隨著《網絡安全法》和《等級保護制度條例2.0》的頒布，國內企業的網絡安全建設需與時俱進，要更加注重業務場景的安全性并合理部署網絡安全硬件產品，嚴防死守“網絡安全”底線。“HW行動”大幕開啟，國聯易安誓為政府、企事業單位網絡安全護航！

云計算、移動互聯網、大數據、物聯網等新技術的持續演進，網絡安全形勢變得尤為復雜嚴峻。網絡攻擊“道高一尺，魔高一丈”，網絡安全問題層出不窮，給政府、企事業單位帶來風險威脅級別升高，挑戰前所未有。

“HW行動”是國家應對網絡安全問題所做的重要布局之一。加強網絡安全意識，是所有單位有序地完成“HW行動”必不可少的一項基礎和必須做扎實的工作。

目前灰產、黑產環境比較復雜，很多攻擊手段已經向云和SaaS服務方面發展，暗網已經存在專業提供RaaS（勒索即服務）的服務模式，另外很多勒索攻擊軟件已經開源，易用性得到了極大的提高，同時也大大降低了網絡攻擊的技術門檻。

HW行動要“立足基礎 靠前一步 全面開展”

為切實履行公安機關網絡安全監管職責，提高重點單位網絡安全防護意識，提升關鍵信息基礎設施、重要信息系統防護水平。近日，多個省、直轄市、自治區的公安部門按照突出重點、分類檢查的原則，對信息系統進行網絡安全執法專項檢查，全面開展HW專項行動。

日前，國內專注于保密與非密領域的分級保護、等級保護、業務連續性安全和大數據安全產品解決方案與相關技術研究開發的領軍企業——國聯易安董事長門嘉平博士接受媒體采訪時表示：HW專項行動要做到“立足基礎、靠前一步、全面開展”。

立足基礎，提高安全意識。公安機關網絡安全監管部門要重點核查政府、企事業單位的重要信息系統運行情況以及網站管理制度等。被檢查單位要以國家關鍵信息基礎設施安全防護為中心，深化網絡安全工作，重點加強大數據安全;要提高單位內部員工的網絡安全意識，開展大數據安全等業務培訓，全面提升整體網絡安全防護水平。尤其要針對未按要求落實等級保護等問題的單位，要下發限期整改通知。

靠前一步，預防隱患確安全。公安機關網絡安全監管部門要嚴格按照網絡安全執法檢查要求，逐個單位進行檢查，對重點信息系統等級保護、機房網絡安全設施和數據保全設備的運營及應急措施進行細致的檢查，以確保網絡安全管理制度、公民個人信息保護制度、網絡安全事件應急預案等制度落實到位。對檢查中發現的問題門戶網站要堅決關停注銷，問題信息系統要嚴格按照《網絡安全法》和等保2.0要求給予通報和懲處。

全面開展，建立綠色通道。針對監督檢查過程中發現的安全隱患，公安機關網絡安全監管部門要向相關單位進行詳盡講解，并就如何強化重點網站和信息系統的安全措施提出整改意見和要求。同時根據工作的實際情況，盡可能開通綠色通道，在符合相關規定的前提下，簡化流程，在最短的時間內對需要等保定級、備案、建設、測評、檢查完成整改的單位給予審核。

“網絡安全同擔，網絡生活共享”。在目前信息化社會中，社會對計算機和網絡的依賴越來越緊密。計算機和網絡在軍事、政治、經濟和生活工作等方方面面的應用越來越廣泛。如果網絡安全得不到保障，將給國家各個行業的生產經營、個人資產和隱私等方面帶來嚴重損失，從而使得關系國計民生的關鍵基礎信息系統，甚至國家國防安全、網絡空間安全面臨嚴峻挑戰。

對此，筆者建議：針對云安全、應用安全構建全方位的立體防護，盡快部署云安全高級防御平臺（云防平臺）。該平臺基于云服務架構的安全防御理念設計，實現了多租戶管理和統一安全防護。可以為企業提供全方位、立體安全防護。

HW行動預備工作敘述

HW攻擊隊（紅藍雙方進行精彩對決）最煩的事情：

1）防守方的密碼復雜、無復用并且保密工作較好，攻擊隊進入內網后橫向的時候，發現甲方有一堆強密碼但是都沒規律，這種情況橫向起來比較惡心。當然了，甲方不能把密碼直接放到excel中，被攻擊隊發現后直接就是功虧一簣。而厲害的公司還能部署用戶硬件key，這種搞起來就麻煩了。

2）目標內網一大堆蜜罐 ，你懂的 :-）

3）還有就是無腦斷網、斷電大法。防守方們7*24小時的看監控（武器庫很重要，不解釋）還是比較無奈的。

紅隊攻擊的重點內網系統：

1、OA:(重點）

泛微、致遠,金蝶,藍凌、萬戶,金和,或者自研發系統OA、財務系統

2、ERP:（重點）

Microsoft Dynamics GP

Oracle JD Edwards EnterpriseOne

金蝶-U9

用友-K/3

神舟數碼-易助

SAP ERP

Infor M3

3、重要信息節點：

email：（重點）

exchange

office 365

DC:（重點）

DC2012R2

DC2008 R2

3、web中間件：（重點）

IIS/apache/tomcat/weblogic/jboss/websphere/Nginx/FastCGI/PHPCGI/haproxy

4、編程語言：

php/java/asp.net/python

5、firewall：

華為/H3C/深信服/juniper/飛塔/思科/sonicwall/paloalto

6、交換機：

華為（重點）/H3C（重點）/CISCO/TP-LINK/D-LINK/ruijie等

7、堡壘機:

jumpserver（重點）/安恒堡壘機/綠盟/啟明星辰等

8、數據庫：

mysql(重點)

sqlserver（重點）

Oracle(重點)

以及Redis/Hbase/MongodDB/Neo4j/SQLite/Postgresql/esasticsearch

9、docker倉庫管理：

harbor

10、源代碼管理：（重點）

gitlab/SVN

11、vpn：

sanfor vpn/sonicwall/H3C/華為等

12、高性能的分布式內存對象緩存系統：

memcached/Redis

13、高級消息隊列：

rabbitmq

14、開源運維監控：

jenkins/zabbix/cacti/Nagios

15、大數據平臺：

hadoop/Spark/Zookeeper/OpenStack/Flink

16、代碼質量管理：

rebview board/sonarqube

17、企業內網文檔系統：(重點）

conflunece

18、項目管理系統：（重點）

禪道/jira

19、統一單獨登錄：（重點）

adfs/ldap

20、容器管理：

K8S/nexus/rancher

21、虛擬化管理：

exis/Citrix XenDesktop

22、IPS/IDS繞過：（重點）

23、防病毒繞過：(重點）

奇安信/360/趨勢科技/卡巴斯基/賽門鐵克等

24、WAF繞過：（重點）

綠盟/深信服/啟明星辰/360/阿里云WAF/安全狗等

通過以上信息的校對，其實很多時候我們可以發現，很多資產都會增加攻擊面，能關停的還是要狠狠心關閉掉。尤其是內網的系統根據我的經驗，大都是千瘡百孔的，密碼基本不是弱口令就是高度復用，十幾個系統管理員密碼都是一模一樣的情況十分頻繁。所以內網的合規性漏掃和手工滲透測試是必須要做好的。配合上一定量的蜜罐可以很好地降低安全風險，今年1月份win7停止進行安全補丁推送了，估計今年會出現很多秒win7的0day，哈哈哈。

網絡安全攻防演習解決方案

方案背景

方案概述

方案整體思路

目標收益

關鍵能力

方案優勢

2020護網行動在即，新基建背景下業務安全的危與機

“護網行動”是國家應對網絡安全問題所做的重要布局之一。“護網行動”從2016年開始，隨著我國對網絡安全的重視，涉及單位不斷擴大，越來越多都加入到“護網2019”行動中，網絡安全對抗演練越來越貼近實際情況，各機構對待網絡安全需求也從被動構建，升級為業務保障剛需。

流量黑產蔓延成互聯網“毒瘤”

2020年，新冠疫情席卷全球，傳統企業悄然完成了一次“線上獲客方式”對“傳統獲客方式”的加速替代。線上獲客和營銷的本質，是通過內容和價值獲客。隨著用戶數字化訴求逐漸強烈、企業商業模式趨向平臺化場景，以數據驅動的流量評估成為企業健康增長的核心能力。未來，線上獲客平臺和營銷方式越來越開放，新基建浪潮也帶來網絡黑產的繁榮，面對更復雜的網絡環境，除了擁有持續的線上營銷及獲客能力、有效的黑產防御手段才是保障業務持續有效增長的關鍵。

流量少、流量貴的問題成為企業業務增長難題，然而在供需關系不平衡的情況下，牟取暴利的野心也在暗中滋生。企業一面要想盡辦法提高流量增速，一面還要應對各種不斷翻新的流量欺詐。數據顯示，2019年國內互聯網廣告流量欺詐高達35.3%，而這一數據仍在不斷攀升。世界廣告主聯合會( World Federation of Advertisers)預計，在未來10年內，流量欺詐將會成為犯罪組織的第二大市場，僅次于毒品販賣。

流量黑產產業鏈

無效流量作為流量欺詐的主要來源，對于企業的業務風險表現在一下幾個方面。在獲取線上流量的過程中，黑產通過自動腳本、模擬器、設備農場等作弊工具，偽裝成真實用戶進行激活，帶來大量偽造流量、虛假流量，使得機構蒙受推廣費用損失，以及其他衍生成本的損失。而在線上活動營銷場景中，黑產為拿到紅包、返現等營銷優惠，使用批量假用戶冒充真實用戶，薅取活動優惠并非法套現，導致運營方的活動無法觸達到真實的用戶，造成直接經濟損失及企業聲譽下降。

惡意流量對于企業的危害還在于黑產利用爬蟲對企業重要數據資產進行惡意爬取，競爭對手刻意爬取產品信息、羊毛黨搜尋低價商品信息或在營銷大促前提前獲取情報尋找套利的可能、僵尸用戶對推廣的惡意點擊、為欺詐行為做賬號儲備的垃圾注冊……大量爬蟲集中訪問，會消耗大量的計算資源和帶寬，造成網絡應用大面積阻塞或癱瘓，并嚴重影響真實用戶的正常使用。根據年度惡意機器流量報告，世界互聯網流量只有57.8%是來自真人用戶，而剩余都是來自機器流量。

某某軟件方案，基于數據科學的渠道反欺詐技術，為企業提供了一套全流程、全自動監控的業務反欺詐系統。在渠道營銷環節，渠道質量評估系統結合各行業線上營銷各類業務場景，科學、精準的選擇評估維度，實時監測第三方流量推廣平臺，幫助企業識別虛假流量、低質量流量，甄別優質渠道，節省推廣費用、降本增效。在惡意爬蟲防治方面，人人云圖爬蟲管理系統基于數據科學能力，深入學習各行業業務現狀，構建了一套基于負反饋的動態爬蟲管理系統，在不影響良性爬蟲業務的前提下，對惡意爬蟲進行識別與阻斷，降低惡意爬蟲帶來的業務欺詐行為，從而有效降低運營成本和提升競爭力。

新基建 新賽道 業務安全防護勢在必行

后疫情時代，“新基建”被廣泛視為經濟增長新動力。面對復雜的網絡環境及新技術應用帶來的機遇與挑戰，傳統行業該如何構建深度融合的技術創新體系，打造行業科技新標桿？伴隨銷售場景的智能化、運營管理的數字化，如何在數字化轉型過程中，做好業務安全風險應對？

作者呼吁，面對快速走向產業化、專業化的網絡黑產，在新基建浪潮下，企業在追求新技術應用帶來的機遇同時，更應該注意新技術應用背景下，手段不斷翻新、規模不斷壯大、技術不斷更新的網絡黑產對企業業務增長帶來的安全隱患。

HW護網行動總結

1.HW行動

我們把整個HW行動包括前期準備分為三個部分：備戰期、臨戰期、決戰期。

備戰期:

在備戰期間，我們主要做了兩件事情，一是減小攻擊面，二是排查風險點。

減小攻擊面就是縮小暴露面。在這過程，客戶進行多輪的暴露面排查。首先，我們通過收集到的客戶資產進行爬取相關鏈接，確認是否無用頁面、無用系統下掛關鍵系統域名下，接著對于一些已經業務需求不那么高的、無用的系統、閑置的服務器進行下電處理，最后對于有一定的業務需求但用戶較少的系統直接遷入內網，通過VPN進行業務操作。通過一系列的縮小暴露面，最終客戶對外僅開放幾個端口，大大降低了攻擊面。?

在排查風險點這塊，我們主要做了兩件事，一是人工滲透測試，二是webshell排查。人工滲透測試這塊，倒是沒發現大的問題，就是有個系統的某個功能模塊存在權限漏洞，主要還是在功能提出需求的時候沒有考慮到安全問題，整個功能模塊的權限均存在問題。除了滲透測試，我們還對關鍵系統的服務器使用webshell排查工具進行后門排查，排查了14臺服務器，發現并清除2232個后門文件及10個疑似后門文件，排查發現的木馬文件發現非常多都是不可執行的圖片馬以及攻擊者攻擊的語句被應用日志記錄的日志文件，暫無發現可執行的木馬文件，應該都是早期黑客攻擊留下的文件。

臨戰期:

在臨戰初期，客戶舉行了兩場攻防演練，通過公司內分隊對攻到從上往下發起的攻擊。這次演練發現了在備戰期所忽略的地方：在備戰期對風險點進行排查的時候側重于WEB漏洞而忽視了其他漏洞的滲透及驗證，導致在演練的時候被攻擊方通過中間件漏洞攻破；還有就是在備戰期對VPN沒有做好嚴格的把控，以致于VPN的用戶名及密碼明文存儲在APP中，被攻擊方成功反編譯出密碼，直接進入內網。對于演練中發現的問題，我們進行以下處置：對于中間件漏洞及時升級補丁并且刪除相關被利用的war包，對中間打補丁及刪除war包的過程進行嚴格把控，對于進行的每個操作進行截圖記錄，確保每個過程都進行到位；對于VPN賬號泄露問題，賬號密碼不寫死在APP中，通過驗證碼進行VPN登錄，且將APP進行混淆，防止攻擊者通過反編譯獲取敏感信息。

客戶在臨戰期陸續將安全設備進行部署。針對這次HW行動，客戶對原本已有的一些安全設備進行策略優化，同時也新增了一些安全設備。主要的類型有防御設備、監控設備等。防御設備還是最常見的WAF、IPS，對WAF、IPS的策略進行優化，增強設備的防御能力；監控設備這塊就是我們自主研發了一個主機探針，主要作用就是對主機進程進行審計、webshell監控；除了主機監控還有就是網絡流量監控設備，對監測的流量進行分析。

決戰期:

在決戰期，最關鍵的就是應對每個安全事件的處置。

組織架構:

我們將所有的人員進行分工，主要有統籌組、監控組、研判組、網絡處置組、應用處置組。統籌組主要就是對一些重大決定進行決策，統籌整個HW防守工作；監控組主要就是對WAF、IPS等安全設備進行7*24小時監控、派發、跟蹤、反饋安全威脅；研判組主要是技術支撐，對于監控組發現的攻擊行為進行技術研判；網絡處置組主要職責就是發現攻擊時在防火墻上對攻擊方進行IP封鎖；應用處置組主要就是對發現的攻擊和漏洞進行風險處置、安全加固。

風險處置流程:

根據監控設備告警劃分風險等級，主機探針告警高于其他安全設備告警，主機探針作為防守的最后一道防線，若主機探針發出告警，則攻擊已經進入內網，因此風險等級最高。根據風險等級不同，我們制定了兩個風險處置流程：

當收到主機探針告警，監控人員告知應用處置人員進行風險排查確認，同時通知網絡處置組進行攻擊IP封鎖。應用處置組確認風險存在后，監控組立即通知機房管理員進行斷網處置，隨后，由應用處置組協助監控組進行溯源取證，并且對風險進行處置，刪除shell腳本或木馬程序。應用組處理后將結果反饋給監控組，監控組通知機房管理員將受攻擊服務器進行下電處理，并且將事件記錄在防御工作列表中。

當其他安全設備監測到攻擊時，監控組會將發起攻擊源IP告知網絡處置組進行封堵，同時將發現的告警信息發送給研判組進行研判，監控組根據研判結果通知應用處置組進行風險排查，應用處置組將加固結果反饋給監控組，監控組將事件記錄在防御工作列表中。

2.總結

其實整個過程下來的話，對于斗哥來說還是頗有收獲，有些小總結和大家分享一下：?

1.明確客戶的所有開放資產，雖然這已經是老話長談，但是確實也是最關鍵的，攻防從外到內，再從外圍到靶機，還是要鎖好每個入口，因此應和客戶對于所開放的外網系統進行仔細梳理，縮小暴露面。?

2.每個環節都應進行閉環管理，不管是漏洞整改還是資產梳理，對于完成的每一個環節都要進行有效的管控。?

3.應急演練的重要性，對人員進行分工，提前演練真實攻防場景，明確對安全事件的處置流程，在應對安全事件發生時不會過于慌亂。

【寫在最后】

1. 整體攻防的思考

本次攻防，從規則到各方實力，都是絕無僅有的。經常有人問，是攻擊隊厲害還是防守隊厲害？經過我這些年的思考，還是沒有得出一個確切的結論。有時候覺得攻擊隊厲害，因為攻擊可以在非特定時間隨意發起，出其不意攻其不備，甚至手持0day指哪打哪，畢竟木桶原理決定著攻破一處即可內部突襲；有時候又覺得防守方厲害，因為防守方擁有全部訪問流量，隨時洞察攻擊者的探測并封堵IP，也可以在主機層監控攻擊者一舉一動，甚至部署蜜罐玩弄黑客于鼓掌之中。總之，這么些年的摸爬滾打經驗告訴我，攻防就是這樣，道高一尺魔高一丈，一如黑客防線中說的“在攻于防的對立統一中尋求突破”。

2. 從攻擊方思考

在真實的攻擊行動中，一般一個目標要搞到核心系統根據防御程度不同，也需要1個月到半年的樣子，甚至APT要潛伏一到兩年才能拿到自己想要的數據。而此次總共給攻擊方的時間只有3個周，并且每個隊伍據說10多個目標，這也就決定了攻擊要快速、要自動化。

a) 分布式掃描器

要說快速，還是得上掃描器，但是一個掃描器速度肯定不行，再者，被發現攻擊行為，立馬IP被ban掉，后續就無法進行。所以，分布式掃描器在這種情況下一定是個趨勢。首先對全部目標的全端口進行一次掃描+端口識別，根據Banner快速收割一輪；

在這個過程中就會有個陷阱，比如在收集二級域名時，經常采用字典爆破，而防守方會設置一個誘餌二級域名，把流量引入蜜罐之中，坐等攻擊方上鉤。這時就需要攻擊方們機靈一點，時刻反思這個是不是蜜罐。

對于AWVS的掃描器，還需升級到最新版，別被防御方反制，畢竟老版本掃描器自身就存在一個RCE。

b) 菜刀？蟻劍？冰蝎？

對于所有的黑客來說，菜刀肯定是一個傳奇，一直是最穩定、最牛逼的webshell管理工具之一，但同時，菜刀也是一個最容易被發現的攻擊工具，畢竟流量特征太明顯了，而且一旦發現就100%意味著服務器已淪陷，防守方會里面下線進行深入分析。記得當初第一次見到菜刀這工具時的感覺，總結起來就是“厲害”。因為在菜刀之前，我們學習的都是先小馬后大馬的姿勢。而用了菜刀之后，我深刻理解了什么大馬小馬都無所謂，能執行命令搞定目標的都是好馬。然后經過了幾年的迭代，中國菜刀在國內安全圈也是經歷了各種風風雨雨，各種后門版滿天飛。最后鑒于其加密性能較弱，陸續出現了幾個替代版本，蟻劍就是很優秀的一個項目。講真，我開發水平相對較弱，見到蟻劍才發現原來js也可以寫出優秀的跨平臺客戶端應用。可是正式由于其nodejs寫的，才導致其跟AWVS一樣，存在一個本地nodejs解析的RCE，很可能被防御方反制。再之后給我“厲害”感覺的就是冰蝎了，其雙向通信加解密的管理方式，讓諸多基于黑名單正則的防御產品廠商直接歇菜。可是很奇怪的時，還是有很多大量攻擊方采用菜刀、jspspy之類的原始webshell，結果被防御方輕松發現并清除。

不過說到最后，我有一個疑惑，為什么大家非得用webshell這種方式搞服務器呢？比如存在weblogic反序列化或者Struts2 RCE漏洞時，黑客們寫的工具還是一鍵寫入webshell這種。安全發展到今天，防御手段越來越多，各位白帽子是時候改變了。正如我之前說的，不管用什么shell工具，只要能在服務器端執行命令，下面就肯定有更好的解決方案。我一般會使用命令方式加載自己的二進制版遠控來操作。現在的二進制遠控不像以前還要生成exe用菜刀上傳，在命令行下執行，現在基本都可以做到類似mshta或者powershell的一句話直接動態上線，并且基于TCP/UDP協議的命令執行、文件管理。這樣的好處：一是穩定，二是完全繞過那些基于黑名單的流量分析設備。類似metasploit的腳本payload反彈的meterpreter，但是msf特征明顯，也容易被殺，所以我個人估計后面攻防還是會發展到類似cobalt strike之類的工具對抗上。

c) 水坑&魚叉

針對水坑或者魚叉攻擊來講，可以想象到肯定大量的攻擊隊伍采用這種方法進行攻擊，攻擊手法多基于郵件進行。現在假想成攻擊隊伍，我會首先在github上搜索一波，舉個例子：https://github.com/search?q="4dogs.cn"+password&type=Code,注意域名要加上雙引號進行精準匹配。在翻到一個可登陸的郵箱后，去通信錄導出所有聯系人方式，進而進行簡單的口令爆破；在這些操作還沒拿到有用密碼的情況下，就可以根據組織結構進行定點攻擊了。高級點的用瀏覽器0day，沒有0day的也可以直接發宏病毒，注意要編個理由并且加密發送，防止被沙箱抓樣本。

假如沒有有用的郵箱賬號，也可以用搜索引擎收集郵箱，再根據規則，加載中國姓名top500字典進行組合，總歸能抓到一兩個用弱口令的。

如果還是什么都沒有，也可以使用swaks一類直接偽造成admin發送釣魚郵件。

對于防御方來講，最厲害的莫過于直接關停外網郵箱了。次之，可以派人隨時查看登錄日志，及時發現異地登錄爆破情況。對于有錢的甲方，可以通過流量鏡像，對附件進行沙箱判定。

d) 內網滲透，還是要了解業務

在突破邊界進入內網后，剩下的主要是內網滲透了。內網滲透可以簡單分為橫向滲透和縱向滲透。內網滲透的實質和關鍵是信息收集，通過不停的突破系統拿到更多的權限，而更多的權限帶來更多的信息，最終在信息和權限的螺旋迭代下，拿到目標的最高權限。

對于有域的環境，一般目標時拿下域控，而在本次攻擊中卻恰好爆發了一個直接打域控的0day，這就容易多了。但是即使一鍵拿下域控權限，還是要回到信息收集的本質上，要在海量的終端里篩選出自己的目標數據在哪臺機器里，還是需要一些技巧的。

而不管是什么環境，我個人感覺阻礙攻擊隊伍進行內網滲透的主要原因還是對目標業務的了解程度。比如電力行業的16字方針，很多時候搞到邊界系統后，ipconfig一看是10段的，以為進了個大內網，而實際情況是那只是冰山一角而已。縱向突破還有很長很長的路要走。再者，假如對電信行業、金融行業不了解，進到內網肯定也是一臉懵。這也是內網滲透耗費精力的原因。

e) 0day的優劣勢

在本次演習中，陸續發現了大量的0day，印象里有七八個，0day具體細節可以參考各大公眾號之前的報到。這里只討論下針對0day的問題。

從0day的內容和數量上來講，護網結束后我感覺什么系統都有漏洞，并且有一種想去挖幾個留著的沖動，奈何工作雜事太多，先擱置一下吧。

對于攻擊方來講，手握0day是指哪打哪的一個有效支撐。從漏洞類型上，基本覆蓋web、網絡、操作系統等等方面。針對國內的網絡安全現狀，講真，我對那些商業應用真的不報任何安全的奢望。對于國企和政府來講，自有系統大都是外包廠商開發，而這些外包開發者，大部分不懂安全，甚至sql注入是啥都不知道，更別說防御框架漏洞了。所以對于攻擊者來講，去攻擊一個客戶廣泛的廠商，拿到一個0day即可攻下其相關的所有目標，收益非常高。但同時也要明白，現在0day的生存期非常之短。10年前，我們一個0day可以用半年都沒被人發現，而在這次演習中，0day的生存期可能只有半個小時，因為防守方發現shell就會溯源，進而預警。不過排除這次防守方7*24小時的有效監控，在真實情況下，0day的生存周期可能不超過一周。所以我認為，當前網絡環境中，0day大量存在，但使用非常謹慎。至于防守方怎么防御0day，請看后面的內容。

3. 從防守方考慮

整體來講，防守方都是從“事前排查”、“事中監控”、“事后溯源”三個方面進行防御的。根據我的觀察，國企安全防御能力一般弱于互聯網公司；而國企和政府單位的投入普遍高于互聯網公司。導致了演習前大量的“人販子”到處求人駐場的問題，一度炒到每人每天上萬元。下面從幾個方面分析這次防守方的經驗和教訓。

a) 防御過度問題

這次演習的意義和重要性，甲方自己應該更明白，這里不再描述。而正是由于防御方的重視，出現了大量的防御過度現象：一是在開始前的大量系統關停，二是對于互聯網IP的大量封禁。大量的關停本質上是掩耳盜鈴，在護網結束后依舊面臨各類外部攻擊者的威脅。希望存在這類情況的廠商，還是能從根源上排查漏洞，加固系統，對系統采取必要的防護措施。

針對惡意封禁IP的情況，雖然體現了防守方及時發現攻擊的能力，但同時，也影響了正常業務的運行，特別是一封一個B段的情況。各位甲方還是考慮下從根源解決問題。

b) 應急排查

對于事前的應急排查，甲方大都采用臨時購買人工滲透服務的方式進行，毫不客氣地說，他們買到的一部分是在校大學生，或者培訓機構的實習生。即使錢給夠了，去的是個滲透大師，也會因為內網漏洞太多，無法完全覆蓋。舉個例子：假如給我一個系統，我大概需要一上午分析每個端口，每個業務接口的安全性，進而給出一個完整的測試報告。我基本上可以保證我測試過的系統短時間內不會出大問題。但是假如給我一個B段，告訴我3天完成，那我就只能模擬橫向內網滲透，masscan先來一些端口，wvs掃描一輪，然后一批一批的去看。這種模式就決定了無法完全覆蓋全部業務系統。即使時間夠，那對于新增的業務又怎么辦？

那針對這種情況該怎么辦？我一直給我的客戶普及的一個想法：內網漏洞不要指望短時間內購買一次服務就完全解決了。針對漏洞隱患的工作必須常態化開展：一是上資產管控手段，對內網所有的服務器，通過主動掃描、被動流量分析等手段進行搜集，實時監控內網到底開了多少端口，每個端口運行什么服務，應用是什么版本；二是解決遺留問題，對內網既有的框架漏洞、弱口令漏洞，進行專項整治。相信通過本次護網，原來沒搞過安全的防守方，在部署安全設備后發現了大量的永恒之藍、木馬受控等遺留問題。建議大家用幾周時間集中解決一類問題，循環下去即可解決遺留的全部問題；三是建立新業務上線審查流程，對于新上線的業務系統，必須通過第三方安全測評，只有拿到安全測評報告的才允許上線。

c) 重邊界、輕內網的防御策略

這次的防守方普遍是重邊界、輕內網防御，造成了一旦邊界被破，內網整體垮掉的風險。而這個情況在我入行時就普遍存在。安全發展到今天，實在是說不過去。去年看到了Google提出的0信任網絡，感覺是個趨勢，一度想轉行做0信任網絡的布道者，雖然普及還有一段路，但是我還是希望大家可以轉變思維，一定不要認為我在內網就是安全的。萬一哪天被黑，可能影響的就是國家利益，帶來的就是社會動蕩。

d) 威脅情報系統的意義

首先，針對這次攻擊，各種原有IOC情報基本無效，比如惡意域名庫、惡意IP庫等，因為攻擊方使用的都是新的域名和IP，這也是黑名單做安全的尷尬。但是同時要感謝安全廠商們的威脅情報庫，讓更多的國企、政府單位認識到了自己內網辦公電腦有很多已經被控制。

e) 面對0day攻擊的無力感

面對0day攻擊，理論上誰都扛不住，但是實際是這樣么？仔細想想并非如此，首先，面對0day真正扛不住的是以黑名單為基礎的安全設備，包括waf類、態勢感知類、IDS類等。而這些安全設備，又確確實實是各大廠商的首選安全監控設備，一旦這些設備沒報警，那基本啥都干不了，這也是防守方們7*24小時防守但其實大部分時間無所事事的原因。

首先，對于web 0day的防御，完全可以采用openrasp類防御方法，從根源上防止各類web漏洞攻擊。如果有想購買商業版rasp方案的同學，可以勾兌下我哦。

其次，對于網絡0day和系統0day，我們可以采用EDR手段進行防御，在終端上裝上agent，在agent上采用白名單策略，對于無關的進程啟動和危險命令直接報警或阻斷。想起來我們四年前做過的一個產品叫麒麟衛士，可以說是國內首款EDR雛形了，可是去賣的時候發現大家對于需要安裝agent的做法都耿耿于懷，不敢裝。四年過去了，相信后面會有更多的人接受EDR帶來的安全改變。

f) 蜜罐

這次演習的一大亮點就是很多防御方采用了蜜罐的方式進行誘捕和攻擊引流。要說蜜罐做得好，那是真的很有用。我理想中的蜜罐應當是完全仿真，而不是動態針對部分服務的仿真。同時可以具備反制的功能，一是可溯源攻擊者真實身份，二是可利用AWVS或者蟻劍這類黑客工具自己的漏洞反向攻擊攻擊者。相信后面會有大量的優秀產品脫穎而出。不過防守方真的真實部署后，可能半年也捕獲不到一次有效攻擊，畢竟這次是演習，平時黑客攻擊還是少。不過安全就是如此，防患于未然。

編輯：黃飛

?