01

當前攻防態勢

在目前實戰型攻防演練日益常態化的的趨勢下，攻擊方與防守方互相博弈。攻擊方的攻擊手段和技術更加多樣化，從傳統的以滲透測試為主的邊界突破轉向了釣魚郵件、供應鏈攻擊、安全設備0Day漏洞挖掘等更加豐富的入侵手段同時攻擊行為也更加隱蔽，內存馬、隱秘隧道、加密通信流量等技術在其攻擊過程中也普遍應用。因此防守方的檢測防御技術也要針對性的從多個維度進行提升來應對不斷進步的攻擊技術。

02

暴露面梳理

攻擊方在實戰中只要實現單點突破即可，作為防守方則要從全局出發對各邊界暴露面和重要的內部區域建立相應的監控防護手段，因此對資產進行全面排查和梳理十分重要，是開展檢測、防御工作的前提和根本。

首先防守方要基于現有的各類資產管理平臺進行梳理，明確需要重點防護的互聯網邊界、三方邊界、重要內部系統等所在區域及其涉及的相關資產，并確認其是否部署了有效的安全監控防護措施，同時還需與對應平臺建立信息同步機制以保障資產變更時，與其對應的安全防護策略也可以第一時間進行調整，以保障安全防護的有效性。

另外在實際中企業涉及到的業務系統、應用系統多種多樣，僅通過資產平臺對其梳理往往會出現遺漏。因此還要從攻擊方的視角來進行資產收集，使用攻擊者常用的子域名爆破、ip地址段掃描、三方網絡空間策略工具搜索等技術手法來對安全資產管理機制進行補充和完善。通過上述機制來及時發現基于資產平臺梳理所遺漏未知資產、無人認領的資產、以及未徹底下線的老舊系統對其進行針對性的安全監控，來減少安全監控的死角。同時還可對暴露的邊界資產周期性的進行統一監控和輕量級的風險探查以期來發現更多對外風險，對發現的風險點進行及時加固，進而使對外風險點逐步進行收斂。

03

多層次的檢測防御體系

針對日益多樣化的攻擊方式和更加隱蔽的攻擊手法，也要建立多維度多層次的檢測防御體系進行應對。在檢測層面要通過采集多維度海量的邊界區域網絡全流量日志，各類應用服務器的操作日志、安全設備告警日志等多樣化的日志數據，將其以標準化的形式存儲到集中的數據處理平臺，并建立對應的檢測模型和檢測規則在網絡流量和主機應用層面進行威脅自動化挖掘和關聯分析，并在內外網絡中以不同的監控視角為切入點進行制定有針對性的監控策略。

在互聯網等邊界網絡區域，要以安全攻擊監控分析為重點。邊界區域的各類應用為攻擊方最直觀的攻擊入口，其通常會嘗試各種攻擊手段嘗試進行邊界突破獲得內網的攻擊入口，因此針對邊界應對各類安全攻擊進行精準的分類分級，建立合理的分析、處置措施，來過濾大量無效掃描流量，定位真正有風險的安全攻擊，并對其攻擊結果，攻擊造成的影響第一時間進行響應和處置。

在內部網絡區域，要以異常行為感知為監控分析的重點。攻擊方通過邊界突破、職場社工、釣魚郵件等方式獲得內網權限后，通常都會以各類加密流量為基礎建立持續隱蔽的通信隧道，因此通過常規的安全監控手段無法對其進行有效的檢測和發現，但攻擊方會以此為入口進一步探測內網資產、獲取內部數據來進行范圍更廣的內部橫向移動。因此內部安全監控要以異常發現為重點，基于內部各類主機、應用、蜜罐等的數據來制定針對性監控策略及時發現安全風險并進行分析和處置。

在防御層面應將WAF（web應用防火墻）、流量分析檢測系統、威脅情報系統、防火墻等各類設備和系統進行聯動。將分析檢測系統發現的威脅結合情報系統以及其他維度的數據進行分析和風險評分。將達到一定分值的告警源IP下發至防火墻和WAF等設備進行自動化封堵，及時對惡意的攻擊行為進行攔截阻斷，通過自動化的攔截處置措施，來降低人力監控的成本，提高安全監控的效率。

此外還可以通過部署一定數量的互聯網蜜罐，采取以蜜罐為基礎的主動防御手段。通過蜜罐來捕獲攻擊方惡意攻擊行為，通過對攻擊行為進行深入分析來發現攻擊者的攻擊意圖、其所使用攻擊手法和攻擊技術。將獲取到的攻擊信息與自身防御體系結合，進行更加精準和高效的防御。

04

常態化的安全態勢監控

從實際來看攻防對抗是一個持續動態的過程，攻擊者的手段在不斷變化，攻擊方法和工具也在不斷更新。通過一套固定的方法來解決所有的安全檢測與防護問題并不現實。因此要常態化持續性的對安全態勢進行監控，與多方人員進行協同運營，共同維護和優化檢測防御體系。

一方面要通過平時安全監控、事件處置中不斷總結經驗和技巧，建立一個快速高效的事件協同處置機制，持續根據最新的攻擊態勢進行優化，這樣來應對各類型的保障和挑戰。另一方面則需要持續總結日常安全監控用到的技術方法，將其落地成標準化的技術文檔和分析工具，將防御手段流程化、標準化可以進一步提升安全事件檢測處置效率，同時還可以最大限度的避免因人員流動造成的技術下滑等問題。

攻防的對抗無時無刻不在進行，安全防護工作也不容停歇。體系化的檢測防御體系需要一步一步做起，本文對其進行了總結供大家參考，希望在在實際建設對大家有所幫助，在安全檢測和防護體系的建設過程中共同探索和成長。

審核編輯 ：李倩