【兵临城下】系列公开课是盛邦安全基于多年攻防实战经验，针对重保及攻防演习等场景而推出的系列直播活动，将从资产暴露面梳理、攻击面管理、脆弱性自查、安全防线加固、协同联动防御以及攻击溯源、应急响应等全流程进行梳理，陆续上线十几场的直播分享活动，大家可以关注【盛邦安全视频号】提前预约直播活动。

本期公开课的主题是“构建蓝队第二道防线——针对黑客行为的专项防护规则”，以下实录文字供大家参考。

各位线上的朋友大家好，我是盛邦安全的聂晓磊，今天我们继续来分享攻防实战中的防守技巧。上一期我们讲到，根据攻击者的特点和路径分析，在防守过程中需要建立三道防线：收敛攻击面、守好关键点和内网防失陷。

假如攻击者已经突破了第一道防线，开始寻找重点目标，那么接下来我们应该怎么做呢？首先还是要分析攻击者的下一步动作，上一期我们提到过，攻击者自己的资源也是有限的，因此他们不会轻易的暴露自己。所以，在重点突击时，他们既不能大范围的进行扫描，也不能使用特征过于明显的攻击，这些都很容易暴露而导致攻击IP被封堵，当然也不能慢条斯理地做各种尝试。

在有限的时间、有限的资源内，也就是说在有限的攻击窗口期内，攻击者会紧盯一些所谓的“高价值”目标采取行动。在这里我们列举了三类典型的系统：

一、办公系统，比如OA系统或者邮件服务器等。这类系统的特点是目标明显、好找，但是承载的用户信息却很多，一旦被攻击者控制就会泄露大量的情报信息，既可以被用来钓鱼，又可以用来制作口令爆破的字典等等，是攻击者喜欢的突破口之一。

二、远控系统，比如一些远程桌面的系统、VPN系统等等。很显然，这类系统本身就是用来远程办公和协作的，所以天然具有直通内网的通道，一旦被控制就相当于暴露了内网环境。

三、集权系统，包括堡垒机、域控，各种管理平台比如云管平台等等，这类系统普遍具有更高的内网权限，并且与内网的其他系统交互较多，所以是攻击者关注的重点，一旦被控制就直接威胁到核心系统的安全。

针对这些重点目标，攻击者采用的突破方式有很多，但这几年大家提及较多的还是0day漏洞。因为0day漏洞的特点是还未公开或刚刚公布，所以没有提前检测的POC用例，也没有针对性很强的防护规则，所以对目标系统的威胁较大。

在这里我们列举了几类需要重点注意的漏洞类型，包括OA、项目管理等业务系统的漏洞；各类设备或产品的漏洞，比如VPN或者杀毒软件的管理控制台等；当然还有操作系统的漏洞，大家需要重点关注一些身份管理类、远程控制类和远程执行类的漏洞；最后就是热度较高也是大家通常较头疼的漏洞——中间件类的漏洞，这里列举的都是容易出现的类型，比如S2的漏洞、WebLogic的漏洞、Shiro的反序列化漏洞等等。

这些系统或组件的利用率高，攻击者的关注度也高，因此漏洞出现的也很频繁，对于防守方而言必须要持续关注和反复检查。

那么面对这些防不胜防的攻击，防守方怎么做才能守住自己的关键系统呢？我们概括了重点目标防护的“三步走”：最小化权限控制、专项规则防护和白名单防护。

首先，要对系统自身加强安全控制，限制开放的权限，细化访问控制策略并做好审计工作；然后针对攻击者可能采用的手段建立专项的防护规则，针对性的进行拦截，收缩防守阵地；最后，对于核心保护对象，在靠近系统的位置建立白名单策略，采用严格的防护手段。这其实也是纵深的一种思路。

这就是我们今天要分享的第二道防线，针对黑客行为的专项防护规则。为了应对攻击方在中期的定向突破行为，通过专项规则加白名单相结合的方式来构筑防线，一方面可以有针对性的拦截高危的攻击，另一方面可以通过非白即黑的策略来屏蔽异常访问，从而达到守好关键点的效果。总之，在第二道防线中我们要做到三点，严把关键位置、严防定向攻击和严守关键系统。

从产品部署和技巧来看，第二道防线除了进行查漏补缺的部署之外，还需要灵活应用纵深防御的思想，在边界部署准确率高的专项规则，在靠近目标服务器的位置则针对性的设置白名单策略，找到业务和安全的平衡点。

第二道防线中的几个核心技术能力：

一、专项规则。我们根据攻击者常采用的漏洞利用攻击和后门工具攻击，针对性建立了几套专项检测规则，包括热门组件漏洞的规则、重点设备漏洞的规则，还有各种webshell和远控工具的规则。这些规则覆盖了近几年各类实战攻防场景中的攻击手段，以及热门高危漏洞，后续我们会持续更新，确保防守侧能够进行精准判断；另外，除了专项规则的维护外，我们还通过语义分析和机器学习引擎来进行训练以应对变种威胁。

二、口令爆破防护。针对重点目标的口令安全，我们利用口令字典、反向校验与请求限制等方式来检查和拦截，包括对默认口令的收集和各类简单口令、重复口令的编制。概括而言，该技术的要点就是检查口令的健壮性、访问来源的真实性和请求行为的合法性。

三、内网防DDoS。在实战中由于DDoS比较依赖资源支撑并且需要应对各种限制，因此在外网侧相对较少。但攻击者进入内网后，为了获取目标系统的权限，则可能会采用DDoS攻击消耗其系统资源，从而导致系统处理异常并暴露缺陷。因此，在内网，我们可以采用连接限制加DDoS识别清洗的方式来做综合防护。

四、自学习白名单的能力。针对核心系统，我们在前面专项规则的防护下，还可以再加一道保险，那就是白名单。其实白名单是一种严格的安全策略，如果业务系统自身设计不规范，白名单策略很容易造成误伤。但是在实战化场景中，白名单的防护又是更可靠的，因此我们为了兼顾业务和安全，一方面需要将白名单策略建立在最贴近业务的位置，另一方面需要采用自学习的方式来建立白名单模型，兼顾业务的可用性。根据以往的经验，通常会提前至少两周进行业务学习和建模，保证系统搜集足够的正常业务样本，之后直接启用白名单策略，这样就能达到更好的防护效果。

概括而言，构筑第二道防线可总结为以下三点：

1、建立专项规则，应对0day威胁等高危攻击，提高攻击检测精度；

2、建立白名单策略，提升对重点系统和关键业务的安全防护强度；

3、守好关键系统，整体上降低内网失陷风险。

今天关于第二道防线的介绍就到这里，后续我们还将带来第三道防线的介绍，欢迎大家在视频号中预约直播活动，下期见~

了解更多