从生化角度解释卤水点豆腐（所谓攻防对抗其实就是）

所谓攻防对抗其实就是#供应链攻防战##网络安全#网络安全攻防演练已经成为检验网络安全防御能力最重要的手段之一，也是当下检验对关键信息系统基础设施网络安全防护工作的重要组成部分有效的网络安全攻防演练实际是一个攻击方与防。

#供应链攻防战##网络安全#

网络安全攻防演练已经成为检验网络安全防御能力最重要的手段之一，也是当下检验对关键信息系统基础设施网络安全防护工作的重要组成部分。

有效的网络安全攻防演练实际是一个攻击方与防守方相互促进、螺旋上升的过程。不管红队采取什么样的攻击方式，如病毒感染、漏洞利用、端点侧攻击、流量侧攻击等等，蓝队都能找到相应的防御方法，杀毒软件、打补丁、EDR、NIDS等概念层出不穷。整个过程你追我赶，颇有种“卤水点豆腐，一物降一物”的既视感。

图1 每种攻击方法都有与之对应的防御方式

而在红队的攻击目标中，“主机”是大部分攻击行动的最终目的，那么对于主机攻击来说，什么才是行之有效的“降服”措施呢？本文以主机安全防护面临的难题为切入点，详细分析了攻防演练中蓝队应该如何保证主机安全。

关注并私聊作者，可获取完整版《红队攻击全流程示意图》

图2 红队攻击部分流程示意图

为什么说主机是攻防演练的核心？

在攻防演练中，红蓝双方在既定规则下最大限度地模拟真实网络攻击，红队通常以实际运行的信息系统为攻击目标，以此来检验目标系统的安全防护能力。这个过程中，主机系统作为攻防中的重要靶标，一旦被夺取权限，就会造成防守方阵地沦陷。

因为主机承载着企业组织的核心资产，只有做好主机层的安全防御，才能确保企业核心资产安全，保障业务的正常运行。主机一旦遭受入侵，威胁到的将是整个内网的安全。

结合近年来网络攻防演练期间暴露的主要失分点排名来看，可以发现内网隐患占比最大、危害最大、扣分最多。其主要原因是在实际工作中，很多企业的主机环境极其复杂，混合着物理环境、虚拟环境及云环境。而在内网或者云上，很难找到一个类似“网关的位置”来部署安全监测与防护设备，内网和云上安全的防护实际上基本等同于对主机的安全防护。

因此，不论是从核心资产的保护，还是内网和云环境的安全防护来看，主机都是蓝队防守工作的重中之重。

攻防演练中主机安全防护面临的难题

那么，对蓝队来说，如何在攻防实战中确保主机安全呢？在开展主机安全防护工作之前，我们需要全面了解主机安全防护面临的问题，据此针对性地找到相应的解决方案，才能在攻防演练中对主机做到全方位的防护，避免被扣分。

主机安全防护面临的难题主要体现在以下几点：

1、对资产的认知不清晰、不全面。清点资产是进行安全防护的第一步，但很多情况下，蓝队无法对资产进行细粒度的清点，容易造成安全分析盲点；

2、漏洞处理不及时，容易被利用。企业主机数量庞大、系统多，相应地，其漏洞也多，红队常常会通过主机资产漏洞作为攻击点。

3、对入侵告警的检测和响应能力不足。无法从大量入侵告警中快速筛选出有价值的告警信息，也无法快速对成功的入侵做出响应。

4、体系无法应对新型攻击威胁。基于特征值的传统检测方法无法检测出新型攻击，如无文件内存马攻击、进程RCE命令执行、0day攻击等。

5、内网缺少有效的防护手段。很多企业缺乏主机间的隔离措施，攻击者只要进入内网，就能自由横向渗透到任意主机，获取核心信息。

面对这些问题，防守方需要具备资产清点、风险发现、入侵检测、微隔离等多个方面的能力，以实现对异常流量和告警信息的实时监控，并及时对失陷主机或被攻击成功的系统进行响应处置。争取从监测发现、分析研判、应急处置、追踪溯源4方面尽量得分。

防守神器：给主机提供全方位安全防护

要想在保证主机安全的同时还保证业务的稳定并不容易，很多企业甚至担心防护手段本身会成为被攻击者利用的漏洞。此外，主机面临的威胁，除了已知的，还有相当一部分是未知的，这部分未知的威胁很难通过传统方法检测出来。

为了帮助企业通过“已知”推演“未知”，将他们从面对新型威胁束手无策的境地中解放出来，青藤以Gartner自适应保护模型为理论支撑，成功研发了国内第一家落地自适应安全架构的主机安全产品——青藤万相·主机自适应安全平台。这款产品不仅满足了用户安全防守的需求，有效解决了主机安全的多个核心问题，还奠定了青藤主机安全细分赛道的开创者和领跑者的江湖地位。

青藤万相构建了覆盖预测（P）、防御（P）、检测（D）、响应（R）四个阶段的PDCA安全防御闭环，将“应急响应式”的被动防御转变为覆盖“事前 事中 事后”全链路的主动防御，并基于600多万Agent为客户提供资产清点、风险发现、入侵检测、合规基线、病毒查杀、微隔离等多种安全服务。能够帮助用户实现有效预测安全风险，精准感知安全威胁，快速阻断威胁入侵。

图3 自适应安全架构具备的能力体系

在主机安全防护方面，青藤万相具有以下优势：

1、轻Agent部署。不装驱动、不动内核，稳定性高达99.9999%，正常的系统负载情况下，CPU占用率<1%，内存占用<40M，在系统负载过高时，Agent会主动降级运行，不影响正常业务。2、更全面的资产清点。从主机层、系统层、应用层、Web层几个不同角度清点硬件配置、进程、端口、账号、中间件、数据库、Web 应用、Web 框架、Web 站点等，提供 10 余类主机关键资产清点，800 余类业务应⽤⾃动识别，让保护对象清晰可⻅。3、高效的漏洞扫描。通过Agent收集主机信息，对主机的情况了如指掌，与自有的50000 漏洞库比对，可以快速找出漏洞，不论主机数量多少，都可以在5分钟内完成扫描。4、减少误报告警量。青藤万相只对成功的入侵行为发出告警，既把安全人员从大量无意义的告警中解脱出来，还能保证他们所接到的每条告警都是有价值的。5、定制化合规基线。根据服务器的操作系统、软件应用等信息，自动筛选出该服务器上需要检查的基线，并支持一键批量创建基线任务。拥有1500 的基线配置检查系统Checklist知识库，还可根据不同行业相关基线规范，对知识库实现定制管理，匹配各行业安全配置需求。6、东西向流量管控。青藤万相的微隔离功能模块以拓扑图清晰直观地展示主机间的业务流量，让用户集中统一配置网络策略，阻断异常的横向访问行为，能够让东西向流量安全防护真正落地。7、注重安全左移。关注安全事件的事前和事中及时发现，将风险消灭在萌芽过程中，同时针对事后具备全方位的事件采集功能，方便进行溯源处置追责。如果你对这个领域有任何疑问或有主机安全防护需求，关注并私聊作者，申请万相免费试用~