在《2020網(wǎng)絡(luò)攻防演練實(shí)戰(zhàn)行動(dòng)，從新出發(fā)》一文中，我們提到建立縱深防御體系中端點(diǎn)防護(hù)是必不可少的環(huán)節(jié)。端點(diǎn)是攻防對抗的“最后一公里”，試想在演習(xí)中只要有一個(gè)端點(diǎn)出現(xiàn)問題，威脅可能會像多米諾骨牌式似的滲透到企業(yè)的整個(gè)網(wǎng)絡(luò)。端點(diǎn)安全因規(guī)模體量、環(huán)境復(fù)雜度、可用性等給防守一方帶來了巨大挑戰(zhàn)。

當(dāng)有更多的端點(diǎn)用于企業(yè)活動(dòng)中時(shí)，端點(diǎn)的防護(hù)成為企業(yè)網(wǎng)絡(luò)安全的重要工作。筆者查閱了2019年網(wǎng)絡(luò)攻防演習(xí)中攻防兩方的情況，攻擊方常用的攻擊路徑是通過釣魚/社工/近網(wǎng)物理攻擊等措施，繞過邊界安全防護(hù)，進(jìn)入到企業(yè)內(nèi)網(wǎng)；而在評分規(guī)則里面，終端失陷本身扣分并不多，主要是通過失陷終端，獲取到高價(jià)值信息，造成后續(xù)大幅丟分或防守失敗。隨著2020年網(wǎng)絡(luò)攻防演習(xí)逐漸拉開帷幕，面對無處不在的攻擊，“道高一尺，魔高一丈”，加固內(nèi)網(wǎng)端點(diǎn)防護(hù)是非常必要的。

本文基于聯(lián)軟歷年來（包括今年在內(nèi)）配合客戶參加網(wǎng)絡(luò)安全攻防演習(xí)的實(shí)踐經(jīng)驗(yàn)，對演習(xí)期間企業(yè)內(nèi)網(wǎng)端點(diǎn)安全加固應(yīng)該從哪些方面入手，加強(qiáng)防守方的安全能力進(jìn)行說明。

創(chuàng)建安全策略，達(dá)到最簡單有效的管控

在網(wǎng)絡(luò)對抗中要明確一個(gè)宗旨——“越簡單越有效”。在參與攻防演習(xí)的企業(yè)中，由于企業(yè)內(nèi)網(wǎng)端點(diǎn)的多樣、攻擊的持續(xù)性、跨網(wǎng)或者跨部門存在的設(shè)備不明等現(xiàn)象，使得安全手段有時(shí)候在實(shí)際的操作中很難執(zhí)行，或者安全防護(hù)不能高效進(jìn)行，容易被攻擊方鉆空子。想要達(dá)到立竿見影的效果，可以采取“一刀切”的技術(shù)策略和手段，由安全專家依據(jù)企業(yè)的具體需求和不同的環(huán)境因素制定相關(guān)的操作。聯(lián)軟在2020年網(wǎng)絡(luò)攻防演習(xí)中幫助多家企業(yè)進(jìn)行了內(nèi)網(wǎng)端點(diǎn)策略管控，例如根據(jù)提供的終端信息(ip/mac/用戶名)在聯(lián)軟后臺對終端進(jìn)行應(yīng)急控制，包括關(guān)機(jī)斷網(wǎng)等；控制同網(wǎng)段互訪時(shí)段；控制終端不可同時(shí)訪問互聯(lián)網(wǎng)和中心內(nèi)外網(wǎng)、禁止桌面遠(yuǎn)程、密碼安全要求等。

注明：聯(lián)軟為參與演習(xí)的企業(yè)設(shè)置“工作時(shí)間，終端15分鐘未操作則對終端進(jìn)行鎖定并關(guān)閉顯示器”

采用自動(dòng)化檢查，達(dá)到常態(tài)化安全防護(hù)，提高防御能力

網(wǎng)絡(luò)安全人員原本就是稀缺資源，在攻防演習(xí)期間人才的缺少尤其嚴(yán)重，突發(fā)性及高強(qiáng)度的網(wǎng)絡(luò)對抗對于參與演習(xí)的企業(yè)來說往往有些力不從心，要想達(dá)到事半功倍的效果，必須采用自動(dòng)化手段達(dá)到常態(tài)化防護(hù)，提高安全的效率。這里的自動(dòng)化手段包括防火墻、防病毒軟件、補(bǔ)丁管理、日志審計(jì)、自動(dòng)化的終端檢測與響應(yīng)（EDR）等。防火墻、防病毒等大家已經(jīng)相對熟悉，不作贅述，重點(diǎn)說下自動(dòng)化的終端檢測與響應(yīng)。

攻防的不平衡性教會我們僅僅預(yù)防是不夠的，安全建設(shè)需要以假設(shè)邊界失效、假設(shè)終端淪陷為前提，在演習(xí)活動(dòng)中更要有這樣的“居安思危”的思想前提，EDR通過對終端系統(tǒng)級數(shù)據(jù)進(jìn)行全面采集，在攻防演習(xí)的各個(gè)階段對終端上的危險(xiǎn)行為和入侵行為進(jìn)行檢測，內(nèi)置專家規(guī)則和誘餌對惡意行為進(jìn)行快速判定，同時(shí)針對上述威脅進(jìn)行及時(shí)告警，并通過威脅調(diào)查工具進(jìn)行全面取證，通過控制、隔離、刪除等措施進(jìn)行處置，并對受損終端進(jìn)行恢復(fù)。還可以與其他產(chǎn)品、功能等聯(lián)動(dòng)，如支持網(wǎng)絡(luò)隔離、阻斷，設(shè)備關(guān)機(jī)，進(jìn)程權(quán)限限制、文件隔離、刪除等多方位處置手段；支持與網(wǎng)絡(luò)準(zhǔn)入控制、終端安全管理等多種安全管控平臺深度結(jié)合聯(lián)動(dòng)。

目前聯(lián)軟EDR可幫助企業(yè)進(jìn)行多維度、多位置和更加全面的檢測，進(jìn)而實(shí)現(xiàn)威脅的自動(dòng)響應(yīng)和統(tǒng)一編排，提高企業(yè)防御由被動(dòng)走向主動(dòng)的能力，不僅在演習(xí)中可以幫助企業(yè)增加防護(hù)能力，在后期更是企業(yè)常態(tài)化網(wǎng)絡(luò)安全建設(shè)體系中的重要一環(huán)。

知己知彼，全面做好攻防演習(xí)防護(hù)

“知己”則是全面梳理好內(nèi)網(wǎng)終端信息，包括但不限于辦公終端、IOT設(shè)備、業(yè)務(wù)終端等，在演習(xí)中加強(qiáng)終端的各項(xiàng)安全性自查工作，如檢查終端是否已經(jīng)安裝防病毒軟件；補(bǔ)丁是否已經(jīng)更新到最新；檢查員工離開工位是否設(shè)置電腦鎖屏；檢查是否已開啟本地防火墻、終端禁止開啟遠(yuǎn)程桌面服務(wù)；對免檢設(shè)備進(jìn)行核實(shí)確認(rèn)，清理過期或者不存在的和信息，保障安全策略覆蓋到位，取消一切非必須的例外，防范暗資產(chǎn)、影子資產(chǎn)等成為攻擊者的入口。

采集相關(guān)情報(bào)后及時(shí)采取措施是取得攻防演習(xí)勝利的關(guān)鍵，這就是我們說的“知彼”，通過智能感知設(shè)備仿冒、異常連接、異常流量、異常協(xié)議、異常域名與IP訪問、異常時(shí)段訪問、異常訪問位置等異常行為，發(fā)出告警，同時(shí)可以動(dòng)態(tài)調(diào)整網(wǎng)絡(luò)訪問權(quán)限；采用溯源還原攻擊行為，了解攻擊手段，為下一步防范做準(zhǔn)備。還可采用欺騙型的幻影技術(shù)，將攻擊者引誘到預(yù)設(shè)的場景中，反客為主。

在實(shí)際的過程中，由于網(wǎng)絡(luò)攻擊的復(fù)雜，需要注意和防護(hù)的點(diǎn)更多。以上內(nèi)容都是從聯(lián)軟對于往年和今年參與的客戶攻防演習(xí)的實(shí)踐出發(fā)得來的，在攻防場景中，還需具體問題具體分析。面對攻擊時(shí)，一味地進(jìn)行被動(dòng)防御，疊加式的方法往往只能增加企業(yè)成本，并不能取得更好的效果，如何將防御由被動(dòng)變?yōu)橹鲃?dòng)，建立常態(tài)化的安全防護(hù)體系，保護(hù)內(nèi)外網(wǎng)的安全，不僅僅是本次演習(xí)中需要思考，更是未來網(wǎng)絡(luò)安全行業(yè)中不斷發(fā)展的一個(gè)趨勢點(diǎn)。