近年來，攻防演練已逐漸成為檢驗網絡安全建設效果的重要方式。那么在網絡安全攻防演練中，如何做好防守工作并取得好的成績呢？今天就一起盤一盤這份攻防演練中的防守方攻略。

上次的文章中提到了如何提升攻防實戰能力（見下面鏈接），基于大量以往實戰案例分析，從整體理念層面給出了可行的防守解決方案；這次的文章將聚焦落地，提供干貨滿滿的實操性作戰指南。

點擊閱讀上期文章：深信服“三二一”模式，如何有效提升攻防實戰能力？

下面話不多說，直接上“干貨”！

知己知彼:攻擊方常見的“套路”

在攻防演練的全過程中，攻擊方會利用一切手段來突破防線，從大量的攻防演練案例來看，攻擊方常用戰術思路如下：

1. 前期偵查

• 通過百度文庫、Github、求職APP等渠道收集有用信息。

2. 突破防線

• 利用網站、郵件系統、JAVA等應用的漏洞打開入口。

• 攻擊APP、公眾號、小程序等移動應用獲取權限。

• 對內部員工發動水坑、釣魚郵件、QQ聊天等社工或類APT攻擊。

• 迂回攻擊下屬單位，進入內網后繞道攻擊總部目標。

• 攻擊供應鏈，挖掘漏洞或者利用已分配權限進入內網。

• 利用第三方運維人員、內部員工違規外聯等方式入侵專網。

• 攻擊第三方供應商、外包團隊等，利用第三方接入網絡攻擊目標單位。

• 利用弱口令、密碼復用等潛在問題獲取權限。

3. 擴大戰果

• 控制內部域控、堡壘機、云平臺、單點登錄等系統以點打面。

• 搜索多網卡主機、4A系統、網站等資產持續滲透。

• 攻擊內部核心主機獲取重要系統權限。

前車之鑒：防守方存在的普遍問題

防守方網絡安全體系的健壯性決定了攻擊方的突破難度，從過去的攻防演練來看，防守方普遍存在以下問題：

• 互聯網暴露面過多-對外的服務太多，沒能有效維護和管理。

• 弱口令大量存在-除了內網的弱口令問題外，防守方對云平臺、大數據、物聯網等弱口令問題重視程度不夠。

• 缺乏縱深防護體系-重視外網邊界防護，輕視內網防護。

• 重要系統防御單薄-如域控系統、堡壘機等集權系統沒有重點加固。

• 敏感信息外部散播-網絡拓撲、用戶信息等泄露在互聯網，成為攻擊方利用點。

• 資產管理不到位-老/舊/僵尸系統清理不及時，容易成為攻擊者的跳板。

• 供應鏈疏于管控-軟件外包、外部服務提供商等成為迂回攻擊的重要通道。

• 陳年漏洞長期暴露-早已披露的陳年漏洞未修復，特別是內網的漏洞修復不夠及時。

• 員工安全意識淡薄-內部員工缺乏安全意識，容易遭受社工攻擊。

最佳實踐：攻防演練防守作戰指南

基于對攻擊方的作戰思路及大量實戰案例的分析，深信服總結出“三二一”實戰防守思路，幫助用戶更有效開展攻防演練備戰工作，提升網絡安全防御水平。具體措施如下：

三個重點：風險消減、立體保護、監測響應

1. 風險消減指南

• 收斂互聯網出入口-統一互聯網出口，或盡量減少不必要的互聯網出入口，減輕防守壓力。

• 壓縮對外資產暴露面-如關閉不需要的網站、對外提供服務的業務系統等。

• 漏洞排查與修復/防護-全面開展主機、網絡設備、安全設備、應用系統的漏洞排查和修復工作，尤其是發布已久的高危漏洞，如核心系統無法修復，則部署入侵防御系統進行防護。

• 弱密碼排查與修改-全面排查并修改重要系統、應用的弱密碼（如123456、默認密碼等），服務器不應復用相同管理密碼。

• 清理整頓老舊資產-清理不用的老舊資產、僵尸資產等，排查并清除應用的測試賬號，防止成為攻擊跳板。

• 搜集外泄敏感信息-在互聯網上（如文庫、Github、求職網站等）提前搜集是否存在被泄露的敏感信息，并做出相應的處置措施。

• 失陷主機檢測處置-對內網所有主機進行排查，檢測是否存在已經失陷但未發現的系統（如已經存在遠控木馬或后門），并進行處置。

• 安全設備策略調優-清點優化安全設備策略，清點不合理、重復或失效的策略，并對策略進行細化。

• Wi-Fi安全檢測加固-對無線網絡安全情況進行梳理，消除弱密碼，發現并關停內部用戶私接Wi-Fi網絡。

• 供應鏈梳理-加強對外包人員、外部供應商的監督和管理，對外包維護的信息系統進行風險排查和加固。

• 加強員工安全意識-可對內部員工進行安全意識培訓，減少被釣魚郵件、社工等方式突破的風險。

• 安全加固效果驗證-對加固完的網絡防御能力進行評估，如滲透測試等，找到潛在風險點進行修復。

2. 立體保護指南

• 補齊縱向防護能力-建立南北向網絡安全縱深防護體系，防止一道防線被突破滿盤皆輸。使用如下一代防火墻、WAF、API網關、HIDS等建立多層防御體系，增加攻擊者邊界突破的難度。

• 內部網絡分區分域-不同業務類型與安全等級的網絡區域盡量劃分為不同的網絡安全區域，如劃分為辦公區、互聯網區、內網應用區等。

• 域間安全隔離防護-在分區分域的基礎上，針對各個區域邊界建立不同的安全防護措施，加大攻擊方橫向滲透的難度。

3. 監測響應指南

• 內網攻擊行為監測-部署內網安全檢測設備，防止攻擊者進入內網持續突破無感知，目前業界較主流技術包括全流量監測分析系統、惡意文件檢測沙箱系統等。

• 終端異常行為監測-在終端系統上部署如EDR等安全軟件，對終端行為進行監測，同時對終端安全日志進行統一收集、分析。

• 反向溯源與取證-對于更高的溯源與反向打擊要求，在內網建立蜜罐誘捕系統，對攻擊方進行完整的取證和溯源。

二項加強：強化關鍵系統防護、強化關鍵路徑防護

1. 強化關鍵系統防護措施

• 集權系統強化防護-對內部的核心業務系統、關鍵集權系統（如域控、堡壘機）等進行漏洞檢測和修復，并對其安全加固。

• 對外應用強化防護-加強互聯網相關應用的防護，如WEB網站、APP應用等的安全防護。

• 工控系統強化防護-加強工控網絡邊界安全防護，并對工控網絡隔離情況進行排查，看是否存在非法訪問路徑。

2. 強化關鍵路徑防護措施

• 梳理關鍵路徑信息-對到達關鍵系統的路徑進行梳理，關閉不必要的連通路徑，并對相應的用戶進行權限最小化的管控措施。

• 關鍵路徑強化防護-對能夠到達關鍵系統的相關路徑，強化安全防護措施，如部署多套異構的安全設備在關鍵路徑上，以加強安全防護。

一個中心：安全運營中心

• 建立安全運營中心-安全運營中心作為防守方的安全大腦，對所有網絡流量、日志等進行關聯分析、處置。在安全運營中心上建立工單系統及事件處置流程，利用SOAR或其它自動化的流程對安全事件進行告警、響應和處置。

深信服“三二一”模型可幫助攻防演練的防守方開展實戰防守工作，有效提升用戶網絡安全防御能力，真正實現“始于演練，精于實戰”。