攻防|兵器谱之四：守好网络攻击的着陆点—— 奇安信天擎

2021实战攻防演习“兵器谱”

兵器四

守好网络攻击的“着陆点”：奇安信天擎

奇安信天擎终端安全管理系统可满足防守队从备战到实战不同阶段的差异化防守需求，助力防守队攻克终端安全防御难题。目前，天擎已助力国内5万余家政企单位部署终端安全工作，是防守队守好终端安全的利器。

在实战攻防演习过程中，终端历来是攻防双方的必争之地。

终端安全防御难：

一方面受到终端数量庞大、操作系统各异、用户安全意识薄弱等问题牵制；

另一方面，终端又是所有网络攻击的“着陆点”，针对终端系统的攻击手段复杂、多样。

图片来源于网络

在这一背景下，防守队该如何在攻防演习中守好终端安全？

作为奇安信面向政企单位推出的一体化终端安全产品解决方案，终端安全管理系统（以下简称“天擎”）集防病毒、终端安全管控、终端准入、EDR等功能于一体，在实战攻防演习中全面发挥防御能力，从演习的三个不同阶段入手，助力防守队攻克终端安全防御难题。

下面具体来看，天擎在演习过程中为防守队献上的锦囊妙计。

阶段一：盘清资产、识别风险

在实战攻防演习正式启动前的第一个备战阶段，核心目标是梳理全网终端资产的状态，识别高风险资产，从而确定网内的风险点和暴露面。

这一阶段，防守队可利用天擎“终端发现”的扫描、监听等能力，并结合网络准入设备，首先对全网资产进行全面扫描，并重点识别未确认、不活动中高端。

未确认终端主要包括近期新入网尚未进行资产识别的终端、未进行实名认证及登记的终端、以及系统无法准确识别的终端等。由于此类设备在网运行期间缺乏有效的资产识别和信息获取，使其成为不折不扣的“黑户”，给安全策略落地、安全责任到人带来了较大阻力，是实战演习前需要解决的首要风险点。

不活动终端通常包括临时启用的业务服务器、长期开机但不常态使用的计算机终端等，此类终端犹如“幽灵”般存在，往往长期不受关注并疏于管理，给防守留下了较大的暴露面。演习前夕，需全面识别此类终端，并结合业务实际需求，及时采取关停或纳入统一管理等安全措施。

在消除了“黑户”和“幽灵”后，防守队已经基本做到了“盘清资产”。接下来，防守队需针对终端列表进行深入分析，并利用天擎的“综合评估”模块，识别并标记相关安全配置不符合基线要求的终端、保存大量敏感数据的终端、重要部门核心人员使用的终端、停服系统终端等高风险终端。

“综合评估”模块共包含三项能力，分别为：

1. 配置脆弱性评估

天擎通过检查终端身份鉴别、安全审计、访问控制、资源控制、入侵防护的配置状态，评估其配置脆弱程度，并判断其是否符合实战攻防演习背景下的终端安全管控标准。

2. 数据价值评估

防守队可自定义“高价值数据”的典型特征，并针对全网终端指定路径下的各类文件进行内容扫描，基于检测到的高价值数据情况，将在网终端划分为普通数据终端、敏感数据终端、核心数据终端等，并进行分类标记。

3. 沦陷迹象评估

沦陷迹象评估主要针对主机的系统帐号变化、终端U盘使用、IE浏览器访问、文档打开、搜索、共享访问等记录进行分析评估，确定可能已被侵入并受到恶意控制的终端。

至此，在天擎的协助下，防守队就可以达成“盘清资产、识别风险”的目的，第一阶段备战结束。

图片来源于网络

阶段二：加固战壕、精准防控

第二个备战阶段，则以缩小网络暴露面，最大程度消除隐患为核心目标。

防守队可利用天擎的“一体化”特性，再次评估终端漏洞修补、全盘病毒查杀、开启实时防护、使能主动防御、部署运维管控措施等防护管理手段效果，并进行必要的策略优化和调整，以加强“战时”的总体防控强度。

除此之外，针对上一阶段所识别出的关键风险点，则需重点加强其防控措施，实现精准防控，建议防守队采取的主要措施包括：

1. 停服系统加固

通过启用天擎的“XP系统加固”和“Win7系统加固”模块，基于内存指令控制流检测技术、智能权限分析与设置技术，重点防护针对停服系统进程的远程代码执行漏洞攻击、针对浏览器漏洞的网页挂马行为攻击、针对常用文档编辑程序漏洞的钓鱼攻击等。

2. 软件安装统一控制

通过天擎内置的“软件管家”，建立统一的软件管理中心。在演习期间，全网终端仅可安装经过软件中心安全鉴定的程序，禁止运行其他未被鉴定、授权或非可信来源的安装文件，从而规避常用软件夹带恶意程序植入的风险。

3. 移动存储管控

随着利用U盘等移动存储设备传播恶意程序的新型攻击出现，天擎可对所有企业自用U盘进行登记管理，并对文件存储进行加密，非可信的移动存储设备则无法在终端设备上使用。

4. 违规外联管控

针对隔离内网用户，开启违规外联监控及告警措施，重点监控无互联网访问权限终端通过自建网络连接互联网，或使用不可信互联网连接访问互联网的情况。

至此，第二阶段备战结束。

图片来源于网络

阶段三：持续监测、及时响应

经过了以“拉伸防线纵深、缩小暴露面”为目标的前两阶段备战工作后，攻防演习将进入实战阶段。

这一阶段，天擎终端检测与响应（EDR）优势凸显。

具体而言，在演习期间，防守队可利用EDR实现以下几方面的工作：

1. 基于告警信息进行分析和调查

EDR系统可基于持续的IOC和IOA检测，对恶意行为进行识别并发出告警，防守队则通过EDR提供的威胁调查工具，对线索中的可疑事件、IP、文件等进行信息检索及关联分析，从而快速洞察威胁全貌，是对传统防护手段的有力补充。

2. 对确定的威胁事件进行快速定位

在演习期间，防守队会持续获取各类通报信息。对于一些已确定的攻击事件，防守队往往已经掌握了攻击的部分特征，需要在最短的时间内查清威胁全貌并确定受影响范围，以采取响应措施。

此时，EDR可以作为调查工具，把终端上发生的所有行为以元数据的形式记录下来。在此基础上，防守队可快速检索出与威胁相关的IP、主机、进程、命令参数等，这一过程类似于使用“搜索引擎”。

3. 加强战时的“机动巡逻”

基于“战时”的需要，部分用户还可利用EDR所支持的高级查询规则，自定义与业务相关的威胁行为特征，并在全网终端大数据中检索。此类应用是在一系列自动化告警机制之外的补充，主要起到了“机动巡逻”的作用。

4. 终端威胁集中处置

当威胁及其影响范围被确定后，防守队可通过EDR的统一控制台，针对全网或限定范围的终端进行进程中断、网络隔离等操作，从而在短时间内遏制威胁的破坏。

值得强调的是，天擎EDR可与奇安信旗下的天眼、NGSOC等产品实现联动处置，防守队则可借此特性，实现网络侧、终端侧的协同响应。

以上就是天擎在攻防演习三个阶段所发挥的防御能力，满足防守队从备战到实战不同阶段的差异化防守需求。在网络实战攻防演习的常态化趋势下，越来越多的政企单位加入其中，攻防双方的演习程度不断白热化，想要守好终端安全，天擎这个制胜武器每一个防守队都值得拥有！

End

后记

兵器谱

2021实战攻防演习“兵器谱”

本期《网安26号院》重磅推出《实战攻防演习“兵器谱” 》，一共精选了奇安信旗下天眼（新一代威胁感知系统）、云锁（服务器安全管理系统）、NGSOC（态势感知与安全运营平台）、天擎（终端安全管理系统）、邮件威胁检测系统、蜜罐（网神攻击诱捕平台）、SOAR（安全编排自动化）、开源卫士、实战攻防演习平台等九款产品及解决方案，旨在为每位安全从业人员提供最实用的装备指南。

▼

相关文章

▼

下期预告，“兵器谱”之五：《防守指挥中心利器：奇安信安全编排自动化（SOAR）》，敬请期待~