攻防演练中的防守方攻略.docxVIP

攻防演练中的防守方攻略 近年来，攻防演练已逐渐成为检验网络平安建设效果的重要方式。那么在 网络平安攻防演练中，如何做好防守工作并取得好的成绩呢？今天就一起盘 一盘这份攻防演练中的防守方攻略。 上次的文章中提到了如何提升攻防实战能力（见下面链接），基于大量以 往实战案例分析，从整体理念层面给出了可行的防守解决方案；这次的文章 将聚焦落地，提供干货满满的实操性作战指南。 一、知己知彼:攻击方常见的套路” 在攻防演练的全过程中，攻击方会利用一切手段来突破防线，从大量的攻防 演练案例来看，攻击方常用战术思路如下： 1.前期侦查通过百度文库、Github、求职APP等渠道收集有用信息。 利用网站、邮件系统、JAVA等应用的漏洞翻开入口。 攻击APP、公众号、小程序等移动应用获取权限。 对内部员工发动水坑、钓鱼邮件、QQ聊天等社工或类APT攻击。 迂回攻击下属单位，进入内网后绕道攻击总部目标。 .攻击供应链，挖掘漏洞或者利用已分配权限进入内网。 利用第三方运维人员、内部员工违规外联等方式入侵专网。 攻击第三方供应商、外包团队等，利用第三方接入网络攻击目标单位。 利用弱口令、密码复用等潜在问题获取权限。 3.扩大战果控制内部域控、堡垒机、云平台、单点登录等系统以点打面。 搜索多网卡主机、4A系统、网站等资产持续渗透。 攻击内部核心主机获取重要系统权限。 二、前车之鉴：防守方存在的普遍问题 防守方网络平安体系的健壮性决定了攻击方的突破难度，从过去的攻防演练 来看，防守方普遍存在以下问题： 互联网暴露面过多-对外的服务太多，没能有效维护和管理。 弱口令大量存在-除了内网的弱口令问题外，防守方对云平台、大数据、物联 网等弱口令问题重视程度不够。 缺乏纵深防护体系-重视外网边界防护，轻视内网防护。 重要系统防御薄弱-如域控系统、堡垒机等集权系统没有重点加固。 .敏感信息外部散播-网络拓扑、用户信息等泄露在互联网，成为攻击方利用点。 资产管理不到位-老/旧/僵尸系统清理不及时，容易成为攻击者的跳板。 供应链疏于管控-软件外包、外部服务提供商等成为迂回攻击的重要通道。 陈年漏洞长期暴露-早已披露的陈年漏洞未修复，特别是内网的漏洞修复不够 及时。 员工平安意识淡薄-内部员工缺乏平安意识，容易遭受社工攻击。 三、最正确实践：攻防演练防守作战指南 基于对攻击方的作战思路及大量实战案例的分析，某服总结出“三二一实战防 守思路，帮助用户更有效开展攻防演练备战工作，提升网络平安防御水平。 具体措施如下： 三个重点：风险消减、立体保护、监测响应 1.风险消减指南收敛互联网出入口-统一互联网出口，或尽量减少不必要的互联网出入口，减 轻防守压力。 压缩对外资产暴露面-如关闭不需要的网站、对外提供服务的业务系统等。 漏洞排查与修复/防护-全面开展主机、网络设备、平安设备、应用系统的漏 洞排查和修复工作，尤其是发布已久的高危漏洞，如核心系统无法修复，那么 部署入侵防御系统进行防护。 弱密码排查与修改-全面排查并修改重要系统、应用的弱密码（如123456、 默认密码等），服务器不应复用相同管理密码。 清理整顿老旧资产-清理不用的老旧资产、僵尸资产等，排查并清除应用的测 试账号，防止成为攻击跳板。 外泄敏感信息-在互联网上（如文库、Github、求职网站等）提前是 否存在被泄露的敏感信息，并做出相应的处置措施。 失陷主机检测处置-对内网所有主机进行排查，检测是否存在已经失陷但未发 现的系统（如已经存在远控木马或后门），并进行处置。 平安设备策略调优-清点优化平安设备策略，清点不合理、重复或失效的策略， Wi? Wi?Fi平安检测加 -对无线网络平安情况进行梳理，消除弱密码，发现并关 停内部用户私接Wi-Fi网络。 供应链梳理-加强对外包人员、外部供应商的监督和管理，对外包维护的信息 系统进行风险排查和加固。 加强员工平安意识-可对内部员工进行平安意识培训，减少被钓鱼邮件、社工 等方式突破的风险。 平安加效果验证-对加固完的网络防御能力进行评估，如渗透测试等，找至I 平安加 潜在风险点进行修复。 .立体保护指南.补齐纵向防护能力-建立南北向网络平安纵深防护体系，防止一道防线被突破 满盘皆输。使用如下一代防火墙、WAF、API网关、HIDS等建立多层防御体 系，增加攻击者边界突破的难度。 ?内部络分区分域-不同业务类型与平安 ?内部 网络平安区域，如划分为办公区、互联网区、内网应用区等。 ?域间平安隔离防护-在分区分域的基础上，针对各个区域边界建立不同的平安 防护措施，加大攻击方横向渗透的难度。 .监测响应指南内网攻击行为监测-部署内网平安检测设备，防止攻击者进入内网持续突破无 感知，目前业界较主流技术包括全流量监测分析系统、恶意文件检测沙箱系 统等。 终端异常行为监测-在终端系