【2023安天攻防演練廟算記】回顧

【攻防演練廟算記一】五事具足

【攻防演練廟算記二】十處必救必守

【攻防演練廟算記三】情報(bào)先行

【攻防演練廟算記四】郵件安全

?

由于DMZ區(qū)面向公網(wǎng)開放，且無論是在日常時(shí)期還是在攻防演練期間，其承載的網(wǎng)站類應(yīng)用一般都是可以被包括攻擊方在內(nèi)的公眾訪問的，也就形成了《孫子兵法·地形篇》中提到的“我可以往，彼可以來”的“通”，即我們可以去，敵人也可以來的區(qū)域。因此，攻擊方勢(shì)必會(huì)利用這種“優(yōu)勢(shì)”，通過信息收集、弱口令暴力破解、泄露憑證登錄、webshell投遞、漏洞利用和創(chuàng)建shell等手段，通過DMZ區(qū)網(wǎng)站群向內(nèi)網(wǎng)進(jìn)行滲透。

?

《孫子兵法》針對(duì)“通”的對(duì)抗形勢(shì)，也提出了“通形者，先居高陽，利糧道，以戰(zhàn)則利”的應(yīng)對(duì)辦法。放在實(shí)戰(zhàn)攻防演練對(duì)抗場(chǎng)景中，就是指防守方必須要事先加強(qiáng)WEB應(yīng)用訪問控制、漏洞利用檢測(cè)和服務(wù)器終端威脅檢測(cè)等方面的安全能力，通過全面的提升網(wǎng)站安全防護(hù)水平，配備足夠的對(duì)抗資源（安全產(chǎn)品和安全專家）并形成有利的對(duì)抗態(tài)勢(shì)，養(yǎng)精蓄銳，才能有效防御攻擊方利用網(wǎng)站發(fā)動(dòng)攻擊，獲得優(yōu)勢(shì)。

?

本期為【2023安天攻防演練廟算記】第五章：網(wǎng)站安全防護(hù)。

?

安天網(wǎng)站安全防護(hù)專項(xiàng)服務(wù)，采用托管模式，可針對(duì)防守客戶單位網(wǎng)站的安全性與可用性進(jìn)行全面監(jiān)測(cè)，針對(duì)影響網(wǎng)站及系統(tǒng)運(yùn)行的安全隱患進(jìn)行實(shí)時(shí)監(jiān)控，監(jiān)控內(nèi)容包括網(wǎng)頁篡改、掛馬、暗鏈、域名劫持、后門、關(guān)鍵字等。服務(wù)基于安天安全產(chǎn)品防御能力結(jié)合安全專家現(xiàn)場(chǎng)響應(yīng)共同支撐，可以幫助客戶在短時(shí)間內(nèi)發(fā)現(xiàn)網(wǎng)站存在的安全問題，并通過監(jiān)測(cè)報(bào)告定制安全策略，調(diào)整相應(yīng)安全措施，從而極速提高網(wǎng)站的安全防護(hù)水平，極大降低在攻防演練活動(dòng)期間因網(wǎng)站安全缺陷或漏洞造成的失分風(fēng)險(xiǎn)。

安天網(wǎng)站安全防護(hù)專項(xiàng)服務(wù)，可為防守單位客戶提供覆蓋攻防演練“啟動(dòng)、備戰(zhàn)、迎戰(zhàn)、總結(jié)”全生命周期的解決方案。

01啟動(dòng)階段：資產(chǎn)梳理，制定預(yù)案

安天將通過開展網(wǎng)站群資產(chǎn)細(xì)粒度梳理，制定網(wǎng)站安全應(yīng)急事件處理和應(yīng)對(duì)措施。首先，安天安全專家將通過資產(chǎn)安全運(yùn)維平臺(tái)或其他掃描工具識(shí)別演練期間上線系統(tǒng)的關(guān)聯(lián)資產(chǎn)；其次，通過現(xiàn)場(chǎng)調(diào)研的方式，利用資產(chǎn)調(diào)研表對(duì)掃描后的資產(chǎn)信息進(jìn)行對(duì)比、合并、除錯(cuò)，補(bǔ)齊資產(chǎn)的詳細(xì)信息；然后，對(duì)安全管理人員、網(wǎng)絡(luò)管理人員、主機(jī)系統(tǒng)管理人員、應(yīng)用開發(fā)和維護(hù)人員進(jìn)行訪談，明確資產(chǎn)責(zé)任人；最后，針對(duì)演練中可能發(fā)生的掃描類、暴力破解類、高危漏洞利用類和木馬類等安全事件，制定網(wǎng)站安全應(yīng)急預(yù)案。

02備戰(zhàn)階段：部署產(chǎn)品，加固防御

通過智甲云主機(jī)安全系統(tǒng)，開展安全配置核查，發(fā)現(xiàn)網(wǎng)站存在的安全漏洞和后門程序，協(xié)助落實(shí)加固措施；梳理公網(wǎng)開源賬戶及泄露口令，使用口令枚舉、泄露憑證登錄等方式評(píng)估口令安全狀態(tài)，從事前分析并管理其中的潛在安全風(fēng)險(xiǎn)，提前防范風(fēng)險(xiǎn)并提高攻擊門檻。同時(shí)自動(dòng)學(xué)習(xí)梳理各業(yè)務(wù)之間的訪問關(guān)系，使用微隔離將各業(yè)務(wù)系統(tǒng)做不同細(xì)粒度的隔離策略，收斂業(yè)務(wù)暴露面減小攻擊影響。同時(shí)，安全專家結(jié)合漏洞掃描與滲透測(cè)試，發(fā)現(xiàn)網(wǎng)站存在的安全漏洞；通過部署安天下一代WEB應(yīng)用防護(hù)系統(tǒng)（WAF）、安天應(yīng)用威脅自免疫工具（Antiy RASP）與安天智甲云主機(jī)安全系統(tǒng)，實(shí)現(xiàn)流量側(cè)與終端側(cè)威脅捕獲能力、威脅誘捕能力，通過智甲安全管理中心收集WAF、智甲防護(hù)客戶端和流量監(jiān)測(cè)設(shè)備日志，實(shí)現(xiàn)綜合研判，發(fā)現(xiàn)入侵威脅。

03迎戰(zhàn)階段：實(shí)時(shí)響應(yīng)，爭(zhēng)取加分

通過人工監(jiān)測(cè)威脅感知設(shè)備，發(fā)現(xiàn)針對(duì)DMZ網(wǎng)站的網(wǎng)絡(luò)探測(cè)和網(wǎng)絡(luò)入侵。對(duì)于發(fā)現(xiàn)的Webshell、木馬，安天安全專家將深度分析樣本并形成分析報(bào)告（分析報(bào)告包含發(fā)送時(shí)間、IP、詳細(xì)內(nèi)容和處置結(jié)果等）。同時(shí)，協(xié)助客戶上報(bào)分析結(jié)果至演習(xí)指揮部，獲得加分；對(duì)于已發(fā)現(xiàn)成功入侵的系統(tǒng)，協(xié)助應(yīng)急處置，獲得處置得分；結(jié)合樣本IP，聯(lián)合安天威脅情報(bào)中心，溯源攻擊者，獲得溯源加分。

04總結(jié)階段：協(xié)助總結(jié)，提交報(bào)告

針對(duì)發(fā)現(xiàn)的網(wǎng)站攻擊事件、發(fā)現(xiàn)的威脅文件提供總結(jié)報(bào)告，協(xié)助客戶完成總結(jié)工作。

安天網(wǎng)站安全防護(hù)專項(xiàng)服務(wù)客戶價(jià)值

1. 預(yù)警網(wǎng)絡(luò)攻擊，使用威脅情報(bào)（TI），先攻擊方一步而消除攻擊威脅；

2. 檢測(cè)并阻斷網(wǎng)站威脅，積極應(yīng)對(duì)各類攻擊手段；

3. 超過10年實(shí)戰(zhàn)經(jīng)驗(yàn)安全專家支撐，助力調(diào)查溯源幫助獲得加分。

?

在2022年大型實(shí)戰(zhàn)攻防演練活動(dòng)中，安天網(wǎng)站安全防護(hù)專項(xiàng)服務(wù)為某客戶單位阻斷Web攻擊事件近3萬起，監(jiān)測(cè)入侵蜜罐事件11起，溯源加分400分。

?

附錄：關(guān)鍵產(chǎn)品價(jià)值簡(jiǎn)介

下期預(yù)告

下期為【2023安天攻防演練廟算記】第六章：網(wǎng)絡(luò)邊界監(jiān)測(cè)。

?

將分享基于安天探海威脅檢測(cè)系統(tǒng)進(jìn)行網(wǎng)絡(luò)全流量的安全檢測(cè)，及時(shí)發(fā)現(xiàn)攻擊方通過網(wǎng)絡(luò)邊界發(fā)起的滲透行為，同時(shí)配合安全專家人工進(jìn)行威脅獵殺，在阻斷攻擊降低失分風(fēng)險(xiǎn)的同時(shí)開展取證分析獲得加分。

?