“系统运行正常，风险态势可控，安全管理有序，到点正常交接”，可以说是每一位蓝队成员都向往的生活。

这几年谈到攻防演练，关注度最高的非0day、1day漏洞莫属。顾名思义，0day漏洞指的就是尚未公开的新漏洞；而1day漏洞指的则是刚公开不久的漏洞，由于没有对应的PoC检测用例，也缺乏确定的漏洞利用检测规则，因此常被攻击者们用来实施出其不意的打击，对用户而言，防守难度大，极易成为防线失守的决堤点。

“尽管0day漏洞威胁较大，也难以预知，但并非防不胜防”，防护线市场总监聂晓磊说到，“我们可以从攻击者的视角来分析其利用路径，找到防守的关键点”。

以一个典型场景为例，假设用户所用OA系统存在0day漏洞，而攻击者的目标是攻陷内网核心数据服务器，那么攻击路径可能分为如下几步：

01

对目标单位进行信息搜集和互联网暴露面探测，找到对外开放的系统或服务；

02

对发现的系统和服务尝试口令爆破和扫描试探等攻击，获取某个系统的权限；

03

以该系统为跳板对OA系统发起攻击，利用掌握的0day漏洞对其进行渗透；

04

获取OA系统权限后，从内网扫描并发现其他系统，最终攻陷核心数据服务器。

通过对攻击路径的分析不难看出，0day漏洞固然可怕，但攻击者想要成功利用，至少还需要几个必要条件：一、绕过边界防护，二、找到关键系统，三、可以在内网扩大战果。那么对防守方而言，做好暴露面自查、守好关键路径、加强内网横向防护和对重要系统的保护则是控制0day漏洞影响的关键点。

盛邦安全Web应用防护系统（RayWAF）结合自身攻击检测与防御的实战经验，形成一套专门应对0day漏洞攻击的五重保障方案，无论是在日常管理还是重保值守中，都能够为用户提供精准、可靠的防护能力。

第一重

敏感信息防泄露，减少暴露面

攻防首先拼的是信息和情报。对于攻击者而言，提前搜集足够多的目标信息后，可以发起钓鱼攻击，也可以做定向打击，这样就能更快地找到突破口，攻击成功的机会也更大。因此对防守方而言，就要尽量避免敏感信息被获取和利用。

RayWAF敏感信息防泄露功能，既可以防止服务器关键信息外泄，让攻击者不得其法；又能够识别和过滤用户敏感信息，如员工姓名、联系方式等，从而降低被钓鱼风险，帮助用户减少暴露面风险。

第二重

扫描陷阱加限速，收敛攻击面

除了对自身暴露面风险加强管控，减少非必要对外开放的系统和服务、避免带病资产运行之外，还需要通过技术手段进一步强化边界防护和访问控制。

RayWAF支持扫描陷阱防护功能，可以准确识别非法扫描行为，配合智能限速模块，有效拦截攻击者的初期试探和暴力破解等活动，从而帮助用户收敛攻击面。

第三重

人机识别加语义，扩大防护面

针对0day攻击等新型、未知和隐蔽的威胁，传统的静态检测规则通常仅能覆盖已知威胁，难以做到全面发现和准确识别。

RayWAF人机识别能力，则可以主动出击，对攻击源进行反向验证，区分正常访问和异常行为；同时，RayWAF还支持语义分析检测引擎，可以利用语义和上下文线索来判断攻击逻辑，从而有效发现未知威胁，从整体上实现防护面的扩大。

第四重

业务建模白名单，守好关键点

对于重要系统和核心业务，RayWAF可以通过流量自学习建模的功能，为其建立业务访问白名单模型，仅允许匹配白名单的正常行为通过，对于任何异常和非法的访问一律进行拦截，从而提供最强硬的防护手段，帮助用户守好关键点。

第五重

外联检测加蜜罐，内网防失陷

针对内网安全的加固，用户一方面需要清晰划分业务区域、合理分配访问权限，另一方面还可以利用行为分析和诱捕防御等手段来提升内网安全性。

RayWAF的外联检测功能，可以及时发现内网主机失陷后的受控外联通道并进行阻截；同时还支持蜜罐策略，可以充分利用用户空闲的网络资源来建立诱捕环境，一旦攻击者在内网发起扫描活动，可以第一时间将其捕获并进行溯源反制。

通过五重保障方案，盛邦安全RayWAF不仅能够帮助用户建立可靠的安全防护体系、抵御0day攻击等威胁；还能够有效减轻用户单位重保及攻防演练期间的值守压力，让蓝队get属于防守方的向往的生活。有备，则无患。

了解更多