未知攻 焉知防：从攻击视角看“重保”场景的防守之道

重大活动保障期间，企业不仅要面对愈发灵活隐蔽的新型攻击挑战，还要在人员、精力有限的情况下应对不分昼夜的高强度安全运维任务。如何避免“疲于应付”，在多重工作中“抽丝剥茧”？

本文从蓝军视角，拆解攻击方的攻击路径，帮助企业理清重保场景下的应对策略，通过构建云原生安全“3+1防护体系”，提升响应效率，确保“0安全事件0损失”。

知己知彼，方能百战不殆。只有充分了解攻击方的思路，从全局视角事先构建完备的安全防护体系，才能系统性防护云上资产。

Step1 信息收集：东搜西罗，打探军情

信息收集是攻击第一步，也是最关键的一个阶段。信息的收集深度直接决定了渗透过程的复杂程度。在展开攻击前，蓝军往往会先对企业资产暴露面进行分析，对目标企业进行资产信息收集。

1、从公开信息入手，利用FOFA、SHODAN、搜索引擎等，搜集域名、IP等资产信息；利用天眼查、企查查等获取企业相关信息；

2、通过主机扫描、端口扫描、系统类型扫描等途径，发现攻击目标的开放端口、服务和主机，并对目标服务器指纹和敏感路径进行探测识别，完成攻击面测绘及企业防护薄弱点的梳理；

3、除了技术手段，攻击者还会利用社会工程学或企业泄露在外的敏感信息，借助钓鱼攻击等方式获取账号密码等关键信息，提升攻击成功率。

应对要诀：摸清家底，部署防线

资产管理是安全防护的第一要务。建议企业先通过云安全中心明晰防护对象现状，对IP、端口、Web服务等暴露在外的资产进行全盘测绘。同时，构建云上三道防线，实时感知安全风险，做好资产加固。

Step2 漏洞分析：顺藤摸瓜，伺机行事

漏洞是蓝军撕开防线的重要武器，蓝军攻击路径的确认依赖于对漏洞的探测分析结果。

1、根据信息收集阶段梳理的企业资产信息（包括Web指纹、高危服务等），利用漏洞扫描器、指纹对应的已知漏洞或自行代码审计挖掘的0day漏洞来进行外网打点；

2、寻找到可被利用的攻击突破口后，确认外部攻击入侵路径并进行攻击验证。

应对要诀：非必要不暴露，先缓解再修复

完成资产清点后如何对蓝军的攻击路径进行封堵？首先，企业需进一步收敛资产暴露面，做到非必要不暴露，必须对外的业务务必重点加固。针对漏洞风险，集成三道防线和云安全中心统筹能力对漏洞等互联网暴露面做有效收敛。

Step3 渗透攻击：顺手牵羊，乘虚而入

当分析得到有效漏洞入侵攻击路径之后，蓝军将针对目标服务器的脆弱性发起渗透攻击。

1、利用反序列化漏洞、命令执行漏洞、代码执行漏洞、任意文件上传漏洞、文件包含漏洞、表达式注入漏洞、JNDI注入漏洞、SSTI、SSI、XXE、SQL注入、未授权访问漏洞等类型的已知高危漏洞或挖掘的0day漏洞来getshell或获取敏感数据库权限；

2、获取外网入口点，为进一步进行横向渗透打下据点。

应对要诀：知己知彼，对症下药

针对不同类型的攻击，可通过云安全中心联动三道防线部署全面的安全管控策略。针对已知来源、手法攻击进行实时检测、拦截；针对未知威胁，利用云防火墙网络蜜罐能力，将仿真服务通过探针暴露在公网对未知攻击者进行诱捕并反制。

Step4 横向渗透：声东击西，持续渗透

蓝军成功通过外网打点突破边界之后，会基于getshell的入口点继续进行横向渗透，逐步扩大攻击成果。

1、为了深入了解内网情况，攻击者会先对本机系统信息、网络架构信息、域信息等进行收集，梳理目标内网资产信息（包括内网网段、开启的主机、服务等）；

2、针对内网存在漏洞的资产进行渗透攻击并搭建内网隧道，增加渗透入侵攻击路径。

应对要诀：精准隔离，部署陷阱

针对内网渗透攻击，需进行细粒度网络隔离。同时主动出击，对蓝军行为进行持续监控，在内网增设网络蜜罐陷阱，有效溯源反制攻击者，拖延攻击时间，为正常业务争取宝贵的安全加固时间。

Step5 后渗透：瞒天过海，长期潜伏

在后渗透阶段，蓝军会尽可能保持对系统的控制权，并进行痕迹清理防止渗透入侵行为被溯源。

1、根据是否为高权限用户来决定是否进行权限提升；拿到高权限之后，为了持久化渗透目标内网，蓝军会利用各种持久化后门技术来进行长久的权限维持，包括Rootkit、内存马、crontab后门、写ssh公钥、LD_PRELOAD劫持函数、新增隐藏用户、替换bash后门、环境变量植入后门、启动项后门等等利用方式；

2、在整个渗透测试目标达成之后，蓝军会对渗透的目标主机进行痕迹清除，包括history清理、应用日志清理、系统日志清理、权限维持后门清理、新增用户清理等。

应对要诀：做好日志管理，有效取证溯源

借助云安全中心联动分析报告、攻击日志统一管理能力，结合威胁情报提供攻击者行为画像（包括战术、手法、环境、样本等），有效实现攻击溯源和反制。

为帮助企业建立全面、高效的防护体系，腾讯安全推出“3+1”一站式重保解决方案。

（腾讯安全“3+1”解决方案)

1、第一道防线——云防火墙：作为最外层城墙，覆盖用户云上业务的所有流量边界，提供访问控制、入侵防御、身份认证等安全能力，并集成漏洞扫描与网络蜜罐。在重保场景下，可自动梳理云上资产、发现并收敛暴露面。借助网络蜜罐诱捕与溯源反制、以及基于身份认证的访问控制能力应对未知攻击，让攻击者无处藏匿；

2、第二道防线——Web应用防火墙：在客户端和客户业务源站之间筑起一道七层应用防火墙；可提供细粒度的处置策略，保障重保及常态情境下业务与数据安全，为企业Web应用提供0day漏洞应急响应、反爬虫、防薅羊毛等全场景防护；

3、第三道防线——主机/容器安全：作为云原生安全体系中最后一道屏障，主机安全为企业提供纵深防御能力，对不同攻击时期的入侵事件实时告警和主动防御，有效阻断入侵行为。为企业提供漏洞自动修复能力，帮助企业快速完成资产安全加固，从源头解决安全威胁。

三道防线该如何做好协同，在重保场景下提升运营效率？腾讯安全通过插件化串联起各安全产品能力，为企业打造云上一站式全科医院，为客户提供更加简单易用的一体化运营体验。

结合空中预警机制威胁情报，了解出入站IP/域名/样本是否存在恶意行为，通过已发现恶意IOC关联分析和深度挖掘，及时发现攻击团伙实现安全左移；快人一步识别安全威胁，定位风险资产，以全局视角助力企业输出系统安全解决方案。

重保季已来，欢迎扫码交流，体验产品。