浅谈网络攻防中守方的准备工作

网络攻防，亦称“网络对抗”。网络攻击与网络防护的合称。网络攻击指综合利用目标网络存在的漏洞和安全缺陷对该网络系统的硬件、软件及其系统中的数据进行攻击，主要包括踩点、扫描、获取访问权限、权限提升、控制信息、掩盖痕迹、创建后门等步骤；网络防护指综合利用己方网络系统功能和技术手段保护己方网络和设备，使信息数据在存储和传输过程中不被截获、仿冒、窃取、篡改或消除，包括加密技术、访问控制、检测技术、监控技术、审计技术等。

对攻防演练的防守方来说，可以从资产评估、安全策略检查、安全防线加固、安全回溯评估四个方面做好攻防演练前期准备。

1、资产评估

大多数情况下，防守方对于自己的资产情况把控不够，导致部分资产未能纳入有效监测、防护范围，形成了防护薄弱点。攻击方在发起进攻前，会先收集这些薄弱点，并以此为跳板攻入企业关键系统。所以，提前对资产进行评估，及时关闭“老旧”、“无主”、“无用”资产，收敛对外暴露的攻击面变得尤为重要。

公网资产评估：通过收集企业暴露在公网的资产信息和敏感信息，分析存在的未知公网资产、以及业务系统源码、账号密码暴露等安全风险，协助企业在攻击者发起信息收集前收敛外部攻击面，提升企业对自身资产的掌握程度以及应对突发安全事件的能力。

内网资产评估：从内网安全维度对主机安全产品核心功能模块的检测结果进行详细分析，从而发现操作系统、业务系统存在的风险隐患，为客户解读并持续跟进风险整改期间各类技术问题，协助企业提升操作系统、业务系统本身的健壮性，进而提高内网横向攻击门槛。

2、安全策略检查

安全策略可以简单理解为一组用于保护网络安全的既定规则。其目的在于控制进出网络的访问行为，保护特定网络免受攻击，同时保障网络之间的合法通信。安全人员可以结合业务需求在系统中配置合适的安全策略，对通过设备的数据流进行检验，放行符合安全策略的合法流量，阻断非法流量，实现访问控制，保证网络安全。

传统的安全策略与业务的结合度不高，难以进行高细粒度的安全分析。在攻防演练中高强度的攻击下，很容易出现策略的检测盲区，进而导致被攻破的局面。因此，在攻防演练前期对安全策略的检查、优化非常重要。

3、安全防线加固

安全加固和优化是实现网络安全的关键环节。通过安全加固，可以在安全系统的网络层、主机层、软件层及应用层等不同范围建立起符合安全需求的安全状态，并基于此实现对企业组织安全系统的保护。

安全加固是配置软件系统的过程，针对服务器操作系统、数据库及应用中间件等软件系统，通过各种不同的方法修复可能被攻击者利用的漏洞，加强系统安全配置，增加攻击者入侵的难度，提升安全防范水平。它与攻击面收敛、漏洞修复、安全策略优化等工作形成了完整的风险管理闭环。

4、安全回溯评估

针对安全事件进行影响范围评估。一般在现有的安全系统中是缺少的。例如在攻防中某天的凌晨发生了安全事件，而事后对该事件的分析只能通过安全日志进行，这样就很难真正判定安全事件的影响范围。

需要具备在提供全量数据追溯能力的前提下，提供安全事件影响范围评估的技术能力。针对安全事件进行追溯，同时对安全事件的影响范围进行评估，对后续的防护和修复提供精准的数据。