【兵临城下】系列公开课是盛邦安全基于多年攻防实战经验，针对重保及攻防演习等场景而推出的系列直播活动，将从资产暴露面梳理、攻击面管理、脆弱性自查、安全防线加固、协同联动防御以及攻击溯源、应急响应等全流程进行梳理，陆续上线十几场的直播分享活动，大家可以关注【盛邦安全视频号】提前预约直播活动。

本期公开课的主题是“构建蓝队第一道防线之基于人机识别的攻击面收敛”，以下实录文字供大家参考。

各位线上的朋友大家好，我是盛邦安全的聂晓磊，接下来的几期我们会重点为大家分享攻防实战当中防守侧的一些实用技巧。今天这一期的主题是如何利用人机识别等技术构建蓝队防守中的第一道防线。

通过前面几期的分享，大家了解了实战化对抗中的关键点以及暴露面风险管理的重要性，我们说防守之所以困难，主要原因就在于攻防不对等。对于攻击者而言，可以有漏洞利用、口令爆破、后门等各种攻击手段，只要找到一个突破口就可以达到目的；而对于防守方来说却需要面面俱到，疲于应付各种入侵威胁，往往都存在暴露面不清、风险不明、人员不足等问题。所以说，攻防是一场资源的比拼，防守侧无法做到不计成本的投入，只有从攻击者的视角来分析，找到防守的关键点才是制胜之道。

首先，我们来看几个真实案例：某高校的师生信息泄露，导致攻击者利用掌握的信息对VPN进行口令试探并成功登录，直接进入内网；某企业的官网存在未修复的漏洞，攻击者通过漏洞利用，获取到了网站后台权限，直接绕过了边界防护进入内网；第三个例子是一家研究机构，他们的出口防火墙有0day漏洞，攻击者通过漏洞直接获得了防火墙权限，并且随意修改了安全策略，从而绕过边界防护。总结来看，一条完整的攻击路径都是先找到目标暴露面的薄弱点，通过各种手段绕过边界后进入内网，之后再想方设法找到关键系统，最终获取目标权限。

我们可以从逻辑上进一步分解攻击路径。概况来讲，攻击的过程大体可以分为：前期试探、边界突破、定向打击和横向扩散。

在前期试探和边界突破时，攻击者需要搜集足够的目标信息，掌握目标的暴露面情况，尝试各种可利用的突破口；当绕过边界之后就开始找关键系统，比如域控、集中管理平台、云管平台等各类集权系统实施重点打击。这时候可能就会使用破坏力强的0day漏洞，尝试各种口令爆破和越权攻击，只有成功攻陷才能掌握内网的制高点；之后在内网还需要尝试各种横向的扫描渗透，找到核心系统并获取其权限，再植入后门，最终窃取重要数据，这样才算达成目标。

虽然攻击者可利用的手段非常之多，但依然有必要条件，所以反过来就防守而言，则可以根据其必要条件来制定防护要点，那就是收敛攻击面、守好关键点、防内网失陷，也就是我们所讲的防守时的三道防线。

今天的内容我们先来看第一道防线——基于人机识别的攻击面收敛。针对攻击方前期的“踩点式”攻击，我们可以利用人机识别、行为分析等技术来构筑工事，形成第一道防线。这道防线一方面需要防止敏感信息泄露，减少攻击者的可乘之机；另一方面需要拦截各种扫描与试探行为，最大化地过滤攻击噪音，减轻内网的防守压力，从而达到收敛攻击面的目标。

第一道防线可以选择的产品很多，我们用WAF和API防护系统举例，可以启用防护对象识别、API资产识别、敏感信息过滤、弱口令试探检测与拦截等功能，部署位置可以根据实际情况来定。

在这里需要注意的一点是，我们必须要改变传统的设备部署思路，比如WAF就应该放在对外发布区的边界，API防护放在业务服务区的边界等等。实际上，安全管理区也有web服务，比如各种设备的管理入口，办公区也可能有对外服务，比如有人会私搭一些测试环境，而这些服务才最有可能成为攻击者的突破口。防护设备的部署，必须针对防守中的薄弱环节和可能的失陷点，灵活地进行“查漏补缺”。

接下来我们介绍第一道防线中涉及的几个核心能力。首先是保护对象识别。以WAF为例，我们可以通过流量学习、主动探测和手动录入等多种方式，帮助用户建立全面清晰的资产信息库，区分不同类型的保护对象，之后按照不同的业务类型来设定防护。这里举了两个例子，一是按照业务范围来匹配防护模板，不同的防护模板中有适用于该保护对象的安全策略；二是根据资产属性来匹配具体的安全规则，实现精准防护。

第二个是敏感信息保护能力。我们所熟悉的保护范围包括系统的各类敏感信息，比如中间件的信息、数据库的信息，还有一些错误代码等，这类信息的泄露会让攻击者找到可利用的风险点来进行针对性打击。那么在实战当中，还有两类信息需要重点关注，一是用户的人员信息，包括各种联系方式，我们需要识别和过滤这类隐私信息，防止被钓鱼和口令爆破的风险；另外还需要关注供应链的信息，可以通过自定义关键词的方式来防止用户关键设备或系统的信息被泄露，消除被利用风险。

第三个是扫描试探防护能力，可以通过“特征匹配+行为分析”相结合的检测模式来实现。一方面可以通过识别威胁特征，发现并拦截非法扫描；另一方面可以通过行为分析的方式，比如构建一些扫描陷阱来捕获异常访问，从而拦截恶意试探等风险行为。

第四个是BOT攻击防护能力，我们知道实际攻击当中，攻击者会用一些自动化的脚本工具代替人工来执行高频的、大量的、持续的攻击试探，也就是我们常说的机器人攻击，从防守而言，我们可以针对BOT攻击的特点，通过验证码、动态令牌和限速等方式来反制BOT攻击，用最高效的方式来屏蔽掉一些脚本工具、暴力破解、扫描工具和爬虫工具等，进一步减轻防守压力。

构筑第一道防线可以总结为以下三点：

1、收紧暴露面，降低被攻击风险；

2、过滤噪音攻击，减轻蓝队的值守压力；

3、识别未知风险，提升主动防护的能力。

今天关于构建蓝队第一道防线的内容介绍就到这里，感谢大家的关注，后续我们将陆续带来第二道和第三道防线的介绍，希望我们的分享可以切实帮助大家筑牢安全防线，下期见~

了解更多