默安科技程进：工业企业主动防御建设需聚焦事前与事中

会上，默安科技安全研究院院长程进受邀带来《工业企业主动防御安全体系建设思路》的主题演讲，围绕主动防御体系与传统防御体系的区别、主动防御体系建设框架及工业企业主动防御体系建设思路与实践三个方面展开。

图 默安科技安全研究院院长程进现场演讲

程进首先剖析了主动防御体系与传统防御体系的区别。传统防御体系如WAF、IDS、IPS、各类审计、行为管理、杀毒软件等，具备被动、静态、特征、审计的特点，整体趋向于事中、事后。在当前实战化的大趋势下，传统防御体系面临着打掉就失分、0day满天飞、漏误报严重、供应链攻击、社工等挑战。

目前，事后的成熟度较高，而事前和事中的成熟度仍较低。事前主要面临漏洞治理阶段仍较晚、未形成有效的威胁情报共享体系、潜在暴露面无法常态化收敛、无法有效预评估安全能力等问题。事中主要面临安全事件检出误报率较高、研判风险依然需要大量人力和经验、缺乏有效的事中安全响应处置手段、安全响应效率低下或滞后等问题。

相比于传统防御体系，主动防御体系能更好地解决事前、事中的问题，二者互为补充、相互结合，能够帮助企业更好地满足实战化的需求。

主动防御是GB/T 39204-2022 《信息安全技术 关键信息基础设施安全保护要求》中的重要内容，其中包含对CII（关键信息基础设施）的暴露面收敛、攻击发现和阻断、攻防演练以及威胁情报，以对抗APT等高级攻击威胁。主动防御体系以欺骗防御为核心，提供攻击的主动发现能力、实网攻防演练能力，一方面减少对外攻击暴露面，并采取捕获、干扰、阻断、溯源等措施应对网络攻击；另一方面配合运营者展开攻防演练，提升运营者的攻防对抗能力。

依据MITRE发布的Engage主动防御框架，其技术分为通用防御技术、欺骗技术、对手交战技术三大类。通用防御技术捕捉各种恶意活动可能触发的事件，如日志采集、数据包采集、数据备份等；欺骗技术通过诱捕攻击者进入欺骗系统，可以捕获到更全面、置信度更高的攻击信息，Engage中的欺骗技术可以用于检测、威慑或者其它想要达到的效果；对手交战技术更强调对于攻击的反制，动态进行欺骗诱捕，达到反制的效果，通过部署各种限制措施来捕获攻击行为、设备服务的多样化来迷惑对手等。

根据国内政策要求及国际框架，默安科技结合多年来的实战经验积累，总结了主动防御能力要求，并提出了一套主动防御体系建设框架，包括ASM攻击面管理、攻防演练、BAS安全有效性、欺骗防御、自动化处置、供应链治理、威胁情报、安全运营平台/服务等八个方面，通过安全运营平台和威胁情报平台进行双向赋能，同时联动传统安全防御设备，帮助企业构建高效全面的主动防御体系。

程进指出，工业企业的入侵路径除了常规的网络攻击外，还包括针对上下游的攻击供应链、攻击协同单位，以及针对生产环境的近源攻击、攻击工控系统等。

那么，工业企业应如何进行主动防御体系建设呢？程进认为，工业企业主动防御体系能力建设需要聚焦在事前和事中两个方面。

在事前能力建设上，包含威胁情报、攻击面治理、攻防演练、供应链安全治理、安全有效性验证等五个方面，企业需注意结合自身特性，如除传统威胁外，各类能力需覆盖生产场景、工控设备，需关注供应链、上下游单位。

在事中能力建设上，首先，要实现纵深业务仿真，包含覆盖企业层系统、应用的常规蜜罐，覆盖监控层系统、应用的IOT蜜罐、PC蜜罐，覆盖设备层系统、应用的PLC/HMI/SCADA蜜罐等，构建覆盖云上和云下场景的智能蜜网；其次，通过精准威胁分析，进一步实现自动处置、动态交战和溯源反制。

未来，默安科技将继续发挥自身优势，在工业信息安全领域不断探索与创新，帮助工业企业实现打通事前、事中、事后的全链路安全治理，建设高效全面的主动防御体系，为工业企业数字化转型筑牢安全防线。