兵臨城下公開課丨構建藍隊第三道防線——內網防失陷守好最後關卡

【兵臨城下】系列公開課是盛邦安全基於多年攻防實戰經驗，針對重保及攻防演習等場景而推出的系列直播活動，將從資產暴露面梳理、攻擊面管理、脆弱性自查、安全防線加固、協同聯動防禦以及攻擊溯源、應急響應等全流程進行梳理，陸續上線十幾場的直播分享活動，大家可以關注【盛邦安全影片號】提前預約直播活動。

本期公開課的主題是“構建藍隊第三道防線——內網防失陷守好最後關卡”以下實錄文字供大家參考。

各位線上的朋友大家好，我是盛邦安全的聶曉磊，今天我們繼續來分享攻防實戰中的防守技巧。上一期我們講到了針對重點目標的防護，在防守時可以建立第二道防線，包括許可權控制、專項規則防護和白名單的應用。那麼如果還是有系統被攻陷導致攻擊者已經進入了內網，還有什麼辦法能夠控制影響呢？

我們都知道內網的典型特點是點多面廣，通常監控難度很大，相應的防守壓力也很大；同時，由於運維人員變更等原因，運維記錄很容易有缺失，因此內網當中的資產統計也非常困難。

另外，內網資產自身的安全保障也充滿挑戰。首先，管理制度不全等原因往往導致內網資產的安全性參差不齊，很容易留下一些未修復的老舊漏洞；第二，即使知道存在漏洞，很多系統由於比較老舊或者承載的業務系統較老，無法隨意升級或打補丁，這就導致內網當中很多資產都是帶病執行的一個狀態；第三，內網的安全建設也不好做。內網結構複雜、牽扯麵廣，所以安全改造本身難度很大，裝置上線或者配置變更都需要足夠謹慎；另外，對於安全技術的實施，以主機安全為例，想要成功的部署必須考慮諸多因素，還得各種協調，並且需要多方積極配合，因此也難落地。

攻擊者正是抓住內網安全相對鬆散的特點來進行針對性的打擊，在這裡我們總結了內網失陷後的幾個明顯特點：

1、內網服務系統對外發起異常連線，且本地資源佔用明顯升高；

2、在非辦公時間異常訪問鄰居區域，或者頻繁的訪問核心業務資料區域；

3、非法、違規的連線其他不相干的區域，比如從業務區域訪問管理區域等；

4、異常和高頻的訪問總部或其他分支單位，這種情況很有可能是在進行迂迴打擊。

概括而言，內網主機失陷後最典型的特點就是做橫向擴散和外聯試探，結合這些特點和攻擊者可能發起的後續攻擊，可以採用這樣一些思路進行防守。

• 及時修補漏洞：首先要持續關注熱點漏洞影響情況，內網系統發現漏洞則需應補盡補；對於老舊系統，即使無法升級，也可以從邏輯上為其劃定最小安全域並在其邊界設定虛擬補丁策略；

• 強化橫向隔離：需要改變平坦化的內網結構，按照資產屬性為其嚴格劃分安全域，設定細粒度的訪問控制策略；對於無法輕易改造的內網結構，可以採用旁路阻斷等手段進行靈活控制；

• 嚴守重要系統：對於關鍵業務系統，除修復漏洞強化管理之外，還需要部署必要的本地防護手段；同時，對於關鍵系統對外的連線請求也要加強非法或受控的外聯檢測與控制；

• 加強主動防護：部署蜜罐是一種有效的內網防護思路，利用攻擊者無法分辨真偽系統的弱點，透過蜜罐捕獲內網橫向擴散行為，不僅可以準確發現攻擊者，還有機會對其反制。

總結來說，針對攻擊方後期的橫向擴散等內網攻擊行為，藍隊的第三道防線就是要做好內網防失陷，守好最後關卡。我們可以透過蜜罐誘捕、外聯檢測控制等手段來構築第三道防線，一方面透過誘捕防護的思路來及時發現攻擊者，並根據蒐集的資訊嘗試對其發起反制；另一方面是嚴格控制內網失陷後可能產生的擴散影響；同時還要做好監測和響應。

概括而言就是要加強主機防護、建立誘捕防護、強化外聯檢測並強化內網監測。

第三道防線常用的產品技巧包括虛擬補丁、外聯檢測和蜜罐防護等，針對內網的最後一關，既要靈活的選擇部署模式，做敏捷的加固防護；又要充分利用使用者的空閒網路資源，建立有效的誘捕網路。

我們仍然以WAF為例來介紹下第三道防線的幾個核心能力：

1、虛擬補丁技術。其實WAF裝置本身就可以看作是一個大的虛擬補丁，對無法隨意升級或修補的“帶病”資產提供安全防護。同時，WAF自身支援的虛擬補丁策略，可以根據目標系統的漏洞掃描結果來生成針對性的補丁防護策略，從而實現精準防禦。

2、旁路阻斷技術。針對內網安全實施和改造的難點，我們可以採用旁路阻斷的模式來進行敏捷部署，以WAF為例，採用旁路模式部署在伺服器區邊界，主動傳送阻斷包以實現敏捷的橫向防護，旁路阻斷的優勢就是無需改變使用者網路拓撲，部署靈活，並且還沒有單點故障等風險；另外，透過分散式部署搭配集中管理平臺的方式，還可以實現統一管理橫向防護策略，集中進行策略編排、下發和收斂，進一步提升內網防護的靈活性。

3、外聯檢測與控制的技術。無論是日常的違規外聯監測還是實戰化當中的受控外聯檢測，其核心在於行為的捕捉與研判。對於內網系統，我們一方面可以根據其業務特點來判斷其外聯動作本身是否合規，可以選擇是否直接遮蔽外聯行為；另一方面就要結合內外部的威脅情報，透過對外聯目標的分析來判斷主機是否已經失陷受控。

4、誘捕防護技術。透過構建蜜罐服務可以捕獲攻擊者進入內網後的橫向試探行為，及時進行封禁攔截；同時協同蜜罐對攻擊者畫像資訊進行溯源還可以對其實施反制。

5、視覺化的審計與監控。在高強度的值守當中，直觀的監控、高效的檢索和詳細的舉證也是防守成功的一大保障，我們可以根據實際場景定製過濾條件，突出顯示高危事件並及時止損；同時，利用詳細的攻擊摘要與軌跡記錄，取證並形成分析報告，從而保證整體態勢可見與可控。

概括而言，透過構建第三道防線能夠幫使用者提升內網監控能力、降低失陷擴散風險並提高溯源取證的能力，為整體防守提供最後一公里的保障。

那麼今天關於藍隊防守的三道防線就告一段落了，後續我們會繼續介紹防線構築中的其他關鍵能力，感謝大家的關注，希望我們的分享可以切實幫助大家提升防護水平，下期見~

瞭解更多