随着数字化转型的深入，资产数字化导致了各组织单位的暴露面不断扩大，加之愈发密集的网络攻击，频繁发生的安全事件促使网络安全从合规走向了实战对抗的新阶段。

但在大部分组织的防守策略一成不变的同时，攻击方的“武器”配备却逐渐完善，社交网络钓鱼、0Day、Nday、无文件攻击等新型手法层出不穷。不仅如此，攻击方的攻击路径也更为刁钻，开始针对远程办公、云原生场景、软件供应链等防守“空白区”发起攻击。

攻击者可以失误无数次，但防守方却只能失误一次。面对种种攻防之间的实力差距，您真的拥有了与攻击者实时对抗的能力吗?又该如何在实战对抗中做到“0失误”？

今天，深信服为您带来一本“攻防兵法”，通过“攻防五计”助您补齐防守能力，守好实战攻防的大门。

“攻防兵法”第一计：知彼知己

如今，收集资产信息已经成为所有攻击方默认的第一步。但很多政企单位对自身的脆弱性和暴露面不了解，影子资产、数据泄露事件给了攻击方大量可利用入口。

所谓“知彼”，政企单位需要掌握攻击方的方法变化，通常可以利用红队检测模拟出攻击方可能开展的攻击路径，进行相应的防守部署。

所谓“知己”，政企单位需要在资产梳理的基础上进行互联网敏感信息排查、识别脆弱性、数据安全风险评估等动作，洞悉内外部风险点。

在“知彼知己”的基础上，想要“百战不殆”，还需要一个关键动作——查漏补缺，防守方需针对人、端、网、云、应用五个层面优化访问策略、安全基线、漏洞补丁等现有安全防护，补齐安全监测分析、云平台防护、诱捕攻击等缺失的防护能力，打牢实战对抗的防守“基本功”。 

“攻防兵法”第二计：重点防护

总结往年多次实战对抗的经验，攻击方和防守方在主机安全侧存在严重的能力不对等。

一方面，防守方以往的安全建设方式侧重于边界安全，往往轻视了主机的安全防护。另一方面，攻击方敏锐地察觉到了主机安全的防护缺失，开始大肆利用新型攻击手段来绕过边界，突破服务器、终端，以此进入内网和核心系统。

因此，防守方需针对主机安全进行“事前、事中、事后”的全面重点防护，除去主机杀毒软件的事后处置，防守方也需要利用CWPP、EDR等软件做好事前风险排查、异常行为实时监测的全流程管控，补齐针对新型攻击的动态防守能力：

1. 持续排查

动态梳理攻击面，持续发现主机侧的系统、应用、中间件、数据库等资产的漏洞、弱口令、配置缺陷，有针对性进行安全加固，避免被攻击者利用。

2.实时监测

通过CWPP等软件的多行为关联分析引擎对终端行为的不间断监测，实时发现恶意行为和高级威胁，阻断诸如加密、0Day、无文件等采用新型技术的攻击。

3.溯源处置

针对已经发生的攻击，做好主机内威胁自动取证及攻击行为关联聚合，通过可视化研判系统提供的攻击故事线还原能力，完整还原攻击入侵全过程，从而快速定位攻击入口、全面筛查受感染面、精准隔离威胁源头，深度保护业务资产安全。

“攻防兵法”第三计：精准管控

访问人员复杂、弱密码问题严重、用户权限固化、可疑行为难追溯、异常访问难发现……由于大部分政企单位的访问控制管理存在以上问题。利用弱口令爆破、钓鱼邮件、水坑攻击等手段窃取合法身份，利用用户权限入侵至重要系统，也成了近年攻击方普遍使用的方法之一。

从攻防对抗的视角出发，针对所有员工所使用的终端、连接的网络、访问的应用系统和数据建立零信任控制机制，设立层层识别的用户访问系统和动态管理的访问控制权限，做好访问权限的精准管控，可以极大程度上阻止此类攻击事件的发生：

1.做好基于统一身份凭据的访问控制，收缩业务、网络暴露面，隐藏业务网络拓扑，确保授信终端才能访问。

2.基于统一“鉴白”分析与持续信任评估，实现认证、访问、外联等环节的风险可控。

3.通过跨多类访问场景的统一策略控制，持续调优防火墙、代理网关、终端等场景环节的访问控制策略。

4.通过流量镜像将全部用户认证和访问业务的流量传输给NDR，由NDR进行分析和检测，发现风险，及时处置，防止攻击入侵。

“攻防兵法”第四计：溯源反制

在做好防守、监测、响应等工作后，防守方还可以选择“主动出击”，诱捕攻击进行溯源。但大部分攻击诱捕设备需要独立部署，极其容易被攻击方发现。深信服“攻防兵法”提供了新思路：将诱捕技术与防火墙结合，在防火墙上伪装代理和诱饵。

一方面，伪装代理防火墙及其关联的沙箱采用动态策略，对外呈现动态网络资产架构，干扰攻击者视线，引导攻击者进入互联网诱饵系统，阻断攻击。

另一方面，诱饵系统将反向引导攻击者在虚假攻击中暴露出设备指纹、社交ID等关键信息，在态势感知平台上统一展示。且互联网侧防火墙还可以引流到云端，结合云端威胁情报进行高级溯源分析，发挥最佳诱捕和溯源分析效果。

“攻防兵法”第五计：云地协同

在安全人员精力有限的情况下，面对设备上不间歇增加的安全告警，防守方该如何快速筛掉误报？如何进行有效的关联分析？如何跨组织跨小组迅速调动人员、协同作战？

“找外援“也许是个不错的办法，威胁分析平台与实时在线的云端高阶专家配合完成实战期间的日志实时采集、威胁监测、关联分析、事件响应。而以往深陷于海量告警的安全人员只需要关注实战攻防演习防守作战协同平台（SIR）即可直观了解到各资产状态、威胁分析研判结果、安全事件处置进展及人员排班。

不仅仅如此，在夜间等防守薄弱时期，云端专家配合现场值守人员进行7*24小时监测。一旦发现威胁或事件，云端专家将会立即发出告警并分析研判，由威胁分析平台联动安全防护设备进行精准处置。通过自动化平台、云端高阶专家与本地人员的共同协作，最终搭建起全天候、高效率的实时监测预警响应体系，减轻防守方的监测值守压力。

在历年的实战攻防中，深信服以自身优秀的攻防能力及防守策略帮助众多防守方圆满完成防守任务。面对今年“强度更高、难度更大“的网络攻防实战，也许您还有很多防守工作的困惑和疑问，您可咨询深信服专家，深信服专家将为您提供一对一专家解答，助您提前避坑，在今年的实战攻防中取得佳绩。