手段在不斷變化，攻擊方法和工具也在不斷更新。通過一套固定的方法來解決所有的安全檢測與防護問題并不現(xiàn)實。因此要常態(tài)化持續(xù)性的對安全態(tài)勢進行監(jiān)控，與多方人員進行協(xié)同運營，共同維護和優(yōu)化檢測防御體系。

一方面要通過平時安全監(jiān)控、事件處置中不斷總結(jié)經(jīng)驗和技巧，建立一個快速高效的事件協(xié)同處置機制，持續(xù)根據(jù)最新的攻擊態(tài)勢進行優(yōu)化，這樣來應對各類型的保障和挑戰(zhàn)。另一方面則需要持續(xù)總結(jié)日常安全監(jiān)控用到的技術(shù)方法，將其落地成標準化的技術(shù)文檔和分析工具，將防御手段流程化、標準化可以進一步提升安全事件檢測處置效率，同時還可以最大限度的避免因人員流動造成的技術(shù)下滑等問題。

攻防的對抗無時無刻不在進行，安全防護工作也不容停歇。體系化的檢測防御體系需要一步一步做起，本文對其進行了總結(jié)供大家參考，希望在在實際建設對大家有所幫助，在安全檢測和防護體系的建設過程中共同探索和成長。

審核編輯 ：李倩