由于DMZ區面向公網開放，且無論是在日常時期還是在攻防演練期間，其承載的網站類應用一般都是可以被包括攻擊方在內的公眾訪問的，也就形成了《孫子兵法·地形篇》中提到的“我可以往，彼可以來”的“通”，即我們可以去，敵人也可以來的區域。因此，攻擊方勢必會利用這種“優勢”，通過信息收集、弱口令暴力破解、泄露憑證登錄、webshell投遞、漏洞利用和創建shell等手段，通過DMZ區網站群向內網進行滲透。

《孫子兵法》針對“通”的對抗形勢，也提出了“通形者，先居高陽，利糧道，以戰則利”的應對辦法。放在實戰攻防演練對抗場景中，就是指防守方必須要事先加強WEB應用訪問控制、漏洞利用檢測和服務器終端威脅檢測等方面的安全能力，通過全面的提升網站安全防護水平，配備足夠的對抗資源（安全產品和安全專家）并形成有利的對抗態勢，養精蓄銳，才能有效防御攻擊方利用網站發動攻擊，獲得優勢。

本期為【2023安天攻防演練廟算記】第五章：網站安全防護。

安天網站安全防護專項服務，采用托管模式，可針對防守客戶單位網站的安全性與可用性進行全面監測，針對影響網站及系統運行的安全隱患進行實時監控，監控內容包括網頁篡改、掛馬、暗鏈、域名劫持、后門、關鍵字等。服務基于安天安全產品防御能力結合安全專家現場響應共同支撐，可以幫助客戶在短時間內發現網站存在的安全問題，并通過監測報告定制安全策略，調整相應安全措施，從而極速提高網站的安全防護水平，極大降低在攻防演練活動期間因網站安全缺陷或漏洞造成的失分風險。

圖 安天網站安全防護專項服務示意圖

安天網站安全防護專項服務，可為防守單位客戶提供覆蓋攻防演練“啟動、備戰、迎戰、總結”全生命周期的解決方案。

1.啟動階段：資產梳理，制定預案

安天將通過開展網站群資產細粒度梳理，制定網站安全應急事件處理和應對措施。

首先，安天安全專家將通過資產安全運維平臺或其他掃描工具識別演練期間上線系統的關聯資產；其次，通過現場調研的方式，利用資產調研表對掃描后的資產信息進行對比、合并、除錯，補齊資產的詳細信息；然后，對安全管理人員、網絡管理人員、主機系統管理人員、應用開發和維護人員進行訪談，明確資產責任人；最后，針對演練中可能發生的掃描類、暴力破解類、高危漏洞利用類和木馬類等安全事件，制定網站安全應急預案。

2.備戰階段：部署產品，加固防御

通過智甲云主機安全系統，開展安全配置核查，發現網站存在的安全漏洞和后門程序，協助落實加固措施；梳理公網開源賬戶及泄露口令，使用口令枚舉、泄露憑證登錄等方式評估口令安全狀態，從事前分析并管理其中的潛在安全風險，提前防范風險并提高攻擊門檻。同時自動學習梳理各業務之間的訪問關系，使用微隔離將各業務系統做不同細粒度的隔離策略，收斂業務暴露面減小攻擊影響。

同時，安全專家結合漏洞掃描與滲透測試，發現網站存在的安全漏洞；通過部署安天下一代WEB應用防護系統（WAF）、安天應用威脅自免疫工具（Antiy RASP）與安天智甲云主機安全系統，實現流量側與終端側威脅捕獲能力、威脅誘捕能力，通過智甲安全管理中心收集WAF、智甲防護客戶端和流量監測設備日志，實現綜合研判，發現入侵威脅。

3.迎戰階段：實時響應，爭取加分

通過人工監測威脅感知設備，發現針對DMZ網站的網絡探測和網絡入侵。對于發現的Webshell、木馬，安天安全專家將深度分析樣本并形成分析報告（分析報告包含發送時間、IP、詳細內容和處置結果等）。同時，協助客戶上報分析結果至演習指揮部，獲得加分；對于已發現成功入侵的系統，協助應急處置，獲得處置得分；結合樣本IP，聯合安天威脅情報中心，溯源攻擊者，獲得溯源加分。

總結階段：協助總結，提交報告

針對發現的網站攻擊事件、發現的威脅文件提供總結報告，協助客戶完成總結工作。

安天網站安全防護專項服務客戶價值

1. 預警網絡攻擊，使用威脅情報（TI），先攻擊方一步而消除攻擊威脅；

2. 檢測并阻斷網站威脅，積極應對各類攻擊手段；

3. 超過10年實戰經驗安全專家支撐，助力調查溯源幫助獲得加分。

在2022年大型實戰攻防演練活動中，安天網站安全防護專項服務為某客戶單位阻斷Web攻擊事件近3萬起，監測入侵蜜罐事件11起，溯源加分400分。

附錄：關鍵產品價值簡介

2023年安天產品攻防演練防守實戰價值列表
防護類別	安全產品	產品價值
網站安全防護	安天下一代WEB應用防護系統（WAF）	基于主動防御理念，從業務安全出發，是集WEB安全防御、機器人攻擊防護、用戶業務訪問控制、業務邏輯異常檢測、業務威脅評估以及業務數據分析為一體的綜合業務安全分析WEB應用防護產品。在攻防演練實戰場景中，可針對WEB業務應用進行有效防護，發現和阻斷機器人攻擊、信息泄露、用戶越權行為等WEB攻擊。
	應用威脅自免疫Antiy RASP	Antiy RASP與應用緊密結合，在關鍵函數執行前進行安全檢測，為應用自身賦能安全防護能力；低誤報、高檢出地智能攔截各類已知及未知漏洞，并提供漏洞成因管理、報警通知、安全檢查等多種能力。具有高性能、高兼容性，部署便捷的特性。在攻防演練實戰場景中，可以在WAF基礎上補充自我免疫“威脅”的能力，形成雙重防護模式，切實有效地阻止“遠程命令執行”、“上傳webShell”等重癥的發作。
云主機防護	智甲云主機安全系統	針對各種異構、海量的主機、虛擬主機、容器等工作負載，可提供包含資產清點、風險評估、合規基線、微隔離、入侵檢測、防病毒、威脅獵殺、威脅溯源等多種安全能力的統一安全防護。通過細粒度的資產清點和持續的風險監測與分析，主動發現業務系統的資產脆弱點，并基于微隔離的精細化訪問控制，收斂業務暴露面減小攻擊影響；同時運用多維度的入侵檢測，快速定位發現入侵行為并追蹤還原攻擊入侵路徑，實現自動化入侵檢測響應閉環。在攻防演練實戰場景中，可精準監測外部威脅、內部風險，為客戶提供全方位的業務安全保障。

下期預告

下期為【2023安天攻防演練廟算記】第六章：網絡邊界監測。

將分享基于安天探海威脅檢測系統進行網絡全流量的安全檢測，及時發現攻擊方通過網絡邊界發起的滲透行為，同時配合安全專家人工進行威脅獵殺，在阻斷攻擊降低失分風險的同時開展取證分析獲得加分。