近日，中国信息协会信息安全专业委员会、PCSA安全能力者联盟和踏实实验室在京共同举办《硝烟后的茶歇》第四期分享会。默安科技应邀参加，与现场数十个网安行业用户专家、数十个联盟成员和合作伙伴一起，通过线下＋线上的方式分享今年实战演练的技术与经验。


分享会现场记录▂

本次分享会上，默安科技解决方案专家李欣围绕“攻防转换：红队视角下的欺骗防御体系建设”这一主题，从攻击者视角，以生动形象的案例阐述了默安科技在攻防实战演练中的布防策略与成功实践。

• 漏洞不可能完全被修复；
  
• 员工终端一定会被突破；
  
• 红队一定会使用0Day；
  
• IP溯源无法有效防御和溯源攻击者。
  

布防之前，先建立积极防御、主动对抗的安全理念

针对以上思考，默安科技整体布防方案以《关键信息基础设施主动防御要求》为指导思想，以积极防御、主动对抗的安全理念为核心，并结合客户实际情况与业界最领先的安全实践，构建具备提前预警、全面监测、及时响应、精准溯源和强大威慑能力的主动防御安全体系。

实战案例分享，默安科技欺骗防御体系实战化效果显著

在该实战案例中，客户为某大型集团，该集团虽具备基本的安全防护措施，但整体网络架构较为老旧，资产涉及多个部门、多家二级单位，亟需建立面向实战的主动安全防御体系。针对当前状态，默安科技协同客户共同从“收、织、协、兜”四个重点出发，制定基于主动防御的欺骗诱捕体系布防策略。

图 基于主动防御的欺骗诱捕体系布防策略

◀“收”

通过零信任网关统一管控，全面收敛网络及业务暴露面。

◀“织”

通过部署多个内外网1:1仿真沙箱，实现业务欺骗的全覆盖。同时智能蜜网可快速生成沙箱，通过持续运营，根据实际环境针对性布防，发挥出欺骗防御的最好效果。


图 全面编织欺骗防御蜜网

◀“协”

通过云端情报平台和协同作战平台，包括监控研判到处置的线上流转，黑客情报的实时同步，MSS全流程托管运营服务，将整套技术体系、人员体系和流程体系运转起来。另外，通过钓鱼演练平台帮助办公人员提升安全意识，形成广泛的群众对抗基础，减少人员短板。


图 协同作战体系

◀“兜”

针对核心业务、重点网站引入高级防御技术，进行兜底。包括防0Day技术、进程免疫技术等，防止主机系统层面的失陷。

实现效果

实战前异常活动的准确感知，协同封堵，快速响应、快速止血。

• 现攻击队外围提前攻击，成功反制攻击者；
  
• 发现下级单位攻击总部，全面清理遗留病毒；
  
• 发现供应商遗留后门，快速处置并进行通报。
  

一起针对某重要系统的Solarwinds式供应链打击事件

在实战阶段，默安科技捕获到一起针对集团某系统的供应链攻击事件。

事件开始

该集团员工反馈收到某重要系统发布异常更新，随后，内网相关部门员工的多个终端开始对核心业务网发起扫描。

事件经过

攻击者先通过弱口令进入集团在某公有云上的对外系统，试图进行提权操作但被RASP拦截，转而去控制同在该公有云上的重要系统在线更新服务器，通过更新服务器对所有使用人员发布更新提示，只要点击确定更新，便会被植入木马，导致集团本地内网终端被攻破。

事件结果

当攻击者通过终端往核心网横移的时候，被蜜网感知到并实时阻断，最终根据蜜罐沙箱捕获的攻击者信息，溯源到该人员真实身份。在该事件中，默安科技专家组第一时间组织进行分析研判，通过攻击样本恢复，深入剖析后，判定为供应链打击。在响应过程中，默安科技的蜜网、旁路阻断、情报中心、RASP等欺骗防御体系组件都起到不可或缺的作用，最大化降低了事件风险。

图 战平一体化智慧安全运营体系

默安科技不仅是欺骗防御类领域的开创者，更是深耕者。公司自成立之初，就在国内首个发布欺骗防御类产品，并经过不断地实践与探索，成为国内唯一具备将欺骗防御产品进行体系化拓展的公司。未来，默安科技不会停下脚步，将不断精进自身实力，与业界行业专家进行更多交流与探讨，为欺骗防御创造更多场景下的可能性。