2024攻防演练 | 云地联动，安全升级；1+1＞2 筑起铜墙铁壁 - 新鲜讯息

前言：随着大数据、物联网、云计算的快速发展，愈演愈烈的网络攻击已成为国家安全的新挑战，攻防演练作为保障国家网络安全的重要途径之一，越来越多的单位加入其中，并呈现常态化、实战化态势，这对防守单位提出更大挑战，要求防守单位“防微杜渐、有备无患”，围绕“前期准备、安全值守、总结提升”三个阶段，打造“防得住”的应对体系。

拒绝“孤岛防御”

云地联动的时代呼唤

在网络安全这片广袤的战场上，各类本地安全设备的管理与运维，始终是企业必须跨越的难关。企业在本地部署了包括IPS、IDS、态势感知、蜜罐捕获系统等在内的多元化安全设施，以期构建一个强大的网络安全防护体系。然而，如果这些设备产生的数据和情报没有得到有效地整合和关联，将产生数据孤岛、警报疲劳、分析能力不足等问题，从而大大降低预期的安全价值。

面对日益狡猾多变的网络攻击手段，传统的本地单一防护模式已显得力不从心，难以满足现代企业对于全面、动态安全防护的迫切需求。云地联动策略应运而生，它巧妙地将本地安全设备与云端安全防护能力深度融合，构建起一个全方位、立体化的多层防御网络。本地安全设备坚守前线，负责基础的防御屏障构建与即时应急响应；而云端则以其无与伦比的计算力、庞大的数据资源池为支撑，专注于深度数据分析、智能风险预警以及全局态势感知，为整体防御策略提供强有力的后台支撑。两者携手并进，形成优势互补，共同织就一张密不透风的网络安全防护网，有效抵御各类网络威胁的侵袭。

云地联动纵深防御体系

网安防护新标杆

云地联动纵深防御体系指加强云端防护体系与本地现有防护体系的联动和快速赋能的能力。该体系能在多重网络防线上提供持续的威胁防御或威胁洞察力。就像是给整个组织构建了战场防御的“纵深”，并在阵地的不同层次、不同区域上进行不同技术类型的层层设防。一方面减轻本地设备的防护压力，另一方面设防并保证防御策略行之有效。

云地联动策略通过云端与本地设备的紧密协作，构建综合的网络安全防护体系。这一体系的核心优势在于整合了分散的网络安全资源，提升应对网络威胁的整体响应速度和效率。云端的高可用性和可扩展性使其能够处理和分析大规模的网络数据，而本地设备则利用其地理优势，实现快速的威胁检测与防御，助企业在复杂多变的网络环境中保持敏锐的洞察力。

知道创宇“云地联动纵深防御体系”

架构介绍

云端的智能分析引擎能够实时监控网络流量，识别异常行为，并对潜在的未知威胁进行预测和分析。这种全网态势感知能力，不仅包括对已知威胁的识别，更重要的是对未知威胁的检测，从而提前预警并采取防御措施。本地设备在云端的辅助下，对网络中的实时数据进行初步筛选和分析，及时发现并隔离可疑活动，有效阻断攻击者的行动路径。

云地联动体系的联动防御能力，允许云端与本地设备在检测到威胁时迅速协同响应，采取必要的防御措施。这种联动不仅局限于单一设备或单一网络区域，而是可以跨设备、跨网络进行，形成一张覆盖整个网络环境的防御网。通过这种方式，云地联动体系为企业提供了一个更加安全、智能和高效的网络安全解决方案，有效应对日益复杂的网络威胁挑战。

云地联动的构建并不要求更改现有的防护架构，相当于在原有的防护架构之上添加了一层防护罩，激活现有的安全设备的防护能力。在完成云地联动体系的基础上通过获取到的云端情报、本地威胁情报，以及部署的蜜罐捕获到的威胁情报可实现本地安全能力编排自动化，借助蜜罐的部署在本地防护场景下加强边界地形能力动态重塑，实现从云端的防护、监测到本地防护的纵深防御体系，实现分层拦截、高效同步、快速捕捉，极大减轻本地防护压力。

“云地联防联护”技战法

实战分享

某大型央企集团今年首次参加由国家相关单位组织的专项攻防演练活动，自8月1日开始，不到半个月时间，成功发现4起攻击事件，取得了优秀战果。

（1）战场前移，构建联合对抗统一防线

通过在集团互联网边界以外构建云防御体系，共为90余个业务系统提供了安全防护，在一个月内共阻断攻击行为2000余万次。经现场人员采样分析，集团互联网边界侧受到的攻击流量下降了58%，成功实现了将互联网攻击防护关口前移，隐藏真实业务系统IP，在集团互联网侧以外，补强了纵深防御能力。实现了集团互联网业务系统的统一安全管理、统一安全防护、统一态势感知、统一安全控制。

（2）基于威胁情报的云地联动防护

云上动态防护体系基于大数据的海量分析，人工智能机器人自动捕获到疑似未知漏洞攻击（0day）并快速预警。

针对攻击IP及攻击情报快速攻击画像，结合攻击者近期攻击行为、攻击手段、活跃时间、攻击利用详情等信息综合分析为高危情报且漏洞为0day。

情报平台根据监测到的漏洞与风险情报自动研判并根据攻击画像将情报同步至云防御平台，通过云防御平台的动态联动实现单一攻击捕获，全面攻击拦截的高效边界资产防护策略。情报信息快速同步至协同防御、本地安全设备，在攻击发生后12分钟里依托边界防护监测一体化体系和云地联动体系快速完整攻击画像和对0day漏洞的阻断。

（3）基于云蜜罐的主动诱捕能力

通过云蜜罐系统，对部分业务系统进行1:1仿真，成功诱捕攻击者的200 余万次攻击告警，安全专家对攻击进行了深入分析研判，最终确认高危攻击IP 6个，联动创宇安全智脑提前掌握攻击者画像，同时将捕获到的攻击者IP自动化与云防御进行联动封禁，实现了互联网侧攻击的主动防御、动态防御。形成集团专有威胁情报并赋能本地防护设备，充分发挥自动化联动封禁能力，及时精准阻断，实现动态防御。

通过知道创宇独有威胁情报能力，与云防御、云蜜罐、云图沙箱系统等进行综合研判分析，在1个月内，共发现集团xx管理信息系统账号信息暗网泄露事件1个，集团相关安全舆情及风险点8个，重点威胁IP 6个，0day漏洞情报6个，赋能集团安全防护体系进行及时处置和封禁，实现了对高危攻击者的提前发现和阻断。通过云地联动纵深防御体系的建设，有效提升了集团整体联防联控能力。

总结

攻防演练是加强网络安全防范意识，保障网络安全的重要布局之一。在2024攻防演练中，云地联动策略展现出了强大的实战效果。云地联动纵深防御体系的构建解决了企业本地安全设备繁多、情报相互孤立的问题，它融合了本地安全设备的坚实基础和云端安全防护的广阔视野，以大数据情报为驱动，实现了安全防护能力的全面提升。通过本地设备与云端的紧密协作，企业成功抵御了多起复杂攻击，有效降低了安全风险；同时，大数据情报的引入，使得防御体系更加智能化、自动化，大大提高了安全运维的效率和质量。这种1+1＞2的协同效应，不仅增强了企业的安全防御能力，也为未来的网络安全防护提供了新的思路和方向！