HVV技战法丨攻防演练防御——纵深、联动、诱捕

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

演习活动经过近几年的发展，攻击方的专业水平已大幅提高，逐渐呈现出隐秘化、APT 化的趋势。

其利用渗透技术对目标系统做深入探测，不断挖掘防守方网

络系统的薄弱环节，这就要求防守方构建立体式纵深防护体系来抵御入侵。同时，基于攻击者的多点攻击，威胁检测设备会产生庞大的安全告警事件，防守方需要进行多源融合，将相关事件利用算法聚类关联分析，并配置自动化的处置能力，以此提高应急响应效率，避免攻击者进一步漫延。但防守方仅做到坚守阵地是不可取的，信息的不对等化导致其处于天然的劣势，如何诱敌深入并溯源攻击者身份才是得分的关键。综上所述，防守方在攻防战役中的主要技战法可归纳为：

纵深防御、网安联动、诱捕溯源，以下从这三方面进行阐述防护方案。

纵深防御方案

参照《等级保护制度条例 2.0》相关标准，以“一个中心，三重防御”为指导原则，从安全区域边界、安全计算环境、安全通信网络和安全管理中心等方面

落实安全保护纵深技术要求，利用不同区域、不同层面的安全保护措施形成有机的安全保护体系。同时，围绕重要区域和网络系统重点布防，切实有效地设置安全防护措施、监控检查措施和响应阻断措施，多层次阻断攻击链，增强抵御威胁的能力。

方案设计思路：

 构建纵深的防御体系

从“通讯网络>区域边界>计算环境”分层落实各种安全防御措施。

 采取互补的安全措施

各安全控制措施在层面内、间产生协同关联，共同作用于保护对象。

 保证一致的安全强度防止某个层面安全功能的减弱导致整体安全保护能

力的削弱。

 建立统一的管理平台

保证各个层面的安全功能在统一的策略管控下实现，各安全设备在可控的条件下发挥作用。

等级保护方案构建纵深安全防御体系，摆脱网络、主机、应用、数据等单点的防护现状，实现网络安全综合管理，并充分考虑各种技术的组合和功能的互补性，建立多道安全能力，增加攻击成本和攻击难度。

网安联动方案

除了构建防护能力，对企业更重要的是如何快速响应和处置，最大程度的拦截入侵。自动化的处置能力可以有效阻断威胁，防止攻击者进一步入侵探测组网架构；同时可以减轻现场运维人力投入，降低企业日常运维成本。

方案设计思路：

 利用边界防护网关（防火墙）基于指纹特征匹配及时拦截恶意流量入侵。

 利用沙箱对文件进行静态和动态深度检测，发现潜在恶意未知威胁。

 利用 HiSec Insight 态势感知系统全面感知网络资产状态、网络安全威胁态势、通过日志与全流量综合分析技术实现完整的网络攻击跟踪；同时与防火墙联动下发自动处置策略，自动高效拦截恶意攻击。自动化的监测、检测、响应防护系统，可实时监控网络安全状态，使得防守方能够便捷地进行网络攻击事件的关联与研判，大幅提升网络安全防御的工作效率，为防守方获取证据链提供有利条件。

诱捕溯源方案

当前网络形势下，伴随着僵木蠕病毒的传播，系统 0day 漏洞威胁、APT 攻击、社会工程学攻击等攻击手法不断涌现，这些攻击使用传统基于特征匹配的检测防御技术很难有效检测出。所以，防守方在修缮加固自身堡垒的同时，也逐渐由被动防御向主动防御做转变，通过构建欺骗防御系统对攻击者实施诱捕。

方案设计思路： 部署内网诱捕探针监控横向扩散流量，部署端点诱捕防护能力感知主机层探测行为，扩大蜜网感知面，提高诱捕成功效率。

 部署蜜网系统构造陷阱混淆黑客攻击目标，延缓攻击者对真实网络的探测，同时结合攻击反制和攻击溯源精确获取黑客的网络身份和指纹信息，以便对其进行攻击者取证分析。

 部署 HiSec Insight 态势感知系统根据诱捕系统告警信息关联分析，判定、呈现威胁状况，下发决策给SecoManager 控制器联动防火墙处置闭环。

防守方利用蜜网系统详细记录攻击者行为细节，高效捕获攻击者源 IP、设备指纹和网络身份，快速进行身份溯源甚至反制。同时，配置蜜罐联动 HiSec Insight 态势感知系统，实现统一分析、自动联动处置闭环。

结束语

本文介绍了在攻防演练中常用的三个防御方案，企业应针对攻防演练的实战结果进行科学总结，对发现的安全风险及时整改，结合自身的系统情况和业务特点，有效提升网络安全保障能力。同时还需要不断强化全员安全意识，加强各部门之间协作，逐步优化完善自身安全防护体系，确保网络安全防护能力最大化。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：HVV技战法丨攻防演练防御——纵深、联动、诱捕