隨著信息化時代的到來，網(wǎng)絡(luò)戰(zhàn)場成為繼陸?？仗熘蟮谋冶貭幹亍９膊孔?016年起，每年組織HW行動，檢驗(yàn)各單位的網(wǎng)絡(luò)安全防護(hù)能力。

2021 HW行動在上半年已經(jīng)結(jié)束了，但余音裊裊，它的影響仍滲透在日常防護(hù)工作中。

今年，安博通參加了多家單位的HW工作，幫助他們嚴(yán)防死守安全“底線”。下面就以點(diǎn)帶面，用一次HW實(shí)踐來總結(jié)：防守方可以做什么。

備戰(zhàn)期

在HW行動備戰(zhàn)階段，防守方要對安全現(xiàn)狀進(jìn)行排查。

① 清點(diǎn)網(wǎng)絡(luò)資產(chǎn)

某局有核心和公共兩套網(wǎng)絡(luò)，網(wǎng)絡(luò)中除了PC、服務(wù)器、虛擬機(jī)等終端設(shè)備外，還有網(wǎng)絡(luò)設(shè)備和安全設(shè)備。安博通協(xié)助某局清點(diǎn)網(wǎng)絡(luò)資產(chǎn)、檢查設(shè)備運(yùn)行狀態(tài);對歷史日志進(jìn)行分析，找出疑似被攻擊的主機(jī)并重點(diǎn)排查。確保網(wǎng)絡(luò)資產(chǎn)統(tǒng)計完整，在網(wǎng)設(shè)備安全可信。

② 排查可用服務(wù)

安博通協(xié)助某局落實(shí)“關(guān)閉非必需服務(wù)”等關(guān)鍵準(zhǔn)備工作。通過資產(chǎn)管理、端口掃描、弱密碼掃描等功能，排查各個設(shè)備開啟的服務(wù)端口，一一核實(shí)確認(rèn)端口的使用情況，關(guān)閉非必需服務(wù)，縮小網(wǎng)絡(luò)攻擊面。

③ 優(yōu)化安全配置

安博通根據(jù)某局的實(shí)際業(yè)務(wù)需求，對安全策略進(jìn)行整體優(yōu)化調(diào)整。發(fā)現(xiàn)并處置沖突策略、冗余策略、空策略等問題策略，逐條核對安全策略是否符合業(yè)務(wù)要求，在減少策略配置的同時，確保策略與業(yè)務(wù)相匹配。

決戰(zhàn)期

在HW行動決戰(zhàn)階段，防守方需要7*24小時不間斷值守，實(shí)時監(jiān)控安全態(tài)勢，并對安全事件進(jìn)行應(yīng)急響應(yīng)。

① 監(jiān)控&上報安全事件

安博通派遣專人前往某局值守，一旦發(fā)現(xiàn)安全事件，立即分析確認(rèn)。如果確認(rèn)為攻擊或異常流量，則上報該IP，由防火墻進(jìn)行封禁;如果確認(rèn)為誤報，則對IPS產(chǎn)品的規(guī)則進(jìn)行優(yōu)化。

② 分析&回溯安全事件

根據(jù)第三方情報信息，安博通對指定IP進(jìn)行查詢回溯，協(xié)助某局分析疑似安全事件。

在為期兩周的HW行動期間，安博通提供的高級威脅檢測與響應(yīng)平臺應(yīng)用于某局的公共區(qū)和核心區(qū)。

在公共區(qū)，平臺檢測到告警日志1100余條，包含96種攻擊類型;執(zhí)行攔截操作4400余次。由告警數(shù)據(jù)可以看出，攻擊方更傾向于利用Struts 2漏洞實(shí)施攻擊。防守方應(yīng)避免使用這些高危組件，如需要使用，請及時升級并打補(bǔ)丁加固，做到定期檢查。

在核心區(qū)，平臺告警數(shù)量超過15000條，其中有很多為請求惡意DNS域名告警。某局下屬省級單位開始自查自改后，告警數(shù)量大幅減少，需要持續(xù)排查整改。

防守方HW秘訣

1、資產(chǎn)清點(diǎn)要到位

清點(diǎn)資產(chǎn)是安全防護(hù)的第一步，只有看清內(nèi)部需要保護(hù)的資產(chǎn)有哪些、是否有未監(jiān)管到的資產(chǎn)、網(wǎng)絡(luò)安全設(shè)備的工作狀態(tài)是否正常，才能針對資產(chǎn)制定更深入的安全防護(hù)策略。

防守方應(yīng)加強(qiáng)資產(chǎn)管理力度，日常對所有硬件、軟件、服務(wù)登記在冊，不允許未登記的資產(chǎn)加入到網(wǎng)絡(luò)中。安博通網(wǎng)絡(luò)資源可視化管理平臺，對網(wǎng)絡(luò)拓?fù)浜途W(wǎng)絡(luò)資產(chǎn)進(jìn)行可視化管理，幫助防守方看清網(wǎng)絡(luò)結(jié)構(gòu)及網(wǎng)絡(luò)狀態(tài)，快速定位網(wǎng)絡(luò)故障。

2、策略梳理要定期

安全策略是網(wǎng)絡(luò)訪問的紅線和準(zhǔn)則，簡潔清晰的安全策略是網(wǎng)絡(luò)安全的基線。在策略梳理過程中，有時會出現(xiàn)“不了解，不敢刪”等情況，導(dǎo)致網(wǎng)絡(luò)中存在大量與實(shí)際業(yè)務(wù)無關(guān)、寬松、無效、重復(fù)的策略，這不僅給防火墻等設(shè)備增加了計算壓力，也給防守方帶來了更多運(yùn)維難題。

防守方應(yīng)定期進(jìn)行策略梳理，尤其是在HW行動等重大活動前夕。安博通安全策略智能運(yùn)維平臺，全流程自動化納管安全策略，持續(xù)高效合規(guī)運(yùn)維，幫助行業(yè)用戶實(shí)現(xiàn)安全策略的智能化管理。

3、應(yīng)急封堵要及時

現(xiàn)在，應(yīng)急處置方式多為值守人員發(fā)現(xiàn)告警后，將告警IP發(fā)送給防火墻管理員，由管理員在防火墻上增加配置、下發(fā)生效。這一流程不僅耗費(fèi)人力，且需要幾分鐘才能實(shí)現(xiàn)封禁;而攻擊方只需要十幾秒，就可以入侵網(wǎng)絡(luò)。同時，由于防火墻資源有限，至多只能封禁12萬個IP，很容易耗盡。

防守方需要盡量縮小從發(fā)現(xiàn)到封禁的時間差，即實(shí)現(xiàn)“檢測-封禁”自動化。由于惡意IP數(shù)量巨大且離散，建議使用專業(yè)的應(yīng)急處置設(shè)備。安博通應(yīng)急攔截網(wǎng)關(guān)最大支持1000萬條IP封禁，支持通過RESTful接口與第三方安全檢測產(chǎn)品對接，實(shí)現(xiàn)自動封禁，減少運(yùn)維成本。

4、下屬單位要防護(hù)

如果防守方下屬單位的網(wǎng)絡(luò)沒有足夠的防護(hù)措施，還有互相訪問的需求，就很容易帶來安全隱患。

防守方可要求下級單位做好防護(hù)，部署IPS、防火墻等網(wǎng)絡(luò)安全設(shè)備，排查隔離失陷主機(jī)，加強(qiáng)各區(qū)域、系統(tǒng)間的訪問控制，以保障自身和總部的網(wǎng)絡(luò)安全。

以上秘訣不只應(yīng)用于HW期間，還應(yīng)貫穿于常態(tài)化運(yùn)營日常，安全不是一天建成的，只有長期的過程安全才能使結(jié)果趨向于安全。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）