01

當(dāng)前攻防態(tài)勢(shì)

在目前實(shí)戰(zhàn)型攻防演練日益常態(tài)化的的趨勢(shì)下，攻擊方與防守方互相博弈。攻擊方的攻擊手段和技術(shù)更加多樣化，從傳統(tǒng)的以滲透測(cè)試為主的邊界突破轉(zhuǎn)向了釣魚郵件、供應(yīng)鏈攻擊、安全設(shè)備0Day漏洞挖掘等更加豐富的入侵手段同時(shí)攻擊行為也更加隱蔽，內(nèi)存馬、隱秘隧道、加密通信流量等技術(shù)在其攻擊過程中也普遍應(yīng)用。因此防守方的檢測(cè)防御技術(shù)也要針對(duì)性的從多個(gè)維度進(jìn)行提升來應(yīng)對(duì)不斷進(jìn)步的攻擊技術(shù)。

02

暴露面梳理

攻擊方在實(shí)戰(zhàn)中只要實(shí)現(xiàn)單點(diǎn)突破即可，作為防守方則要從全局出發(fā)對(duì)各邊界暴露面和重要的內(nèi)部區(qū)域建立相應(yīng)的監(jiān)控防護(hù)手段，因此對(duì)資產(chǎn)進(jìn)行全面排查和梳理十分重要，是開展檢測(cè)、防御工作的前提和根本。

首先防守方要基于現(xiàn)有的各類資產(chǎn)管理平臺(tái)進(jìn)行梳理，明確需要重點(diǎn)防護(hù)的互聯(lián)網(wǎng)邊界、三方邊界、重要內(nèi)部系統(tǒng)等所在區(qū)域及其涉及的相關(guān)資產(chǎn)，并確認(rèn)其是否部署了有效的安全監(jiān)控防護(hù)措施，同時(shí)還需與對(duì)應(yīng)平臺(tái)建立信息同步機(jī)制以保障資產(chǎn)變更時(shí)，與其對(duì)應(yīng)的安全防護(hù)策略也可以第一時(shí)間進(jìn)行調(diào)整，以保障安全防護(hù)的有效性。

另外在實(shí)際中企業(yè)涉及到的業(yè)務(wù)系統(tǒng)、應(yīng)用系統(tǒng)多種多樣，僅通過資產(chǎn)平臺(tái)對(duì)其梳理往往會(huì)出現(xiàn)遺漏。因此還要從攻擊方的視角來進(jìn)行資產(chǎn)收集，使用攻擊者常用的子域名爆破、ip地址段掃描、三方網(wǎng)絡(luò)空間策略工具搜索等技術(shù)手法來對(duì)安全資產(chǎn)管理機(jī)制進(jìn)行補(bǔ)充和完善。通過上述機(jī)制來及時(shí)發(fā)現(xiàn)基于資產(chǎn)平臺(tái)梳理所遺漏未知資產(chǎn)、無人認(rèn)領(lǐng)的資產(chǎn)、以及未徹底下線的老舊系統(tǒng)對(duì)其進(jìn)行針對(duì)性的安全監(jiān)控，來減少安全監(jiān)控的死角。同時(shí)還可對(duì)暴露的邊界資產(chǎn)周期性的進(jìn)行統(tǒng)一監(jiān)控和輕量級(jí)的風(fēng)險(xiǎn)探查以期來發(fā)現(xiàn)更多對(duì)外風(fēng)險(xiǎn)，對(duì)發(fā)現(xiàn)的風(fēng)險(xiǎn)點(diǎn)進(jìn)行及時(shí)加固，進(jìn)而使對(duì)外風(fēng)險(xiǎn)點(diǎn)逐步進(jìn)行收斂。

03

多層次的檢測(cè)防御體系

針對(duì)日益多樣化的攻擊方式和更加隱蔽的攻擊手法，也要建立多維度多層次的檢測(cè)防御體系進(jìn)行應(yīng)對(duì)。在檢測(cè)層面要通過采集多維度海量的邊界區(qū)域網(wǎng)絡(luò)全流量日志，各類應(yīng)用服務(wù)器的操作日志、安全設(shè)備告警日志等多樣化的日志數(shù)據(jù)，將其以標(biāo)準(zhǔn)化的形式存儲(chǔ)到集中的數(shù)據(jù)處理平臺(tái)，并建立對(duì)應(yīng)的檢測(cè)模型和檢測(cè)規(guī)則在網(wǎng)絡(luò)流量和主機(jī)應(yīng)用層面進(jìn)行威脅自動(dòng)化挖掘和關(guān)聯(lián)分析，并在內(nèi)外網(wǎng)絡(luò)中以不同的監(jiān)控視角為切入點(diǎn)進(jìn)行制定有針對(duì)性的監(jiān)控策略。

在互聯(lián)網(wǎng)等邊界網(wǎng)絡(luò)區(qū)域，要以安全攻擊監(jiān)控分析為重點(diǎn)。邊界區(qū)域的各類應(yīng)用為攻擊方最直觀的攻擊入口，其通常會(huì)嘗試各種攻擊手段嘗試進(jìn)行邊界突破獲得內(nèi)網(wǎng)的攻擊入口，因此針對(duì)邊界應(yīng)對(duì)各類安全攻擊進(jìn)行精準(zhǔn)的分類分級(jí)，建立合理的分析、處置措施，來過濾大量無效掃描流量，定位真正有風(fēng)險(xiǎn)的安全攻擊，并對(duì)其攻擊結(jié)果，攻擊造成的影響第一時(shí)間進(jìn)行響應(yīng)和處置。

在內(nèi)部網(wǎng)絡(luò)區(qū)域，要以異常行為感知為監(jiān)控分析的重點(diǎn)。攻擊方通過邊界突破、職場(chǎng)社工、釣魚郵件等方式獲得內(nèi)網(wǎng)權(quán)限后，通常都會(huì)以各類加密流量為基礎(chǔ)建立持續(xù)隱蔽的通信隧道，因此通過常規(guī)的安全監(jiān)控手段無法對(duì)其進(jìn)行有效的檢測(cè)和發(fā)現(xiàn)，但攻擊方會(huì)以此為入口進(jìn)一步探測(cè)內(nèi)網(wǎng)資產(chǎn)、獲取內(nèi)部數(shù)據(jù)來進(jìn)行范圍更廣的內(nèi)部橫向移動(dòng)。因此內(nèi)部安全監(jiān)控要以異常發(fā)現(xiàn)為重點(diǎn)，基于內(nèi)部各類主機(jī)、應(yīng)用、蜜罐等的數(shù)據(jù)來制定針對(duì)性監(jiān)控策略及時(shí)發(fā)現(xiàn)安全風(fēng)險(xiǎn)并進(jìn)行分析和處置。

在防御層面應(yīng)將WAF（web應(yīng)用防火墻）、流量分析檢測(cè)系統(tǒng)、威脅情報(bào)系統(tǒng)、防火墻等各類設(shè)備和系統(tǒng)進(jìn)行聯(lián)動(dòng)。將分析檢測(cè)系統(tǒng)發(fā)現(xiàn)的威脅結(jié)合情報(bào)系統(tǒng)以及其他維度的數(shù)據(jù)進(jìn)行分析和風(fēng)險(xiǎn)評(píng)分。將達(dá)到一定分值的告警源IP下發(fā)至防火墻和WAF等設(shè)備進(jìn)行自動(dòng)化封堵，及時(shí)對(duì)惡意的攻擊行為進(jìn)行攔截阻斷，通過自動(dòng)化的攔截處置措施，來降低人力監(jiān)控的成本，提高安全監(jiān)控的效率。

此外還可以通過部署一定數(shù)量的互聯(lián)網(wǎng)蜜罐，采取以蜜罐為基礎(chǔ)的主動(dòng)防御手段。通過蜜罐來捕獲攻擊方惡意攻擊行為，通過對(duì)攻擊行為進(jìn)行深入分析來發(fā)現(xiàn)攻擊者的攻擊意圖、其所使用攻擊手法和攻擊技術(shù)。將獲取到的攻擊信息與自身防御體系結(jié)合，進(jìn)行更加精準(zhǔn)和高效的防御。

04

常態(tài)化的安全態(tài)勢(shì)監(jiān)控

從實(shí)際來看攻防對(duì)抗是一個(gè)持續(xù)動(dòng)態(tài)的過程，攻擊者的手段在不斷變化，攻擊方法和工具也在不斷更新。通過一套固定的方法來解決所有的安全檢測(cè)與防護(hù)問題并不現(xiàn)實(shí)。因此要常態(tài)化持續(xù)性的對(duì)安全態(tài)勢(shì)進(jìn)行監(jiān)控，與多方人員進(jìn)行協(xié)同運(yùn)營，共同維護(hù)和優(yōu)化檢測(cè)防御體系。

一方面要通過平時(shí)安全監(jiān)控、事件處置中不斷總結(jié)經(jīng)驗(yàn)和技巧，建立一個(gè)快速高效的事件協(xié)同處置機(jī)制，持續(xù)根據(jù)最新的攻擊態(tài)勢(shì)進(jìn)行優(yōu)化，這樣來應(yīng)對(duì)各類型的保障和挑戰(zhàn)。另一方面則需要持續(xù)總結(jié)日常安全監(jiān)控用到的技術(shù)方法，將其落地成標(biāo)準(zhǔn)化的技術(shù)文檔和分析工具，將防御手段流程化、標(biāo)準(zhǔn)化可以進(jìn)一步提升安全事件檢測(cè)處置效率，同時(shí)還可以最大限度的避免因人員流動(dòng)造成的技術(shù)下滑等問題。

攻防的對(duì)抗無時(shí)無刻不在進(jìn)行，安全防護(hù)工作也不容停歇。體系化的檢測(cè)防御體系需要一步一步做起，本文對(duì)其進(jìn)行了總結(jié)供大家參考，希望在在實(shí)際建設(shè)對(duì)大家有所幫助，在安全檢測(cè)和防護(hù)體系的建設(shè)過程中共同探索和成長(zhǎng)。

審核編輯 ：李倩