护网行动：论道攻防-内网防护三大神器带你“行兵布阵”

攻防实战中内网防护缺失

近年来，随着全球范围内网络实战发生的频率越高，采用的技术难度越高，各国之间也加大对攻防演练的重视。不管是网络实战还是攻防演练的对抗过程中，防守方不仅要防止外部突破，也要防止内部横向渗透。

在网络安全形势日趋复杂的环境下，攻击手段层出不穷，攻击工具日益先进。比如，黑客在取得外网可访问的单台服务器权限后，下一步往往以所控制的服务器为跳板向未直接暴露在公网的内网服务器进行进一步渗透。此外，内网还面临着众多未知威胁，整体防护严重缺失。

为了防止企业或机构的内网被攻击者当做后花园畅游，乃至被拖库后还不自知等情况发生，用户需学会在内网“行兵布阵”，做好内网层次防护。本文主要围绕如何进行有效的内网防护展开，以期为读者提供新思路。

内网威胁一

异常网络流量、APT攻击

黑客在发起攻击时，会不断尝试使用新型攻击技术、不断对抗检测机制，对目标发起高级威胁攻击。然而传统安全防护产品太过依赖已知攻击特征库对网络流量进行模式匹配，应对高级威胁攻击滞后的同时，对未知威胁防护效果也不佳。在APT攻击过程中，不仅用户的网络流量异常，占用业务系统的正常运作，带来直接的业务经济效益损失的同时，APT带来的后果也往往需要较多的时间和人力进行修复。

解决思路：

实时检测网络流量 侦查“敌方”一举一动

任何网络活动必定会产生网络流量，而互联网环境里资产繁多，网络流量更是数不胜数，依靠人工一一检测不切实际。

用户可采用流量分析系统，基于网络全流量记录，实时深度监测分析，以此了解网络中发生的任何情况，以此对未知威胁做到第一时间发现、响应。减少人工投入的同时，还可提高流量监测的准确度。基于全流量检测穿透、高级和变种攻击，以及采集溯源元数据，以此提供高性能的APT威胁检测能力。

安全狗啸天流量检测系统能通过对网络流量进行实时检测，及时发现APT（Advanced Persistent Threat）威胁和实施APT防护手段，保证用户网络的稳定运行和安全。

内网威胁二

生产环境遭受黑客攻击

大多数企业为了应对等保合规政策，草草应付安全管理。在公司日常运营中，只将防护重心放在互联网出入口处。殊不知黑客可借助多种工具绕过防护边界，直达内网生产环境。

对于承载重要业务系统、敏感数据以及公司内外的重要信息的生产环境，被黑客夺取后将带来针对用户个人的资金诈骗、针对公司的敏感数据威胁和勒索。

解决思路：

部署蜜罐 诱敌深入

内网蜜罐具有低误报率的特点。当内网蜜罐有请求时都可视为攻击流量，实时监测内部网络存在的未知威胁，用以补充流量探针、WAF、IPS、态势等安全设备在面对新型攻击、0day漏洞利用和APT等攻击方式检测能力不足的问题。

安全狗旗下主机安全联动蜜罐解决方案支持微蜜罐功能。通过部署微蜜罐，模拟生产环境达到“以假乱真”，诱敌深入的效果。通过在区域内每台服务器、虚拟机都部署云眼Agent客户端，在Agent客户端上引入“微蜜罐”诱饵功能，相当于每台主机都成为蜜罐诱饵点，在攻击者进入内网环境后，使其无法看到真实企业网络环境，延缓攻击，从而保护真正应用。

面对网络实战场景中防守方在明处、攻击方在暗处的不平衡局面，当攻击者直接对真实服务器进行攻击时，可在真实服务器上部署Agent客户端，通过端口持续进行监听。一旦Agent客户端发现蜜罐端口被攻击，则实施反馈事件信息并将攻击流量引入蜜罐系统，使其远离真实网络，为用户争取应急响应时间。与此同时，对攻击者进行全程监控，详细记录攻击步骤、攻击工具和攻击手段，作为日后取证的依据，扭转被动局势。而在攻防演练场景中，当红队遇到安全狗主机安全联动蜜罐解决方案时也只能“哑巴吃黄连”。

内网威胁三

老旧顽固漏洞无法修复

在近几年攻防演练的漏洞排行榜中，可以看到网络缺乏细粒度隔离措施的问题一直“榜上有名”。换而言之，在攻防演练场景下乃至实际的日常安全运维场景中，没有对网络做细粒度隔离措施的企业更容易遭受攻击者的“毒手”。在用户日常业务系统运营环境中，一些年久失修的、难以修复的漏洞很容易被忽视并埋下安全隐患。因为黑客可借助这些漏洞成功提权，从而在内网里进行横向攻击。

传统安全措施则会着重检测和保护数据中心南北向接口的数据流。然而，一旦攻击数据在东西向传输，就会绕开这些安全工具。此外，在每个交错连接的节点都搭建防火墙的话，也会增加成本，降低敏捷性。外加错综复杂的应用系统，端口调用关系的梳理涉及到多应用系统，多部门，多研发人员，难度大，端口安全策略难以下发。此外，下发每条安全策略规则时都可能因为规则的配置错误影响到系统业务，特别是涉及复杂的业务，运营人员往往难以下手。

解决思路：

圈住漏洞 关门捉贼

用户应对复杂且难以解决的漏洞问题进行重点识别并做预警，有针对性地制定安全策略并下发后，可以有效防止漏洞问题扩散或被加以利用，使相应的安全设备不受影响，继续安稳地发挥应有的作用。

微隔离作为零信任在数据中心的最佳实践，能帮助企业大幅降低不可避免的安全入侵风险，在增加安全控制的同时，还保留了发挥现代工作流和混合基础设施优势所必需的灵活性，最终帮助安全团队以细粒度维持 IT 资产的保密性、完整性和可用性。

安全狗云隙自适应微隔离系统可帮助用户建立内部网络微隔离，相比在内网叠堆安全设备，云隙的低成本、对内部网络改造小、零信任访问机制等，能解决攻击请求绕过防火墙的问题，以最低的成本，解决黑客在进入内网后，在内部网络实现横向渗透造成的危害。

此外，通过云隙采集主机工作负载之间的网络流量，提供多维度流量合并功能，有利于对业务关系进行梳理分析，辅助策略规则的设计，解决东西向访问流量庞大，业务拓扑复杂，无法看清业务间访问关系问题，协助快速梳理出各节点间端口调用关系。通过云隙生成规则策略后开启测试模式，以可视化视图和流量日志清晰展示阻断、放行流量，确定规则无误行为后开启防护模式，降低失误操作风险，降低安全运营难度。

安全狗产品矩阵增强用户纵深防御能力

通过安全狗啸天流量、云眼、云隙等多种产品的单个功能和相互结合，能构建仿真度高的生产环境，全面地感知攻击者的行为，捕获内网流量中的未知威胁，改变原来被动修建堡垒的防御思路；此外还可帮助用户实现全方位的网络流量监测，并做好精细化隔离与防护策略管理，同时在稳定内部应用正常发挥作用的同时拖住攻击者，阻止其进入数据中心网络内部后的横向平移，降低攻击面，从而提升内网整体纵深防御能力。

 

本文结合近年来热门的网络攻防技术一起探讨了如何构建网络实战和攻防演练场景下的内网纵深防护。在攻击手段不断变化的当下，构建更加灵活、多变、适用于更加复杂的网络环境的内网安全防守技战法能让用户有条不紊地推进自身业务发展，更加安全地推进数字经济转型。