在實戰(zhàn)攻防演練對抗中，攻擊方對內網的攻擊不可避免會通過網絡邊界。一般會利用系統(tǒng)的已知漏洞、未知漏洞或采用多種攻擊IP組合作業(yè)等綜合的體系化的攻擊策略，對防守客戶單位的網絡構成強大的威脅；進而通過覆蓋掃描、入侵、命令與控制、橫向移動等攻擊手段完成入侵。

因此，在攻防演練活動期間，防守方就必須要對網絡邊界流量進行深度監(jiān)測分析，實時發(fā)現網絡異常、漏洞利用、惡意IP和惡意文件，并聯動防火墻及時對攻擊方攻擊IP進行阻斷。通過動態(tài)綜合的網絡邊界防御體系與制針對性的防護策略，全面阻斷通過網絡邊界的攻擊，致使攻擊方不知從何攻擊，不知如何攻擊。猶如《孫子兵法·虛實篇》中提到的“善守者，敵不知其所攻”一樣，才能有效應對攻擊方對內網的威脅，降低失分風險。

本期為【2023安天攻防演練廟算記】第六章：網絡邊界防御。

針對防守客戶單位在實戰(zhàn)攻防演練中的網絡邊界防御場景，安天制定了網絡邊界監(jiān)測專項服務。通過安天探海威脅檢測系統(tǒng)進行網絡全流量的安全檢測，可發(fā)現網絡邊界安全漏洞與異常流量并進一步提交安全專家威脅獵殺，精準定位攻擊IP，實時阻斷攻擊IP。通過安全專家分析研判的攻擊IP信息，生成面向客戶的定制化威脅情報，進而將威脅情報IP地址同步至總部與二級單位的防火墻、WAF和IPS等具備阻斷功能的安全設備。

圖 安天網絡邊界監(jiān)測專項服務示意圖

安天網絡邊界監(jiān)測專項服務在實戰(zhàn)攻防演練期間，可及時發(fā)現攻擊方通過網絡邊界發(fā)起的威脅行為，實時阻斷攻擊，降低失分風險。

1.啟動階段：定制防護方案

首先，安天會與客戶深度溝通，深入了解開放服務系統(tǒng)業(yè)務現狀及邊界部署位置，梳理公網開放系統(tǒng)承載的資產信息和安全漏洞，形成網內對外開放服務的資產列表、域名列表和漏洞列表，進行資產管理和漏洞管理；然后，制定《網絡邊界監(jiān)測分析防護方案》，對威脅情報詳細分析，并就各類情報采取的預防措施與防守客戶單位人員協同進行流程和策略設計。

2.備戰(zhàn)階段：部署安全產品

部署安天探海威脅監(jiān)測系統(tǒng)（以下簡稱“探海”）和安天下一代WEB應用防護系統(tǒng)（WAF），對網絡邊界流量進行深度分析，建立流量基線。通過部署探海，以網絡流量為檢測分析對象，實現對網絡掃描探測、遠程漏洞利用、攻擊載荷投放、僵尸網絡活動、病毒擴散傳播和木馬遠程控制等網絡行為的檢測和告警，精準檢測已知海量惡意代碼和網絡攻擊活動，有效發(fā)現網絡可疑行為、資產和各類未知威脅。

3.迎戰(zhàn)階段：封堵攻擊，溯源得分

通過探海和WAF，發(fā)現網絡掃描、漏洞利用、異常流量和惡意文件，追溯攻擊，形成威脅情報表單和詳細分析報告。分析報告包含發(fā)送時間、IP、詳細內容和處置結果等。同時協助客戶封堵惡意IP、向現場安全專家同步受入侵情況、開展取證分析，并將分析結果上報演練指揮部，從而幫助客戶獲得加分。

4.總結階段：分析總結

按啟動階段制定的工作目標和工作計劃，根據客戶具體需求輸出《網絡邊界威脅檢測分析總結報告》，闡述網絡邊界威脅監(jiān)測及處置情況、威脅情報分析及預警成果。

安天網絡邊界監(jiān)測專項服務客戶價值

1. 分析研判設備告警與可疑文件，監(jiān)測客戶網絡中的各類安全事件；

2. 有效發(fā)現未知威脅，揭示分析對象的惡意行為，跟蹤各類高級威脅和定向攻擊；

3. 梳理并分析現網安全狀況；

4. 監(jiān)督網絡安全制度落實情況，降低重大安全事件發(fā)生的風險；

5. 檢測各類網空威脅，生成定制化威脅情報；

6. 10年以上經驗安全專家團，助力調查溯源幫助得分。

在2022年大型實戰(zhàn)攻防演練活動中，安天網絡邊界監(jiān)測專項服務為某客戶單位發(fā)現網絡攻事件高達近80萬起，并有效阻斷各類攻擊行為。

附錄：關鍵產品價值簡介

2023年安天產品攻防演練防守實戰(zhàn)價值列表
防護類別	安全產品	產品價值
全流量威脅檢測	安天探海威脅檢測系統(tǒng)	能夠精準檢測出已知海量惡意代碼和網絡攻擊活動，有效發(fā)現網絡攻擊行為、失陷資產和各類可疑行為。在攻防演練中，探海提供多層次多維度的檢測能力，基于實戰(zhàn)化視角，有效提升威脅發(fā)現能力、威脅分析效率和響應處置的速度。
網站安全防護	安天下一代WEB應用防護系統(tǒng)（WAF）	基于主動防御理念，從業(yè)務安全出發(fā)，是集WEB安全防御、機器人攻擊防護、用戶業(yè)務訪問控制、業(yè)務邏輯異常檢測、業(yè)務威脅評估以及業(yè)務數據分析為一體的綜合業(yè)務安全分析WEB應用防護產品。在攻防演練實戰(zhàn)場景中，可針對WEB業(yè)務應用進行有效防護，發(fā)現和阻斷機器人攻擊、信息泄露、用戶越權行為等WEB攻擊。

下期預告

下期為【2023安天攻防演練廟算記】第七章：終端威脅檢查。

將分享安天在實戰(zhàn)攻防演練場景中，如何通過終端威脅檢查來有效幫助防守客戶單位提升防御能力，降低失分風險。