【2023安天攻防演練廟算記】回顧

【攻防演練廟算記一】五事具足?

【攻防演練廟算記二】十處必救必守

【攻防演練廟算記三】情報(bào)先行

【攻防演練廟算記四】郵件安全

【攻防演練廟算記五】網(wǎng)站防護(hù)

?在實(shí)戰(zhàn)攻防演練對(duì)抗中，攻擊方對(duì)內(nèi)網(wǎng)的攻擊不可避免會(huì)通過(guò)網(wǎng)絡(luò)邊界。一般會(huì)利用系統(tǒng)的已知漏洞、未知漏洞或采用多種攻擊IP組合作業(yè)等綜合的體系化的攻擊策略，對(duì)防守客戶單位的網(wǎng)絡(luò)構(gòu)成強(qiáng)大的威脅；進(jìn)而通過(guò)覆蓋掃描、入侵、命令與控制、橫向移動(dòng)等攻擊手段完成入侵。

?因此，在攻防演練活動(dòng)期間，防守方就必須要對(duì)網(wǎng)絡(luò)邊界流量進(jìn)行深度監(jiān)測(cè)分析，實(shí)時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)異常、漏洞利用、惡意IP和惡意文件，并聯(lián)動(dòng)防火墻及時(shí)對(duì)攻擊方攻擊IP進(jìn)行阻斷。通過(guò)動(dòng)態(tài)綜合的網(wǎng)絡(luò)邊界防御體系與制針對(duì)性的防護(hù)策略，全面阻斷通過(guò)網(wǎng)絡(luò)邊界的攻擊，致使攻擊方不知從何攻擊，不知如何攻擊。猶如《孫子兵法·虛實(shí)篇》中提到的“善守者，敵不知其所攻”一樣，才能有效應(yīng)對(duì)攻擊方對(duì)內(nèi)網(wǎng)的威脅，降低失分風(fēng)險(xiǎn)。

?

本期為【2023安天攻防演練廟算記】第六章：網(wǎng)絡(luò)邊界防御。

針對(duì)防守客戶單位在實(shí)戰(zhàn)攻防演練中的網(wǎng)絡(luò)邊界防御場(chǎng)景，安天制定了網(wǎng)絡(luò)邊界監(jiān)測(cè)專項(xiàng)服務(wù)。通過(guò)安天探海威脅檢測(cè)系統(tǒng)進(jìn)行網(wǎng)絡(luò)全流量的安全檢測(cè)，可發(fā)現(xiàn)網(wǎng)絡(luò)邊界安全漏洞與異常流量并進(jìn)一步提交安全專家威脅獵殺，精準(zhǔn)定位攻擊IP，實(shí)時(shí)阻斷攻擊IP。通過(guò)安全專家分析研判的攻擊IP信息，生成面向客戶的定制化威脅情報(bào)，進(jìn)而將威脅情報(bào)IP地址同步至總部與二級(jí)單位的防火墻、WAF和IPS等具備阻斷功能的安全設(shè)備。

?

安天網(wǎng)絡(luò)邊界監(jiān)測(cè)專項(xiàng)服務(wù)在實(shí)戰(zhàn)攻防演練期間，可及時(shí)發(fā)現(xiàn)攻擊方通過(guò)網(wǎng)絡(luò)邊界發(fā)起的威脅行為，實(shí)時(shí)阻斷攻擊，降低失分風(fēng)險(xiǎn)。

?

01啟動(dòng)階段：定制防護(hù)方案

首先，安天會(huì)與客戶深度溝通，深入了解開(kāi)放服務(wù)系統(tǒng)業(yè)務(wù)現(xiàn)狀及邊界部署位置，梳理公網(wǎng)開(kāi)放系統(tǒng)承載的資產(chǎn)信息和安全漏洞，形成網(wǎng)內(nèi)對(duì)外開(kāi)放服務(wù)的資產(chǎn)列表、域名列表和漏洞列表，進(jìn)行資產(chǎn)管理和漏洞管理；然后，制定《網(wǎng)絡(luò)邊界監(jiān)測(cè)分析防護(hù)方案》，對(duì)威脅情報(bào)詳細(xì)分析，并就各類情報(bào)采取的預(yù)防措施與防守客戶單位人員協(xié)同進(jìn)行流程和策略設(shè)計(jì)。

?

02備戰(zhàn)階段：部署安全產(chǎn)品

部署安天探海威脅監(jiān)測(cè)系統(tǒng)（以下簡(jiǎn)稱“探?！保┖桶蔡煜乱淮鶺EB應(yīng)用防護(hù)系統(tǒng)（WAF），對(duì)網(wǎng)絡(luò)邊界流量進(jìn)行深度分析，建立流量基線。通過(guò)部署探海，以網(wǎng)絡(luò)流量為檢測(cè)分析對(duì)象，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)掃描探測(cè)、遠(yuǎn)程漏洞利用、攻擊載荷投放、僵尸網(wǎng)絡(luò)活動(dòng)、病毒擴(kuò)散傳播和木馬遠(yuǎn)程控制等網(wǎng)絡(luò)行為的檢測(cè)和告警，精準(zhǔn)檢測(cè)已知海量惡意代碼和網(wǎng)絡(luò)攻擊活動(dòng)，有效發(fā)現(xiàn)網(wǎng)絡(luò)可疑行為、資產(chǎn)和各類未知威脅。

?

03迎戰(zhàn)階段：封堵攻擊，溯源得分

通過(guò)探海和WAF，發(fā)現(xiàn)網(wǎng)絡(luò)掃描、漏洞利用、異常流量和惡意文件，追溯攻擊，形成威脅情報(bào)表單和詳細(xì)分析報(bào)告。分析報(bào)告包含發(fā)送時(shí)間、IP、詳細(xì)內(nèi)容和處置結(jié)果等。同時(shí)協(xié)助客戶封堵惡意IP、向現(xiàn)場(chǎng)安全專家同步受入侵情況、開(kāi)展取證分析，并將分析結(jié)果上報(bào)演練指揮部，從而幫助客戶獲得加分。

?

04總結(jié)階段：分析總結(jié)

按啟動(dòng)階段制定的工作目標(biāo)和工作計(jì)劃，根據(jù)客戶具體需求輸出《網(wǎng)絡(luò)邊界威脅檢測(cè)分析總結(jié)報(bào)告》，闡述網(wǎng)絡(luò)邊界威脅監(jiān)測(cè)及處置情況、威脅情報(bào)分析及預(yù)警成果。

安天網(wǎng)絡(luò)邊界監(jiān)測(cè)專項(xiàng)服務(wù)客戶價(jià)值

1. 分析研判設(shè)備告警與可疑文件，監(jiān)測(cè)客戶網(wǎng)絡(luò)中的各類安全事件；

?2. 有效發(fā)現(xiàn)未知威脅，揭示分析對(duì)象的惡意行為，跟蹤各類高級(jí)威脅和定向攻擊；

?3. 梳理并分析現(xiàn)網(wǎng)安全狀況；

?4. 監(jiān)督網(wǎng)絡(luò)安全制度落實(shí)情況，降低重大安全事件發(fā)生的風(fēng)險(xiǎn)；

?5. 檢測(cè)各類網(wǎng)空威脅，生成定制化威脅情報(bào)；

?6. 10年以上經(jīng)驗(yàn)安全專家團(tuán)，助力調(diào)查溯源幫助得分。

在2022年大型實(shí)戰(zhàn)攻防演練活動(dòng)中，安天網(wǎng)絡(luò)邊界監(jiān)測(cè)專項(xiàng)服務(wù)為某客戶單位發(fā)現(xiàn)網(wǎng)絡(luò)攻事件高達(dá)近80萬(wàn)起，并有效阻斷各類攻擊行為。

?

附錄：關(guān)鍵產(chǎn)品價(jià)值簡(jiǎn)介

?

2023年安天產(chǎn)品攻防演練防守實(shí)戰(zhàn)價(jià)值列表

下期預(yù)告

下期為【2023安天攻防演練廟算記】第七章：終端威脅檢查。

?將分享安天在實(shí)戰(zhàn)攻防演練場(chǎng)景中，如何通過(guò)終端威脅檢查來(lái)有效幫助防守客戶單位提升防御能力，降低失分風(fēng)險(xiǎn)。

?