云端守护，保障攻防演练“0”失分

一、业务背景

W公司作为国内顶尖的全场景高效海外仓服务商，在2024年XX市“攻防演练”行动中与华为云安全专业服务合作，达成了安全攻防演练”0”失分，荣获XX市“优秀防守单位”称号，为本次“攻防演练”行动画上圆满句号。

二、 业务现状

公司的业务系统分别部署在华为云、海外A云、海外机房和本地机房这四个区域。此次攻防演练中与华为云共同成立保障小组（以下简称：保障组），对业务安全现状展开专项分析。

通过分析发现，在核心业务资产对应的基础设施中，已部署了防火墙、IPS、AV、日志审计、主机安全等防护措施。但在非生产环境方面，像海外A云及海外机房区域存在一些隐患：

      1. 基础安全防护能力薄弱，网络隔离措施待升级。

      2. 云上云下网络结构需要依据业务安全等级划分网络区域。

      3. 部分高风险端口暴露在互联网上。

本次“攻防演练”的目标是“0 失分”。从接到通知到开展演练，整体周期较短，保障组通过调研、检查、整改等措施，在短的时间内实现安全闭环效果全覆盖。

      三、方案实践

本次“攻防演练”行动，保障组共投入9人：项目经理2人、高级工程师5人、中级工程师1人、初级工程师1人，整体开展7*24小时值守保障，并制定全流量威胁检测方案，具体架构设计如下图所示：

全流量威胁检测方案

      为提升IDC机房的网络安全防护能力，实施了以下优化措施：

      1. 全局网络威胁感知与分析系统部署：

      ● 在IDC机房部署了全局网络威胁态势感知与分析系统，以弥补海外机房在外部威胁流量分析方面的不足。

      ●  增强了对主机失陷后东西向内网资产可能出现的扫描渗透情况的防范。

      ● 部署了WAF（Web应用防火墙），为应用系统提供动态安全防护，有效阻止从外部到内部的Web应用攻击。

      2. 主机安全防护与边界安全检测：

      ● 在华为云和部分线下主机上安装了Agent，实现全覆盖防护，重点防止主机被入侵，并在检测到异常行为时发出告警。

      ● 加强了对华为云EIP资产的外部攻击检测，以及内部主机失陷后的异常外联行为监测。

      ● 防范单点被突破后的横向东西向渗透情况。

      ● 扩大了地址封堵黑名单的容量至5万个，以便在识别攻击后迅速对攻击者IP进行封堵。

      3. 蜜罐系统部署：

            在云上云下共部署了5个蜜罐系统，用于感知和溯源内网横向渗透攻击。

     4.  资产梳理与响应加速：

            在保障期间，保障组提前对资产进行了梳理，确保资产台账清晰明了，以便快速定位被攻击资产并做出响应。

            通过这些措施，从多个方面进行了全面的风险识别与整改，包括暴露面收缩、无用资产清理、防护策略优化、已知风险清零、蜜罐部署、漏洞扫描和渗透测试。这些努力有效防止了外来攻击，增强了监测能力和手段，提升了溯源分析能力。

      四、业务提升

在护网行动期间，我们对IDC本地机房进行了全面的安全监控和分析。

具体措施和成果如下：

       1. 流量监控与分析

      ● 对南北向和东西向业务流量进行了镜像监控，实施了全面的威胁分析。

      ● 南北向流量捕获异常事件超过6000次，东西向流量捕获异常事件超过100次。

      ● 特别监控了核心系统如OA、财务和域控，记录了异常流量事件超过20起。

      2. Web攻击检测与阻断

      ● 对南北向Web业务流量进行了串行检测分析。

      ● 成功阻断Web攻击流量超过1000次，核心业务系统未遭受任何突破。

      ● 累计封堵攻击者IP地址超过300个。

      3.   主机安全防护

      ● 对云上及海外机房的主机安全进行了全面防护。

      ● 在主机层植入木马、反向穿透代理、恶意程序等行为时可第一时间告警并拦截隔离。

      ● 累计检测并告警异常行为超过50次，经研判确认为误报，属于业务正常行为。

       4. 入侵防御与病毒检测

      ● 进行了由外到内的入侵防御系统(IPS)和反病毒(AV)检测。

      ● 攻击EIP封堵超过20个，共检测异常网络行为超过400次。

      5.  Web攻击检测与封堵

      ● 针对云上靶标系统，南北向Web业务流量进行了串行检测分析。

      ● 成功阻断Web攻击流量超过5000次，核心业务系统保持“0”突破。

      ● 累计封堵攻击者IP地址超过20个。

      6.  网络蜜罐部署

       ● 网络蜜罐作为诱饵，吸引并捕获攻击者，分析其行为并提交反制报告。

      ● 本次护网行动中，蜜罐系统未上报关键告警事件，未发现内网横向扫描行为。

通过以上措施，确保了网络环境的安全稳定，有效地防御了各种网络攻击，保护了核心业务系统不受侵害。

      五、案例总结

本次“攻防演练”行动是对我们日常安全防护工作的一次重要检验。在实战阶段，安全团队的主要任务是实施7*24小时的全天候安全监控和应急响应，确保在演练期间能够迅速发现并处理潜在的安全威胁。根据演练的保障要求，我们从预防、应对和总结三个阶段制定了详细的保障计划。现场投入了专职保障人员，全程跟踪协调，分为攻击监控、分析研判、溯源处置三个小组，按照两个班次进行全天候响应值守。以下是我们的经验总结：

1. 日常安全运营与风险治理至关重要：许多安全设备的部署、漏洞的修复和策略的优化都需要较长的准备时间。面对“攻防演练”等关键时刻，提前进行日常运营活动有利于显著提升安全性。
2. 资产暴露面管理：通过减少对外暴露的资产和接口，可以有效降低安全风险。所有对外暴露的资产都应受到安全防护设备的保护和监控。
3. 漏洞扫描与渗透测试：定期进行漏洞扫描和渗透测试能够发现业务逻辑、信息泄露等关键漏洞。在必要时，可以进行更深入的渗透测试，以便提前识别安全漏洞。

在本次“攻防演练”中，我们发现许多业务系统存在版本过低的问题，以及fastjson、SQL注入、XSS等漏洞。这些问题暴露了开发过程中缺乏安全人员的参与、缺少安全开发标准和系统安全开发工具的问题。基于这些发现，我们计划推动安全措施的系统性前移，逐步实现从DevOps到DevSecOps的转变，以增强开发阶段的安全意识和实践。