网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

#供应链攻防战##网络安全#

网络安全攻防演练已经成为检验网络安全防御能力最重要的手段之一，也是当下检验对关键信息系统基础设施网络安全防护工作的重要组成部分。

有效的网络安全攻防演练实际是一个攻击方与防守方相互促进、螺旋上升的过程。不管红队采取什么样的攻击方式，如病毒感染、漏洞利用、端点侧攻击、流量侧攻击等等，蓝队都能找到相应的防御方法，杀毒软件、打补丁、EDR、NIDS等概念层出不穷。整个过程你追我赶，颇有种“卤水点豆腐，一物降一物”的既视感。

图1 每种攻击方法都有与之对应的防御方式

而在红队的攻击目标中，“主机”是大部分攻击行动的最终目的，那么对于主机攻击来说，什么才是行之有效的“降服”措施呢？本文以主机安全防护面临的难题为切入点，详细分析了攻防演练中蓝队应该如何保证主机安全。

关注并私聊作者，可获取完整版《红队攻击全流程示意图》

图2 红队攻击部分流程示意图

为什么说主机是攻防演练的核心？

在攻防演练中，红蓝双方在既定规则下最大限度地模拟真实网络攻击，红队通常以实际运行的信息系统为攻击目标，以此来检验目标系统的安全防护能力。这个过程中，主机系统作为攻防中的重要靶标，一旦被夺取权限，就会造成防守方阵地沦陷。

因为主机承载着企业组织的核心资产，只有做好主机层的安全防御，才能确保企业核心资产安全，保障业务的正常运行。主机一旦遭受入侵，威胁到的将是整个内网的安全。

结合近年来网络攻防演练期间暴露的主要失分点排名来看，可以发现内网隐患占比最大、危害最大、扣分最多。其主要原因是在实际工作中，很多企业的主机环境极其复杂，混合着物理环境、虚拟环境及云环境。而在内网或者云上，很难找到一个类似“网关的位置”来部署安全监测与防护设备，内网和云上安全的防护实际上基本等同于对主机的安全防护。

因此，不论是从核心资产的保护，还是内网和云环境的安全防护来看，主机都是蓝队防守工作的重中之重。

攻防演练中主机安全防护面临的难题

那么，对蓝队来说，如何在攻防实战中确保主机安全呢？在开展主机安全防护工作之前，我们需要全面了解主机安全防护面临的问题，据此针对性地找到相应的解决方案，才能在攻防演练中对主机做到全方位的防护，避免被扣分。

主机安全防护面临的难题主要体现在以下几点：

1、对资产的认知不清晰、不全面。清点资产是进行安全防护的第一步，但很多情况下，蓝队无法对资产进行细粒度的清点，容易造成安全分析盲点；

2、漏洞处理不及时，容易被利用。企业主机数量庞大、系统多，相应地，其漏洞也多，红队常常会通过主机资产漏洞作为攻击点。

3、对入侵告警的检测和响应能力不足。无法从大量入侵告警中快速筛选出有价值的告警信息，也无法快速对成功的入侵做出响应。

4、体系无法应对新型攻击威胁。基于特征值的传统检测方法无法检测出新型攻击，如无文件内存马攻击、进程RCE命令执行、0day攻击等。

5、内网缺少有效的防护手段。很多企业缺乏主机间的隔离措施，攻击者只要进入内网，就能自由横向渗透到任意主机，获取核心信息。

面对这些问题，防守方需要具备资产清点、风险发现、入侵检测、微隔离等多个方面的能力，以实现对异常流量和告警信息的实时监控，并及时对失陷主机或被攻击成功的系统进行响应处置。争取从监测发现、分析研判、应急处置、追踪溯源4方面尽量得分。

防守神器：给主机提供全方位安全防护

要想在保证主机安全的同时还保证业务的稳定并不容易，很多企业甚至担心防护手段本身会成为被攻击者利用的漏洞。此外，主机面临的威胁，除了已知的，还有相当一部分是未知的，这部分未知的威胁很难通过传统方法检测出来。