您現在的位置是：首頁 > IT基礎架構 > 網絡與安全 >

防守隊:為什么我們什么都做了，攻防演習還是輸了？

2022-07-22 16:47:27作者：來源：

摘要奇安信天眼“智能專家研判服務”，運用AI、機器學習技術進行自動化知識搜索與推理，根據專家研判經驗智能響應客戶的告警分析需求，無需分析人員參與，告警分析研判、事件處置更快速。...

 

“我們并沒有做錯什么，但不知為什么我們輸了”。這句話是昔日手機巨頭諾基亞CEO約瑪奧利拉在當年同意微軟收購其手機業務時，在記者招待會上說的話。說完，連同他在內的幾十名諾基亞高管情不自禁的潸然淚下。
有句毒雞湯很是扎心，“你全力做到最好，可能還不如別人隨便搞搞”?？雌饋聿惶珓钪菊芰?，但總是命中現實。生活就是這樣，沒有找到捷徑，費了很多力，到頭來結果卻不盡人意。在每年的實戰攻防演習中，這樣的情形也在不斷上演。

 

 

擰緊了發條 卻擋不住丟分？

     

“攻防演習排名要好，安全不要出事”，在攻防演習前，防守方領導人一句看似簡單的要求，往往需要安全管理員費盡心思去琢磨怎么做好防守準備工作。

 

寧可備而不戰，決不能無備而戰。為了完成防守任務，防守方安全管理員在演習前幾個月就開始做安全風險自檢、安全加固等各類準備工作。而長時間的備戰，讓防守方投入了巨大的精力，在真正實戰過程中，為了保證防守質量，仍要擰緊發條，這也使得防守方總是疲憊應戰、力不從心。而攻擊方總能利用守方松懈的破綻，以逸待勞，一舉攻陷目標。

 

事實上，實戰演練前所有的防護工作，包括預警、分析、驗證、處置和后續的整改加固都必須以監測發現安全威脅、漏洞隱患為前提才能開展，因此防守方在演習前幾個月中所做的準備工作，大部分都圍繞著“檢測”進行。安全以“檢測”為始，以“響應”為終，檢測只是解決安全事件的第一步，在攻擊者對企業信息系統造成最終損害之前，對于威脅的分析、處置、響應也非常重要。只有同時降低威脅的平均檢測時間(MTTD)、平均遏制時間（MTTC）、平均響應時間（MTTR）等多個重要應急響應指標，防守方才能在實戰攻防演習的戰爭中贏得最終的勝利。

 

防守看似嚴密 但“三大頑疾”會導致功虧一簣

 

據大部分防守方反饋，在實戰演習中，威脅檢測不乏高超的手段，但是防守方在威脅分析、處置與響應方面常被以下三大頑疾纏身：

 

首先，告警分析研判效率不高，應急響應不及時。

 

防守團隊多由多個部門的不同人員組成，部分成員對防守區域的整體網絡架構不熟悉，導致在實戰過程中，對設備監測時，海量的告警信息研判效率低，威脅響應時間慢，尤其是遇到0day、社工釣魚等花樣百出的攻擊手段時，響應時間完全跟不上攻擊者的攻擊速度；而且告警還不能關聯業務場景綜合分析，告警分析準確性不高，甚至可能會因為處置不當導致影響正常業務。

 

其次，防守方坐等被攻擊后才應對，防守滯后。

 

在以往的攻防演習中，防守方均是在攻擊方實施攻擊之后，才做出下一步的防守動作，十分被動。輕型攻擊，防守方容易作出防守應對；重型攻擊，防守方往往連反應的時間都沒有，就被攻擊者“打穿”。

 

另外，攻擊IP阻斷不及時，事件處置緩慢。

 

為有效應對攻擊，防守方會在單位不同區域部署具備阻斷能力的防護設備，如FW、WAF等，但各安全產品的阻斷能力因品牌、功能及版本差異導致無法統一集中管理，無法做到協調聯防目的，最終無法快速、全面阻斷正在實施攻擊的IP，即無法做到“事中阻斷”，而且防火墻、WAF等產品的阻斷策略數、對象數因性能原因都有較多限制，上述原因最終導致封禁功能無法統籌管理且各自為戰。

 

即使有旁阻阻斷設備可以解決上述問題，卻因為大部分旁路阻斷設備不能在安全與業務的紛亂交織中判斷出真實的攻擊行為，因此在阻斷惡意IP的同時，往往“誤殺”了正常的IP，影響業務系統正常運轉。

 

防守方破解之道：攻防“三板斧”，來個“劇情”反轉

 

1 網安行業的專家系統，提效快一步

 

告警分析研判效率不高，應急處置不及時、不準確，就要從根源上提高分析響應的速率和精準度。但是，防守方分析研判的各個階段都有人的參與，分析人員面對海量、復雜多變的安全事件，不可避免的會出現錯誤或者不擅長的領域。為此，防守方不妨利用數字化、自動化的手段來輔助分析，提高告警研判和威脅處置的效率。

 

奇安信天眼“智能專家研判服務”，運用AI、機器學習技術進行自動化知識搜索與推理，根據專家研判經驗智能響應客戶的告警分析需求，無需分析人員參與，告警分析研判、事件處置更快速。防守方工程師在幾秒內“一鍵”就能夠在天眼系統中清晰查看產生同類告警的基本信息、判斷條件、潛在威脅、處置建議等，而且高頻告警類型場景均來自于其他客戶的攻防演習中，真實、全面、有參考價值，不用擔心影響正常業務。

 

這樣一來，即使防守方分析人員人手不足，或者分析能力不足，也不用擔心告警研判分析處置的效率跟不上，還能解放一線防守使用者的雙手，騰出精力、集中兵力與攻擊者搏斗。分析效率提高讓防守方應急響應的速度也提高了，老板囑咐的“安全不要出事”，從此便不再擔心！
 

2全網通緝攻擊者，預警快一步

 

防守方坐等攻擊后才應對，防守太被動。那么，如果能在攻擊者到來之前，收到預警信息，對于防守方來說就搶奪了主動權。

 

奇安信天眼“攻擊源IP預警”，讓每一個天眼客戶與天眼云中心建立點對點鏈接形成一張網，完成攻擊源IP信息的實時獲取與預警。簡言之，只要有一個防守客戶發現攻擊行為，天眼便將攻擊者IP進行全網通緝，迅速傳遞至所有的防守客戶，并為危害程度定級；下次只要該攻擊者再次出現，便會提醒客戶提高警惕，同時客戶還可以參照威脅的關注熱度（危害定級程度），查看其他客戶對該IP的處置方法，選擇持續關注或者聯動處置。

 

 

 

這樣一來，客戶在攻防演習中被攻擊之后才遲遲感知的問題將不復存在，防守方可以提前獲知攻擊者信息，做好防護準備，減少丟分。老板囑咐的“攻防演習排名要好”，從此又近了一步！

 

3 將高級威脅防御前置，阻斷快一步

 

威脅發現的快，分析研判的快，但是阻斷攻擊IP的速度慢，導致攻擊者都攻擊完了，IP還沒有封禁，業務系統受到影響。如果把阻斷攻擊再快一步，將攻擊的事后阻斷變成事中阻斷，那么防守者對威脅的遏制和響應時間也將縮短，業務系統受到攻擊的波及影響也將降低。

 

天眼高級旁路阻斷，不用串接到網絡，無需聯動其他設備，可以一鍵“封禁”IP、域名及高級參數。重點是天眼獨有的攻擊阻斷設計，區別于傳統的基于IP封禁的旁阻產品，在同樣提供基礎的IP封禁功能的同時，也具備更智能的攻擊阻斷功能，即只對有真實攻擊行為的IP進行識別、阻斷，無攻擊行為的則放行，最大程度保障客戶業務系統連續性和可用性，對高級威脅的阻斷正確率更高、阻斷能力更強。

 

 

總體來說，防守是一件具有木桶效應特性的事情，前期備戰工作準備不足容易造成防御過度，攻防演習前中期消耗太大也會導致后期疲勞。因此，在臨戰與實戰階段，各個環節的有效管控、兵力的集中應用、以及裝備武器的合理布局就顯得尤為重要。

 

今年攻防演習，在武器庫里添加奇安信天眼“三板斧”，點亮防守技能，高提效、少失分、穩上分！

(本文不涉密)
責任編輯：楊光

轉載：感謝您對網站平臺的認可，以及對我們原創作品以及文章的青睞，非常歡迎各位朋友分享到個人站長或者朋友圈，但轉載請說明文章出處。

上一篇：奇安信發布星城平臺引領城市網絡安全中心建設

下一篇：實測分享：GoDaddy服務器怎么樣？平臺穩速度快優惠還多！