纵深主动防御“修炼”手册，重塑网络空间地形！

攻防演练第一步--网络空间资产盘点，描绘了一张全面、精细、写实的网络空间地图，让我们做到心中有数，具体操作可参考我们的。可是面对攻击者短时间内，高强度的密集攻击，仅仅一张写实地图就足够吗？

显然答案是否定的，那么如何可以利用地图，积极进行防御呢？

今天的主动防御“修炼”手册，就是要基于网络空间资产盘点的结果，来将企业内部的网络地形进行彻底重塑，最终形成对于我们自己来说更具优势的“战场”空间。一个攻击者的“天罗地网”，不仅要耗费攻击者的精力和时间，保护真实系统，还要让攻击者留下痕迹，溯源其真实-身份。

接下来，就让我们跟随“攻击者”的脚步，看纵深主动防御体系是如何“炼”成的。

第一步：因地制宜，进行资产要素归纳

我们都知道现实“战争”必须对“战场容量”有足够的了解，才能知道如何进行兵力的投入和设置，同样，网络空间“战争”同样要做到因地制宜，这样不仅仅可以节省精力的投入，还可以事半功倍，针对性进行精准防御。

要因地制宜建立纵深主动防御系统，需要明确以下要素：

网络空间资产的网段/VLAN数量；是否互通；是否与互联网连通；

重点业务系统数量、类型、所在网络区域；

办公终端数量、操作系统类型；

全部域名资产数量；

机房环境是物理机房，公有云，还是私有云？

这些基于之前的资产盘点，进行针对性统计，即可一目了然，却可以指导纵深主动防御体系建立。

第二步：互联网暴露面资产虚实结合，暴露信息真假莫辨

攻击者在收集信息伊始，就会将目标瞄准互联网暴露资产以及互联网上的暴露信息，那么针对这些资产和信息，完全可以通过主动防御手段设置，对攻击进行引导。

如果互联网暴露资产大部分为域名资产，可以通过创宇云蜜罐进行简单快捷的部署，一键仿真含有敏感的信息页面，将大部分攻击吸引至蜜罐中，保护真实域名资产，还可以收集攻击信息。非域名资产，则推荐采用探针客户端部署，将攻击流量转发至蜜场，部署轻量、调整也灵活。

针对暴露的敏感信息，先要进行清查，将含真实敏感信息的内容进行清理，然后“不经意”将含有敏感词、非关键源代码、系统配置文件等的诱饵信息“遗忘”在如GitHub、码云、百度网盘、网络空间搜索引擎等信息公开平台上。

部分已经不提供服务的旧系统、域名，此时也可以“翻新”成蜜罐，因其信息在互联网上存留时间久，更具有“真实”性。这样在互联网侧，我们就做到了暴露资产虚实结合，暴露信息作为引导攻击的“诱饵”。

第三步：铜墙铁壁之上，还要织就“天罗地网”

如果我们把传统安全设备构造的边界防护体系看做“铜墙铁壁”的话，那么它们无法覆盖的天空和地面，我们就需要通过创宇蜜罐系统来织造“天罗地网”。传统边界防护体系基于规则进行防护，对于未知威胁，尤其是在攻防演练中被大量使用的0day漏洞缺乏防御能力。

在攻防演练中，大部分目标系统都是内网系统，那么绕过“铜墙铁壁”就是攻击者的必选路径，第一个落脚点必然是与互联网联通的区域，典型的如DMZ、办公区等，我们在这些区域对办公终端数量与蜜罐10:1比例部署形成蜜网，即可第一时间感知这些已经绕过防护系统的攻击，并进行报警。一方面创宇蜜罐可以牵制攻击者的精力，让其以为绕过成功，且可以作为进一步攻击的据点，另一方面及时提醒我们进行处置和响应。

第四步：内网互通区域设“蜜网”，请攻击者“入瓮”

攻击者踩点成功，必然要开始对区域进行更深一步的试探和渗透，此时，我们依然可以从设置“蜜网”和“信息诱饵”两方面进行应对，并通过自动威胁处置，直接阻断攻击者的横向渗透攻击。

首先，内网尽可能多部署感知型蜜罐，可通过trunk的方式进行空闲IP绑定，以此覆盖内网所有区域进行攻击感知，扩大威胁感知范围。

其次，创宇蜜罐的自动威胁阻断功能，可以毫秒级阻断攻击者的进攻，极大提升防守方的主动防御能力。

最后，可伪造登录域凭据、RDP连接记录、运维日志、用户文件夹、浏览器浏览记录及相关敏感信息内容来诱惑攻击者进行攻击，真正的做到“请君入瓮”。

第五步：核心区10倍比例部署蜜网，彻底重塑网络地形

内网核心区集中了企业的核心业务系统、数据中心、开发测试系统，大部分被设置为攻击目标的真实系统也处于核心区，是攻防演练中防护的重中之重。核心区推荐10倍以上比例部署创宇蜜罐系统。

在真实系统四周打造作为替身的高仿真“孪生蜜罐”，并分配密集的IP作为诱捕入口，形成更加严密和仿真的“蜜网”，彻底重塑网络地形，将攻击者彻底“网罗”其中，指数级延长攻击者攻击时间，保护高价值系统。

第六步：如实还原攻击过程，不战而屈人之兵

在攻防演练中，如果可以真实记录整个攻击目标被攻击的过程，并进行攻击者的溯源定位，提交完整报告，经确认属实不仅仅可以彰显自身的防御能力，还可以获得正向加分。“战争”的终极目标是“不战而胜”，如果我们在安全能力上可以做到：保证真实系统万无一失的前提下，拥有“上帝视角”，如实记录攻击过程，却不被攻击者察觉，相信这样的能力可以彻底打消攻击者攻击的企图，实现不战而屈人之兵。

构建纵深主动防御体系，重塑网络空间“战场”，让攻击者完全迷失在我们设置的“天罗地网”中主动防御思想，是达到此终极目标的主要手段。所以，基于自身网络空间地图，通过创宇蜜罐重塑地形，让攻击者望而却步是主动防御“修炼”的最高层。

除分步骤修炼手段之外，我们还有更多“修炼”建议提供如下，您可以根据自身资产要素特点进行选择：

1

部署环境建议：不能联通互联网区域建议采用私有版创宇蜜罐系统，既有物理机房又有可联通互联网的系统建议采用私有版+SaaS版部署；

2

蜜罐系统数量建议：核心业务资产按1:10部署孪生蜜罐；办公终端资产按10:1部署蜜罐形成蜜网；网站根域名按1:10部署域名蜜罐。

3

探针数量建议：每个网段/VLAN部署一个独立探针，自行准备部署环境或直接采购；

4

选择蜜罐类型建议：克隆蜜罐，通过系统界面配置自动爬取Web静态网站页面、自动生成Web静态蜜罐；自定义蜜罐，通过系统界面自主上传Web静态网站文件包、生成Web静态蜜罐；系统镜像蜜罐，自主打包业务系统或操作系统镜像，通过系统界面上传镜像包、生成高交互镜像蜜罐。

5

防御体系联动：蜜罐白名单配置，攻击日志syslog推送给态势感知平台、统一日志管理平台、防火墙等，创宇蜜罐跟资产安全管理产品联动配置，通知告警配置（告警策略、通知渠道）等等。

6

“滋养”蜜罐建议：建议在攻防演练前1-2个月进行创宇蜜罐系统的部署，并在这期间通过站点名称、用户名、密码等进行调优设置；通过主机文件、浏览器历史记录、AD域登录凭证等脱敏数据进行进一步的数据填充和模拟；最后，通过蜜场内网络通信流量仿造，最终仿真真实业务系统流量。

在攻防演练实战规则之下，纵深主动防御体系的有无及完善程度，极大影响了防守方的实战防御能力，而因地制宜、高效建立主动防御体系又是我们此次“修炼”手册的重要目的，所以我们可以“分步”递进，一步一步通过部署创宇蜜罐系统，形成“蜜网”来达到提升整体防御能力，高效备战的目的。

希望“修炼”手册从步骤到落地建议，能对您的备战规划有所帮助，后续我们还会推出“战时”指南，“流量出入口防守”指南，期待您的持续关注！

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!