重大活動保障期間，企業不僅要面對愈發靈活隱蔽的新型攻擊挑戰，還要在人員、精力有限的情況下應對不分晝夜的高強度安全運維任務。如何避免“疲于應付”，在多重工作中“抽絲剝繭”？

本文從藍軍視角，拆解攻擊方的攻擊路徑，幫助企業理清重保場景下的應對策略，通過構建云原生安全“3+1防護體系”，提升響應效率，確保“0安全事件0損失”。

知己知彼，方能百戰不殆。只有充分了解攻擊方的思路，從全局視角事先構建完備的安全防護體系，才能系統性防護云上資產。

紅藍對抗的五個階段

Step1 信息收集：東搜西羅，打探軍情

信息收集是攻擊第一步，也是最關鍵的一個階段。信息的收集深度直接決定了滲透過程的復雜程度。在展開攻擊前，藍軍往往會先對企業資產暴露面進行分析，對目標企業進行資產信息收集。

1、從公開信息入手，利用FOFA、SHODAN、搜索引擎等，搜集域名、IP等資產信息；利用天眼查、企查查等獲取企業相關信息；

2、通過主機掃描、端口掃描、系統類型掃描等途徑，發現攻擊目標的開放端口、服務和主機，并對目標服務器指紋和敏感路徑進行探測識別，完成攻擊面測繪及企業防護薄弱點的梳理；

3、除了技術手段，攻擊者還會利用社會工程學或企業泄露在外的敏感信息，借助釣魚攻擊等方式獲取賬號密碼等關鍵信息，提升攻擊成功率。

應對要訣：摸清家底，部署防線

資產管理是安全防護的第一要務。建議企業先通過云安全中心明晰防護對象現狀，對IP、端口、Web服務等暴露在外的資產進行全盤測繪。同時，構建云上三道防線，實時感知安全風險，做好資產加固。

Step2 漏洞分析：順藤摸瓜，伺機行事

漏洞是藍軍撕開防線的重要武器，藍軍攻擊路徑的確認依賴于對漏洞的探測分析結果。

1、根據信息收集階段梳理的企業資產信息（包括Web指紋、高危服務等），利用漏洞掃描器、指紋對應的已知漏洞或自行代碼審計挖掘的0day漏洞來進行外網打點；

2、尋找到可被利用的攻擊突破口后，確認外部攻擊入侵路徑并進行攻擊驗證。

應對要訣：非必要不暴露，先緩解再修復

完成資產清點后如何對藍軍的攻擊路徑進行封堵？首先，企業需進一步收斂資產暴露面，做到非必要不暴露，必須對外的業務務必重點加固。針對漏洞風險，集成三道防線和云安全中心統籌能力對漏洞等互聯網暴露面做有效收斂。

Step3 滲透攻擊：順手牽羊，乘虛而入

當分析得到有效漏洞入侵攻擊路徑之后，藍軍將針對目標服務器的脆弱性發起滲透攻擊。

1、利用反序列化漏洞、命令執行漏洞、代碼執行漏洞、任意文件上傳漏洞、文件包含漏洞、表達式注入漏洞、JNDI注入漏洞、SSTI、SSI、XXE、SQL注入、未授權訪問漏洞等類型的已知高危漏洞或挖掘的0day漏洞來getshell或獲取敏感數據庫權限；

2、獲取外網入口點，為進一步進行橫向滲透打下據點。

應對要訣：知己知彼，對癥下藥

針對不同類型的攻擊，可通過云安全中心聯動三道防線部署全面的安全管控策略。針對已知來源、手法攻擊進行實時檢測、攔截；針對未知威脅，利用云防火墻網絡蜜罐能力，將仿真服務通過探針暴露在公網對未知攻擊者進行誘捕并反制。

Step4 橫向滲透：聲東擊西，持續滲透

藍軍成功通過外網打點突破邊界之后，會基于getshell的入口點繼續進行橫向滲透，逐步擴大攻擊成果。

1、為了深入了解內網情況，攻擊者會先對本機系統信息、網絡架構信息、域信息等進行收集，梳理目標內網資產信息（包括內網網段、開啟的主機、服務等）；

2、針對內網存在漏洞的資產進行滲透攻擊并搭建內網隧道，增加滲透入侵攻擊路徑。

應對要訣：精準隔離，部署陷阱

針對內網滲透攻擊，需進行細粒度網絡隔離。同時主動出擊，對藍軍行為進行持續監控，在內網增設網絡蜜罐陷阱，有效溯源反制攻擊者，拖延攻擊時間，為正常業務爭取寶貴的安全加固時間。

Step5 后滲透：瞞天過海，長期潛伏

在后滲透階段，藍軍會盡可能保持對系統的控制權，并進行痕跡清理防止滲透入侵行為被溯源。

1、根據是否為高權限用戶來決定是否進行權限提升；拿到高權限之后，為了持久化滲透目標內網，藍軍會利用各種持久化后門技術來進行長久的權限維持，包括Rootkit、內存馬、crontab后門、寫ssh公鑰、LD_PRELOAD劫持函數、新增隱藏用戶、替換bash后門、環境變量植入后門、啟動項后門等等利用方式；

2、在整個滲透測試目標達成之后，藍軍會對滲透的目標主機進行痕跡清除，包括history清理、應用日志清理、系統日志清理、權限維持后門清理、新增用戶清理等。

應對要訣：做好日志管理，有效取證溯源

借助云安全中心聯動分析報告、攻擊日志統一管理能力，結合威脅情報提供攻擊者行為畫像（包括戰術、手法、環境、樣本等），有效實現攻擊溯源和反制。

騰訊云原生安全“3+1”防護體系

為幫助企業建立全面、高效的防護體系，騰訊安全推出“3+1”一站式重保解決方案。

（騰訊安全“3+1”解決方案)

三道防線

1、第一道防線——云防火墻：作為最外層城墻，覆蓋用戶云上業務的所有流量邊界，提供訪問控制、入侵防御、身份認證等安全能力，并集成漏洞掃描與網絡蜜罐。在重保場景下，可自動梳理云上資產、發現并收斂暴露面。借助網絡蜜罐誘捕與溯源反制、以及基于身份認證的訪問控制能力應對未知攻擊，讓攻擊者無處藏匿；

2、第二道防線——Web應用防火墻：在客戶端和客戶業務源站之間筑起一道七層應用防火墻；可提供細粒度的處置策略，保障重保及常態情境下業務與數據安全，為企業Web應用提供0day漏洞應急響應、反爬蟲、防薅羊毛等全場景防護；

3、第三道防線——主機/容器安全：作為云原生安全體系中最后一道屏障，主機安全為企業提供縱深防御能力，對不同攻擊時期的入侵事件實時告警和主動防御，有效阻斷入侵行為。為企業提供漏洞自動修復能力，幫助企業快速完成資產安全加固，從源頭解決安全威脅。

一站式安全門戶——云安全中心

三道防線該如何做好協同，在重保場景下提升運營效率？騰訊安全通過插件化串聯起各安全產品能力，為企業打造云上一站式全科醫院，為客戶提供更加簡單易用的一體化運營體驗。

結合空中預警機制威脅情報，了解出入站IP/域名/樣本是否存在惡意行為，通過已發現惡意IOC關聯分析和深度挖掘，及時發現攻擊團伙實現安全左移；快人一步識別安全威脅，定位風險資產，以全局視角助力企業輸出系統安全解決方案。

重保季已來，歡迎掃碼交流，體驗產品。