基于攻防演练的检测防御体系建设思考

03

多层次的检测防御体系

针对日益多样化的攻击方式和更加隐蔽的攻击手法，也要建立多维度多层次的检测防御体系进行应对。在检测层面要通过采集多维度海量的边界区域网络全流量日志，各类应用服务器的操作日志、安全设备告警日志等多样化的日志数据，将其以标准化的形式存储到集中的数据处理平台，并建立对应的检测模型和检测规则在网络流量和主机应用层面进行威胁自动化挖掘和关联分析，并在内外网络中以不同的监控视角为切入点进行制定有针对性的监控策略。

在互联网等边界网络区域，要以安全攻击监控分析为重点。边界区域的各类应用为攻击方最直观的攻击入口，其通常会尝试各种攻击手段尝试进行边界突破获得内网的攻击入口，因此针对边界应对各类安全攻击进行精准的分类分级，建立合理的分析、处置措施，来过滤大量无效扫描流量，定位真正有风险的安全攻击，并对其攻击结果，攻击造成的影响第一时间进行响应和处置。

在内部网络区域，要以异常行为感知为监控分析的重点。攻击方通过边界突破、职场社工、钓鱼邮件等方式获得内网权限后，通常都会以各类加密流量为基础建立持续隐蔽的通信隧道，因此通过常规的安全监控手段无法对其进行有效的检测和发现，但攻击方会以此为入口进一步探测内网资产、获取内部数据来进行范围更广的内部横向移动。因此内部安全监控要以异常发现为重点，基于内部各类主机、应用、蜜罐等的数据来制定针对性监控策略及时发现安全风险并进行分析和处置。

在防御层面应将WAF（web应用防火墙）、流量分析检测系统、威胁情报系统、防火墙等各类设备和系统进行联动。将分析检测系统发现的威胁结合情报系统以及其他维度的数据进行分析和风险评分。将达到一定分值的告警源IP下发至防火墙和WAF等设备进行自动化封堵，及时对恶意的攻击行为进行拦截阻断，通过自动化的拦截处置措施，来降低人力监控的成本，提高安全监控的效率。

此外还可以通过部署一定数量的互联网蜜罐，采取以蜜罐为基础的主动防御手段。通过蜜罐来捕获攻击方恶意攻击行为，通过对攻击行为进行深入分析来发现攻击者的攻击意图、其所使用攻击手法和攻击技术。将获取到的攻击信息与自身防御体系结合，进行更加精准和高效的防御。

04

常态化的安全态势监控

从实际来看攻防对抗是一个持续动态的过程，攻击者的手段在不断变化，攻击方法和工具也在不断更新。通过一套固定的方法来解决所有的安全检测与防护问题并不现实。因此要常态化持续性的对安全态势进行监控，与多方人员进行协同运营，共同维护和优化检测防御体系。

一方面要通过平时安全监控、事件处置中不断总结经验和技巧，建立一个快速高效的事件协同处置机制，持续根据最新的攻击态势进行优化，这样来应对各类型的保障和挑战。另一方面则需要持续总结日常安全监控用到的技术方法，将其落地成标准化的技术文档和分析工具，将防御手段流程化、标准化可以进一步提升安全事件检测处置效率，同时还可以最大限度的避免因人员流动造成的技术下滑等问题。

攻防的对抗无时无刻不在进行，安全防护工作也不容停歇。体系化的检测防御体系需要一步一步做起，本文对其进行了总结供大家参考，希望在在实际建设对大家有所帮助，在安全检测和防护体系的建设过程中共同探索和成长。

作者|邢骏