在《2020網(wǎng)絡(luò )攻防演練實(shí)戰行動(dòng)，從新出發(fā)》一文中，我們提到建立縱深防御體系中端點(diǎn)防護是必不可少的環(huán)節。端點(diǎn)是攻防對抗的“最后一公里”，試想在演習中只要有一個(gè)端點(diǎn)出現問(wèn)題，威脅可能會(huì )像多米諾骨牌式似的滲透到企業(yè)的整個(gè)網(wǎng)絡(luò )。端點(diǎn)安全因規模體量、環(huán)境復雜度、可用性等給防守一方帶來(lái)了巨大挑戰。

當有更多的端點(diǎn)用于企業(yè)活動(dòng)中時(shí)，端點(diǎn)的防護成為企業(yè)網(wǎng)絡(luò )安全的重要工作。筆者查閱了2019年網(wǎng)絡(luò )攻防演習中攻防兩方的情況，攻擊方常用的攻擊路徑是通過(guò)釣魚(yú)/社工/近網(wǎng)物理攻擊等措施，繞過(guò)邊界安全防護，進(jìn)入到企業(yè)內網(wǎng)；而在評分規則里面，終端失陷本身扣分并不多，主要是通過(guò)失陷終端，獲取到高價(jià)值信息，造成后續大幅丟分或防守失敗。隨著(zhù)2020年網(wǎng)絡(luò )攻防演習逐漸拉開(kāi)帷幕，面對無(wú)處不在的攻擊，“道高一尺，魔高一丈”，加固內網(wǎng)端點(diǎn)防護是非常必要的。

本文基于聯(lián)軟歷年來(lái)（包括今年在內）配合客戶(hù)參加網(wǎng)絡(luò )安全攻防演習的實(shí)踐經(jīng)驗，對演習期間企業(yè)內網(wǎng)端點(diǎn)安全加固應該從哪些方面入手，加強防守方的安全能力進(jìn)行說(shuō)明。

創(chuàng )建安全策略，達到最簡(jiǎn)單有效的管控

在網(wǎng)絡(luò )對抗中要明確一個(gè)宗旨——“越簡(jiǎn)單越有效”。在參與攻防演習的企業(yè)中，由于企業(yè)內網(wǎng)端點(diǎn)的多樣、攻擊的持續性、跨網(wǎng)或者跨部門(mén)存在的設備不明等現象，使得安全手段有時(shí)候在實(shí)際的操作中很難執行，或者安全防護不能高效進(jìn)行，容易被攻擊方鉆空子。想要達到立竿見(jiàn)影的效果，可以采取“一刀切”的技術(shù)策略和手段，由安全專(zhuān)家依據企業(yè)的具體需求和不同的環(huán)境因素制定相關(guān)的操作。聯(lián)軟在2020年網(wǎng)絡(luò )攻防演習中幫助多家企業(yè)進(jìn)行了內網(wǎng)端點(diǎn)策略管控，例如根據提供的終端信息(ip/mac/用戶(hù)名)在聯(lián)軟后臺對終端進(jìn)行應急控制，包括關(guān)機斷網(wǎng)等；控制同網(wǎng)段互訪(fǎng)時(shí)段；控制終端不可同時(shí)訪(fǎng)問(wèn)互聯(lián)網(wǎng)和中心內外網(wǎng)、禁止桌面遠程、密碼安全要求等。

注明：聯(lián)軟為參與演習的企業(yè)設置“工作時(shí)間，終端15分鐘未操作則對終端進(jìn)行鎖定并關(guān)閉顯示器”

采用自動(dòng)化檢查，達到常態(tài)化安全防護，提高防御能力

網(wǎng)絡(luò )安全人員原本就是稀缺資源，在攻防演習期間人才的缺少尤其嚴重，突發(fā)性及高強度的網(wǎng)絡(luò )對抗對于參與演習的企業(yè)來(lái)說(shuō)往往有些力不從心，要想達到事半功倍的效果，必須采用自動(dòng)化手段達到常態(tài)化防護，提高安全的效率。這里的自動(dòng)化手段包括防火墻、防病毒軟件、補丁管理、日志審計、自動(dòng)化的終端檢測與響應（EDR）等。防火墻、防病毒等大家已經(jīng)相對熟悉，不作贅述，重點(diǎn)說(shuō)下自動(dòng)化的終端檢測與響應。

攻防的不平衡性教會(huì )我們僅僅預防是不夠的，安全建設需要以假設邊界失效、假設終端淪陷為前提，在演習活動(dòng)中更要有這樣的“居安思危”的思想前提，EDR通過(guò)對終端系統級數據進(jìn)行全面采集，在攻防演習的各個(gè)階段對終端上的危險行為和入侵行為進(jìn)行檢測，內置專(zhuān)家規則和誘餌對惡意行為進(jìn)行快速判定，同時(shí)針對上述威脅進(jìn)行及時(shí)告警，并通過(guò)威脅調查工具進(jìn)行全面取證，通過(guò)控制、隔離、刪除等措施進(jìn)行處置，并對受損終端進(jìn)行恢復。還可以與其他產(chǎn)品、功能等聯(lián)動(dòng)，如支持網(wǎng)絡(luò )隔離、阻斷，設備關(guān)機，進(jìn)程權限限制、文件隔離、刪除等多方位處置手段；支持與網(wǎng)絡(luò )準入控制、終端安全管理等多種安全管控平臺深度結合聯(lián)動(dòng)。

目前聯(lián)軟EDR可幫助企業(yè)進(jìn)行多維度、多位置和更加全面的檢測，進(jìn)而實(shí)現威脅的自動(dòng)響應和統一編排，提高企業(yè)防御由被動(dòng)走向主動(dòng)的能力，不僅在演習中可以幫助企業(yè)增加防護能力，在后期更是企業(yè)常態(tài)化網(wǎng)絡(luò )安全建設體系中的重要一環(huán)。

知己知彼，全面做好攻防演習防護

“知己”則是全面梳理好內網(wǎng)終端信息，包括但不限于辦公終端、IOT設備、業(yè)務(wù)終端等，在演習中加強終端的各項安全性自查工作，如檢查終端是否已經(jīng)安裝防病毒軟件；補丁是否已經(jīng)更新到最新；檢查員工離開(kāi)工位是否設置電腦鎖屏；檢查是否已開(kāi)啟本地防火墻、終端禁止開(kāi)啟遠程桌面服務(wù)；對免檢設備進(jìn)行核實(shí)確認，清理過(guò)期或者不存在的和信息，保障安全策略覆蓋到位，取消一切非必須的例外，防范暗資產(chǎn)、影子資產(chǎn)等成為攻擊者的入口。

采集相關(guān)情報后及時(shí)采取措施是取得攻防演習勝利的關(guān)鍵，這就是我們說(shuō)的“知彼”，通過(guò)智能感知設備仿冒、異常連接、異常流量、異常協(xié)議、異常域名與IP訪(fǎng)問(wèn)、異常時(shí)段訪(fǎng)問(wèn)、異常訪(fǎng)問(wèn)位置等異常行為，發(fā)出告警，同時(shí)可以動(dòng)態(tài)調整網(wǎng)絡(luò )訪(fǎng)問(wèn)權限；采用溯源還原攻擊行為，了解攻擊手段，為下一步防范做準備。還可采用欺騙型的幻影技術(shù)，將攻擊者引誘到預設的場(chǎng)景中，反客為主。

在實(shí)際的過(guò)程中，由于網(wǎng)絡(luò )攻擊的復雜，需要注意和防護的點(diǎn)更多。以上內容都是從聯(lián)軟對于往年和今年參與的客戶(hù)攻防演習的實(shí)踐出發(fā)得來(lái)的，在攻防場(chǎng)景中，還需具體問(wèn)題具體分析。面對攻擊時(shí)，一味地進(jìn)行被動(dòng)防御，疊加式的方法往往只能增加企業(yè)成本，并不能取得更好的效果，如何將防御由被動(dòng)變?yōu)橹鲃?dòng)，建立常態(tài)化的安全防護體系，保護內外網(wǎng)的安全，不僅僅是本次演習中需要思考，更是未來(lái)網(wǎng)絡(luò )安全行業(yè)中不斷發(fā)展的一個(gè)趨勢點(diǎn)。