谋定而后动|大型攻防演练加强篇

通过这几年举行的大型攻防演练活动，很多人心里会有这样一个感受：攻防是不对等的。因为攻击方只需要撕开一个点，就会有所“收获”。如同木桶理论一样，防守方只要有一个“薄弱”面，大概率就会丢失一座“城池”。

因此，面对大型攻防演练时，作为防守方，往往需要考虑方方面面的安全，不能局限于关注某个方面或者单个防护点。实际上，真实的网络攻击与大型攻防演练相比，会更加没有约束，攻击行为也更加隐秘、更加多变。

本文将通过历年攻防演练过程中积累的经验，并结合实际真实网络攻击维度的思考，提供适用于攻防演练的纵深防御体系建设思路，希望能给各位带来一些启发。

纵深的防御体系建设，需要创建多层次的安全控制。因为互有重叠，当上一层被攻破时，下一层还能挡住攻击者。在实际运用过程中，采用了Gartner提出自适应安全架构（Adaptive Security Architecture，ASA）的思路。通过把握防御、检测、响应和预测四个维度构建纵深防御体系结构的闭环安全管理。

1）防御

指一系列可以用于防御攻击的策略集、产品和服务。其主要目标是通过减少被攻击面来提升攻击门槛，在攻击完成前阻断攻击操作。

2）检测

用来检测和识别那些逃过防御系统的攻击，其主要目标是降低威胁造成的计算机或网络“停摆时间”，以及其他潜在的损失。

3）响应

响应用于高效调查和修复被检测分析系统（或外部服务）识别出的告警事件，以用于入侵和攻击的溯源和取证分析，并产生新的阻止和防范手段来避免未来的告警事件。

4）预测

预测利用防御、检测、响应的结果不断优化安全运营系统，逐步构建精准的预测未知和新型攻击的能力。

结合自适应安全框架，本文提到的纵深防御体系建设主要从四个纵深来进行建设：网络纵深、应用纵深、检测纵深、管理纵深。

1、网络纵深

网络层面往往作为防护单位最外部的接口，是重点防护区域。比如说在互联网上的冠名网站、接口、VPN等对外服务必然会成为攻击者的首要目标。一旦一个点突破后，攻击者会迅速进行横向突破，争取控制更多的主机，同时试图建立多条隐蔽隧道，巩固成果，使防守者顾此失彼。

因此，阻止攻击者打点、网络横向渗透的最简单有效的防护手段，就是针对网络层面做好有效的访问控制措施。

（1）访问控制措施第一步：网络合理划区划域

结合目前网络的建设现状，对整个网络的安全域划分做适当的调整，明晰网络结构、理顺业务流方向、发挥现有的安全防护作用。

①　边界接入域

边界接入域定义为各类接入终端或远端服务器所在区域，如办公终端、生产终端、运维操作终端、研发终端、远程接入终端等。Client和agent都可以归为用户接入域，client代表用户（人）的接入，agent代表设备和数据源的接入。

②　网络设施域

网络设施域是由连接传输共同数据的核心计算域和接入域组成的基础设施构成的，如交换、路由设备等，并分为核心层、汇聚层、接入层。

③　核心计算域

核心计算域是服务器所在区域，如数据库服务器、业务服务器、WEB服务器等。

④　支撑设施域

通过为整个IT架构提供集中的安全管理和运维服务，支撑设施域可进行集中的安全管理、监控以及响应，分为运维管理和安全管理两个区。

（2）访问控制措施第二步：访问控制策略优化

另外一个方面，通过对网络层进行访问控制，并部署防火墙、IPS、NTA流量探针等安全产品，可以对所有流经数据包按照严格的安全规则进行过滤，将所有不安全的或不符合安全规则的数据包屏蔽，杜绝越权访问，防止各类非法攻击行为，与内网各类安全防护措施形成全面纵深的安全防御体系。

（3）访问控制措施核心价值：

①　网络安全的基础屏障

可以提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过设备，所以网络环境变得更安全。同时可以让网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的路径。可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

②　对网络存取和访问进行监控审计

所有的访问都经过网络安全设备。比如说NTA设备就能记录下这些访问并作出日志记录，同时也能提供关于网络使用情况的统计数据。当发现可疑动作时能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。

③　防止内部信息的外泄

通过利用网络安全设备对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而曝露了内部网络的某些安全漏洞。比如使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。

2、应用纵深

目前应用系统的开发普遍依赖于WEB技术，可以说WEB安全已经成为应用安全最重要的组成部分。同样，在攻防演练的过程中，很多都是利用WEB应用程序漏洞而进入到内网环境中。基于WEB漏洞的攻击，已经成为黑客首选的攻击入口。

在攻防演练过程中，很多攻击的动作和操作行为，都是通过应用层面来进行攻击的。因此，要加强应用纵深安全的能力，主要从WEB应用网络层面和WEB业务系统层面两个方面进行加强。

应用系统层面：

（1）对于 WEB 主机系统的安全设置而言，主要包括以下几个方面：

①确立系统安全策略设置，设置目录及磁盘访问权限。

②将默认共享的空链接关闭，将不必要的端口也进行关闭处理。

③限制匿名用户对本机的访问，并设置相应的用户执行权限。

④安装策略最小化处理，将不必要的服务进行关闭。

⑤创建一个无用户组的管理员账户，并设置安全系数高的密码。

（2）对于WEB 组件的安全设置而言，主要包括以下几个方面：

①将默认创建的目录进行删除。为 WEB 服务器设置站点、目录以及文件的访问权限。

②将不必要 IIS 扩展名映射删除。

③将 IIS 日志的路径更改。

④将未使用的账户删除，并设置安全系数高的密码。

⑤使用应用程序池，将应用程序隔离，提升 WEB的安全性与可靠性。

应用网络层面：

（1）构建 WEB 防御检测系统。使用该系统对 WEB 应用的运行情况进行实时监控，快速掌握WEB 应用安装运行状况，以便及时采取有针对性的应对措施，将安全风险降到最低。

（2）加强WEB系统的安全防护能力，对WEB系统主流的应用层攻击进行防护，如防止包括SQL注入攻击、XSS攻击、CSRF攻击防护，以及Cookie篡改防护、网站盗链防护、网页挂马防护、WEBShell防护等各种针对WEB系统的入侵攻击行为，确保不容易被红方攻击。

3、检测纵深：

现有的检测手段往往都依赖于工具或者设备方面来建立，但是从历年的攻防演练活动来看，工具及设备只是其中一个方面，另外一方面，有意识地通过专业人员进行主动检测也非常重要。检测维度的纵深主要从下面几个方面进行重点把控：

（1）网络系统安全评估

网络系统安全评估主要目标是发现网络拓扑结构中存在的安全缺陷，主要包括以下几个方面：

①　网络拓扑结构的安全性：网络拓扑结构是否合理，是否配置了相应的安全防御措施；

②　网络入口的安全性：扫描发现系统所有的网络入口、对外的服务入口以及对外开放的端口服务，并验证这些网络入口是否存在被入侵渗透的缺陷（很多系统都是由于分站点系统入口存在缺陷导致整个系统被入侵）；

③　网络设备安全性测试：针对网络系统中采用的各种防火墙、入侵检测系统、网络设备是否存在配置上的缺陷进行安全测试；

④　网络安全策略有效性测试：针对网络系统中采取的各种安全防护策略的有效性进行检测。

（2）应用系统安全评估

80%以上系统被入侵都是由于应用系统存在漏洞导致，因此为了保障应用系统安全性，最好能针对应用系统进行渗透测试。比如针对用户业务系统对外提供服务的应用系统做全面性的渗透测试服务，包括核心的网站系统、数据库应用、邮件服务器、FTP等对外提供服务的应用系统进行渗透测试。

另外，很多防守方的网站都比较老旧，同时数量众多，有问题也无法及时上报。因此，针对各类的网站安全进行检测，通过技术手段对网站进行漏洞扫描，检测网页是否存在漏洞、网页是否挂马、网页有没有被篡改、是否有欺诈网站等，提醒网站管理员及时修复和加固，保障 WEB 网站的安全运行。

（3）安全系统监控

最后，充分利用安全设备及监控平台进行监控。分析安全设备的日志，对应用系统的运行状态、资源占用率等情况进行查看，及时发现和应对攻击行为，根据记录的入侵源IP、攻击类型、攻击访问等特征进行关联分析。

4、管理纵深：

经过网络防御纵深、应用防御纵深、系统防御纵深、检测体系纵深等手段的建设，使每一种风险都有相应的措施应对，但是过多手段带来的就是管理上的问题。诸多防护系统的升级、维护和管理成为维护人员疲于应对的噩梦。各个防护措施间的协调配置也给维护人员提出了很高的挑战。保护对象是否安全已不是防护措施是否得当的简单问题，维护人员的负责程度、能力高低成为决定防护措施是否成功的关键，而这些因素极其不稳定，迫切需要统一的安全管理规范、流程、措施来规范系统维护人员的操作，确保实现稳定、有效的安全防护。

安全防护与管理一定是动态的，再稳固的静态防护措施，最终都会在新型漏洞和威胁下土崩瓦解。因此，安全管理体系纵深防御必须要实施流程化管控，其中包括四个阶段：防护、感知、决策和相应，并不断循环往复。

防护是指对网络设备、业务系统、信息等采取的各类防护手段，即按照控制框架实施的防护措施。感知主要指的是对网络中的各类安全事件完成监控，包括对网络中的行为、网络资源的状况、用户行为、网络流量、设备状态和系统脆弱的感知等。决策为安全事件的处理提供评判依据，包括了对防护对象和防护措施的等级划分和管理、安全事件的关联分析、安全风险评估、安全事件预警等。响应则完成对安全事件的处理过程，包括应急措施、灾难恢复、网络阻断、系统加固等措施。通过流程化的管控不断循环重复，及时调整安全防护策略，保证了安全防护系统效能不断提升。

技术上的问题一定是可以解决的，但是涉及到人的相关问题则是复杂的，因为人是信息安全领域最不安全的因素。即便是制定了严格的规章制度，建立了全面、稳定的安全防护体系，如果人不遵守这些制度，违规操作或者无意的行为，都可能绕过防护体系。在这种情况下，整个安全防护系统就像是马奇诺防线一样形同虚设。

因此要实现纵深防御，必须强调对人员的管理。规范员工的安全操作行为，加强员工的安全意识培训，提升员工对安全的认识高度，从意识形态领域提高信息安全防护的强度。

大型攻防实战演习最终目的是提升单的位整体安全能力，所以换个角度来看，参与大型攻防演练活动也是一个非常不错的机会。因为通过这样的机会，能够对自身的网络安全进行全面的反思和加强。

当然，因为篇幅有限，还有很多比较详细的内容及具体的内容没有做过多的描述，如果大家这块内容希望能够深入的了解的话，欢迎大家积极沟通讨论。