构建实战化防御体系之立体防渗透

针对实战攻击，防守队应对自身安全状态开展全面体检，此时可结合战争中的纵深防御理论来审视当前网络的安全防护能力。互联网端防护、内外部访问控制（安全域间甚至每台机器之间）、主机层防护、供应链安全甚至物理层近源攻击的防护，都需要考虑进去。通过层层防护，尽量拖慢攻击队扩大战果的节奏，将损失降至最小。

1）资产动态梳理

清晰的信息资产是防守工作的基石，对整个防守工作的顺利开展起决定作用。防守队应该通过开展资产梳理工作，形成信息资产列表，至少包括公司环境中的所有业务系统、框架结构、IP 地址（公网、内网）、数据库、应用组件、网络设备、安全设备、归属信息、业务系统接口调用信息等，同时结合收缩战线工作的成果，最终形成准确清晰的资产列表。此外，防守队还应定期动态梳理，不断更新，确保资产信息的准确性，为正式防守工作奠定基础。

2）互联网端防护

互联网作为防护单位最外层的接口，是重点防护区域。互联网端的防护工作可从网络安全防护设备部署和攻击检测两方面开展。需要部署的网络安全防护设备包括下一代防火墙、防病毒网关、全流量分析设备、防垃圾邮件网关、WAF、IPS 等。攻击检测方面，如果有条件，可以事先对互联网系统进行一次完整的渗透测试，检测其安全状况，查找其存在的漏洞。

3）访问控制策略

梳理访问控制策略的严格与否对防守工作至关重要。从实战情况来看，严格的访问控制策略都能对攻击队产生极大的阻碍。防守队应通过访问控制策略梳理工作，重新厘清不同安全域，包括互联网边界、业务系统（含主机）之间、办公环境、运维环境、集权系统的访问、内部与外部单位对接访问、无线网络策略等的访问策略。

防守队应依照“最小原则”，只对必须使用的用户开放访问权限。按此原则梳理访问控制策略，防止出现私自开放服务或者内部全通的情况。这样，无论是对于阻止攻击队撕破边界打点，还是对于增加攻击队进入内部后开展横向渗透的难度，都是非常简单有效的手段。通过严格的访问控制策略尽可能为攻击队制造障碍。

4）主机加固防护

攻击队在从突破点进入内网后，首先做的就是攻击同网段主机。主机防护强弱决定了攻击队内网攻击成果的大小。防守队应从以下几方面对主机进行防护：对主机进行漏洞扫描，基线加固；仅安装必要的软件，关闭不必要的服务；杜绝主机弱口令，结合堡垒机开启双因子认证登录；高危漏洞必须打补丁（包括安装在系统上的软件高危漏洞）；开启日志审计功能。部署主机防护软件对服务进程、重要文件等进行监控，如果条件允许，还可以开启防护软件的“软蜜罐”功能，进行攻击行为诱捕。

5）供应链安全

攻击队擅长对各行业中广泛使用的软件、框架和设备进行研究，发现其中的安全漏洞，以便在攻防对抗中有的放矢，突破防守队的网络边界，甚至拿下目标系统权限。政企机构在安全运营工作中，应重视与供应链厂商建立安全应对机制，要求供应链厂商建立起自身网络环境（如搭建带有参演单位业务的测试环境，还对互联网开放）和产品（包括源码、管理工具、技术文档、漏洞补丁等）的安全保障机制，一旦暴露出安全问题，及时提供修复方案或处置措施。同时，供应链厂商也应建立内部情报渠道，提高产品的安全性，为政企机构提供更可靠、更安全的产品和服务。