主机安全防护五大难点攻克

全国各地举办网络安全实战化攻防演练旨在最大限度地模拟真实网络攻击，检验参演单位的安全防护和应急处置能力，进一步完善事件网络安全漏洞和事件应急处置的全链条闭环管理，形成主动防御能力，以此提高我国的网络安全综合防控能力。

由攻防领域经验丰富的红队专家组成的攻击队为了在规定时间内破解防护方严密的防守策略，攻击手段将更为高效、隐秘，并且所采用的大量自动化工具、多源低频等高级攻击手段层出不穷，不仅让防守方面临很大的压力，同时还面临着严峻的防守技能考验。因此，在攻防演练环境下防守方在行动时如何做出更加准确的判断成为了大量用户的关注重点。

结合近年来网络攻防演练期间暴露的主要失分点排名来看，可以发现，内网隐患占比最大、危害最大。然而，当众多企业上云后，在内网或者云上，很难找到一个类似“网关的位置”来部署设备,从而进行安全监测与防护。云上安全防护的重点落在了包含众多（云）工作负载的（云）主机上。

因此，在开展（云）主机安全防护工作之前，重点了解（云）主机安全面临的问题以及应对方法才能事倍功半地做好防护措施，从容应对攻防演练。

在（云）主机安全面临的众多问题中，以下几点占比最高：

01

IT资产清点能力不足

细粒度资产采集能力不足，资产变动难以及时发现，容易造成安全分析盲点；

02

新型高级攻击检测能力不足

检测体系无法应对新型攻击威胁，如无文件内存马攻击、进程RCE命令执行等；

03

安全响应处置分散

联动响应缺乏纵深且速度缓慢，无法覆网络、进程、文件等各个维度的处置，以及与其他平台的联动；

04

混合云场景下适配不足

无法适配主机、容器、Serverless 的云原生混合架构。

面对这些安全难题，企业亟需做好（云）主机安全治理。作为备受Gartner、IDC、CSA等国内外权威机构认可的云主机安全产品，云眼能满足用户安全需求，有效解决（云）主机安全的核心问题以及助力用户更好地应对即将到来的攻防演练。

云眼·新一代（云）主机入侵监测及安全管理系统

安全狗云眼系统具备强大的入侵威胁防御及处理能力，通过漏洞风险检测及修复、基线合规性检查、主机资产采集管理、入侵威胁防御及处理等各大模块功能，面对高级攻击需能够在第一时间发现，并联动其他功能模块迅速做出响应处理，是攻防演练中蓝队的安全防御神器。

下文我们围绕某企业在省级攻防演练环境中，主机安全所面临的防御难点进行分析，以及实际防护是如何开展的进行介绍，希望能为读者朋友们提供应对攻防演练的新思路和见解。

蓝队防守难点1

主机资产与日俱增，手动更新大有遗漏

资产是风险管理的基础。然而随着云计算技术的快速发展，传统网络边界已经模糊不清，企业管理员要编制一份完整的资产清单并时刻保持变动记录则是难上加难。一个企业有多少台物理/虚拟化主机?有多少IP及端口？这些主机有多少web应用？有多少网站域名，数据库资产、账号，WEB容器资产、第三方组件资产、进程? 随着这些资产盲点在网络环境中急速增加，黑客入侵、数据泄露、恶意软件感染以及不合规的风险也在成倍增加。

解决思路

在互联网+、以及未来5G狂潮的影响下，企业互联网侧资产增加的频率只会更高。为了杜绝犯罪温床滋生，企业亟需快速且全面地掌握IT资产变化，才能化被动为主动，更好地应对风险。

►

应用实践

云眼全面采集资产，“摸清家底”

通过云眼资产管理模块里的资产采集功能，能够细颗粒地自动对资产进行自动采集及梳理，同时还能够定期获取并记录主机上的各类资产，“摸清家底”。根据收集到的资产信息进行统一的管理和清点，实时掌握IT系统内部的资产情况。

做好资产全面收集之后，需进行的是风险排查、风险整改、风险加固。然而在攻防演练的实际场景中，当某一风险点被发现时，安全运营人员往往在无法第一时间找出资产位置，这也影响到后续的应急响应速度。

采用云眼的资产清点方式和资产搜索功能，用户可以快速定位问题资产，评估漏洞影响规模，并生成漏洞风险报告，大幅度降低漏洞平均响应时间。

当现网台帐不明，资产和组织、人员对应不清的问题得到解决后，资产得到精细化管理，有效缩小攻防实战演练期间的风险面。

蓝队防守难点2

漏洞缺陷难管理、修补不及时

分析历年来的黑客攻击事件，可以发现主机资产的安全漏洞、被测系统的薄弱环节等等都是黑客攻击的重点。企业主机系统多，对应的漏洞类型也多，安全运营人员疲于应对。然而，哪怕这类问题会带来严重的影响，依旧有很多用户单纯依靠人工和漏扫工具排查的方式，整体呈现被动应对的姿态。

解决思路

面对系统漏洞、弱口令、高危账号、配置缺陷、病毒木马、网页后门等这一系列的安全问题，用户必须及时进行处置和修复，避免黑客借机入侵造成影响面扩大。

►

应用实践

云眼漏洞“检修补一体化”，被动化主动

结合云眼的资产采集和安全体检功能，用户能全面排查清楚漏洞风险点。针对检测到的各种安全隐患，云眼也能为用户提供相应的修补措施和安全建议，真正做到体检及漏洞缺陷修补一体化。

此外，在云眼排查出的漏洞中，重要应用系统上的部分漏洞可通过渗透测试进行整改，对于中间件第三方组件上的漏洞，则可通过升级到官方最新版本，或者结合微隔离的方式圈住漏洞，限制攻击方利用并导致横向扩散。

当漏洞被攻击方利用时，用户则需快速摸清楚受影响的资产面有哪些。云眼的漏洞风险管理模块可支持应急漏洞设置，采集近期爆发出的高危漏洞并对主机资产进行快速检测，确认是否有资产受到影响之余，还能提供修复方案，形成闭环的安全管理，化被动挨打局面为主动防御。

蓝队防守难点3

入侵拦截处置滞后

攻防演练阶段，攻击者会大量使用工具来收集资产及漏洞信息，通过爆破或扫描等各种方式进行入侵。大量增加的告警信息的处理让防守方应对不暇。对应的防守人员无法逐个找出攻击源，处理所有攻击告警和批量封禁攻击IP。

解决思路

在演练中需要进一步提升防守方的处置效率，对主机告警的攻击源IP进行批量自动拦截和批量下发控制尤为重要。

►

应用实践

云眼全方位防护拦截，阻断攻击

云眼可从攻击者的入侵视角出发，提供多个层面的安全监控和安全保护，快速发现攻击者的动作，进行有效的入侵分析、快速识别及阻断黑客攻击，为后续的响应提供有效的基础。

蓝队防守难点4

整体安全态势不清楚，真假攻击难甄别

攻防演练环境中，攻击告警量会大幅度增加，部分企业虽然部署了相关网络安全监控产品，但是每秒成百上千条报警信息，很难从中甄别出实际攻击事件。

解决思路

如何找出真实攻击，再进行判断分析，需要一个智能可视化的态势感知平台。网络安全态势感知平台安全可视化，是安全可控的基石。用户可结合具备可视化、大数据分析的平台进行分析，以此掌握整体安全趋势。

►

应用实践

云眼大屏可视化，运筹帷幄

结合云眼主机威胁态势功能所呈现的内网主机威胁态势可视化效果，用户能从全局视角出发、快速评估安全威胁要点，深入分析和挖掘网络威胁攻击特征，及时掌握整体安全发展趋势，便于在攻防实战中“运筹帷幄”。

蓝队防守难点5

追踪溯源慢，应急响应不及时

在攻防演练中，当主机被夺取权限，会造成防守方阵地沦陷。因此需要实时监控异常流量及告警信息，及时对失陷主机或被攻击成功的系统启动响应处置流程：检测阶段、系统隔离、问题定位、调查取证、木马清除、主机修复及恢复。

解决思路

根据应急响应过程中取证的数据，结合威胁情报、蜜罐等工具，利用社工等多种手段进行追踪溯源，从而实现为防守方有效加分。

►

应用实践

云眼助力溯源分析一键溯源

在溯源阶段最重要的是对攻击者的全貌做出还原。云眼的威胁情报模块，能够进行辅助入侵检测，通过人工智能结合大数据知识以及攻击者的多个维度特征分析从而还原出攻击者的入侵轨迹全貌。

除此之外，云眼还可结合 MITRE ATT&CK 矩阵（技术）对告警事件进行画布可视化展示，用户可借此掌握告警所属的攻击阶段及使用的攻击技术，让防御措施有的放矢。通过溯源分析模块的内置溯源模型规则，结合蜜罐诱捕技术、威胁情报共享、大数据与AI技术，与告警数据进行自动化匹配，还原黑客入侵轨迹。

结合上述功能，在攻防演练场景中，云眼还可为用户提供威胁情报，有利于用户及时针对入侵路径里包含的漏洞、风险点等进行修补，避免二次入侵的发生。

# 结语 #

安全狗根据实际的安全场景，结合近几年概念的演进和大量的安全实践，开发出了涵盖主机安全、容器安全、微隔离、补丁管理等安全需求的产品矩阵，形成了安全狗的工作负载安全解决方案。由安全狗网络攻防经验丰富的蓝队专家现场全程参与并提供安全态势监控、威胁情报值守、安全大数据分析、威胁主动诱捕、演练总结等专家级服务支撑。通过全面威胁检测、APT级别的入侵分析、攻击诱捕措施、大数据安全分析，以及网络安全运营平台部署、专家组安全处置响应等方面合理部署，保障演练过程中安全防守效果。

在近年的多次实战攻防演习中，安全狗为众多国家关键基础设施和用户提供安全防护，总体取得了良好的防护效果。为各个行业重要信息系统顺利建设、加强关键信息基础设施的网络安全防护、提升应急响应水平等工作作出应有的贡献。