在攻防演练这个看不见硝烟的战场上

攻防双方始终展开着激烈较量

在进入今天的正题前

先来给大家讲几个

这个战场中真实发生的小故事

01 近源攻击再次出没

某高校在攻防演练期间，发生一起令人意想不到的近源攻击事件。攻击者伪装成学生进入校园，利用访客WiFi入侵内网，但不久，该攻击者即被成功捕获。

原来，该高校在演练前已部署默安科技的主动防御体系产品，包括刃甲·网络攻击干扰压制系统、幻阵·高级威胁狩猎与溯源系统以及MSS平台。事件发生后，刃甲检测到攻击源IP入侵了内网并做横向扫描，幻阵也发现该IP对中继节点覆盖的蜜网进行了多次攻击，二者第一时间通过MSS平台发出高危告警通知。

默安科技MSS值守人员立即将相关信息同步给该客户，查询该IP所属资产，发现为无线网段。随后，默安科技一线技术人员现场支援并联合二线专家，协助客户定位IP并溯源到攻击者的物理位置，最终成功锁定攻击者。

02 一起诡异的挖矿事件

某大型能源集团在一次攻防演练活动中，突然遭遇一起挖矿事件。

默安科技刃甲检测到挖矿流量，第一时间通过MSS平台发出告警通知，MSS值守人员随即登录平台，查看刃甲设备信息及告警详情，并同步给该客户。默安科技安全专家现场协助客户进行事件分析，确认并非误报，立即对攻击源IP进行封禁，进一步定位IP并溯源到攻击者的物理位置。

最后真相大白，原来这起事件为客户下属单位内部人员在未通知负责人获取授权的情况下，使用内部地址对挖矿域名进行解析所导致。

03 安全编排自动化处置威胁事件

某企业在攻防演练期间，发生一起僵木蠕事件。

事件发生后，默安科技刃甲率先检测到木马程序，并第一时间通过MSS平台发出告警。MSS值守人员随即登录平台，查看设备信息和告警情况，并初步研判分析，验证刃甲数据包中的恶意域名，判断并非误报，于是立即同步客户进行杀毒。

此外，刃甲还帮助该客户通过安全编排自动化来处置威胁事件，短短一个月内，实现自动阻断互联网爆破行为14892次、互联网对内网攻击8次、内网爆破行为348次、挖矿病毒内网扩散行为58次、勒索挖矿行为20698次，帮助客户极大提升威胁事件发现和处置效率。

从以上这些真实案例，可以看到，实战攻防演练是对网络安全防护能力和应急响应能力的考验，也在安全意识、技术能力、工具手段、响应速度等方面对企业的安全运营提出了更高的要求。

图源：AI作图

近年来，攻防双方角逐日益激烈，攻防不对等的问题在实战攻防演练中更加突出。默安科技结合多年来的攻防对抗实战经验，总结了防守方面临的如下痛点和问题，并给出了解决方案：

痛点一：资产管理难度大

资产庞杂繁多、难以梳理清楚，很多未知资产暴露在外，如何看清楚所有资产的风险状况，提升暴露攻击面安全分析能力？

解决方案：攻击行为可视化，实现资产暴露攻击面全面管理

刃甲具有强大的“暴露攻击面”安全分析功能，通过采集网络流量实现资产自动识别，并支持影子资产的自动识别。刃甲实时监测资产内主机主动或被动向外部主机、资产外部对资产内部主机发起的攻击行为，对“暴露攻击面”的攻击、威胁、流量、行为等多维度因素进行态势感知整合分析，生成全方位的安全全景视图，展示所有资产的风险状况，帮助防守方快速了解和掌握网络当前的安全态势。

痛点二：无法有效识别真正的威胁

传统设备告警噪声过多，现场保障团队监控、分析、研判压力大，无法聚焦高危攻击，如何在海量告警中发现真正的威胁事件，提升告警准确性和处置效率？

解决方案：构建“欺骗诱捕”动态蜜网，实现安全告警0误报

刃甲不仅利用欺骗诱捕技术对攻击者进行诱捕，还可以通过联动幻阵，将流量牵引至沙箱中，深层次主动发现资产存在的威胁攻击行为，并融合多种威胁检测引擎对告警的准确度进行校验，实现重要安全告警0误报。此外，在重保模式下，刃甲在演练前会学习一段周期的客户业务告警，基于告警由云端安全运营专家配置相对应的安全规则，更加贴近客户实际业务场景，减少由于正常业务访问带来的噪音。

痛点三：缺乏自动化响应手段

基于人工运维为主的响应处置方式，安全处置策略下发滞后，且极大消耗安全人员的时间和精力，如何减少对人工干预的依赖，提升安全事件响应处置效率？

解决方案：自动化决策响应，安全处置前置到“事中”

防守方可基于对已知和未知攻击实现智能化决策与自动化安全编排，基于刃甲旁路部署防御阻断功能，支持自定义配置策略下发，一旦攻击者发动恶意攻击行为，便会触发刃甲自动化联动处置，缩短响应时间，将安全处置由“事后”提至“事中”，防止对资产的损害进一步扩散，安全阻断成功率大于99.99%，阻断响应时间小于3s，且不影响网络架构和业务，实时防护资产安全，真正实现安全事件检测与响应闭环化管理。

痛点四：威胁分析溯源能力欠缺

无法及时发现并掌握攻击者的信息、攻击手段和目的，防御体系缺乏威慑性，如何溯源追踪攻击者的真实身份？

解决方案：强大的溯源反制能力，攻击者逃无可逃

基于攻击者设备指纹还原攻击链和入侵路径，获取设备及社交身份信息、社工溯源真实身份，帮助企业溯源攻击者，建立防御体系的威慑性。利用幻阵中的攻击反制技术，通过多种反向控制手段给攻击者建立画像，做到最高级别的溯源，反制支持Windows、macOS、Android，覆盖更全面，伪装更隐蔽。

默安科技依托以刃甲·网络攻击干扰压制系统、幻阵·高级威胁狩猎与溯源系统为核心的主动防御体系，加上专业的MSS平台及服务，为客户提供7*24小时持续监测与响应能力，将安全处置由事后提至事中，实现精准威胁检测和安全风险0误报，帮助客户增强对于恶意威胁的快速精准发现和处置能力，做到“快、准、狠”地应对攻击。

默安科技基于欺骗防御技术的主动防御体系扭转了传统网络安全防御体系的被动局面，并随着每年的实战经验积累，不断保持探索与进化。目前，该主动防御体系已经在政府、金融、运营商、高校、能源、医疗、制造、IT，以及互联网等多个行业上千家政企单位的攻防演练和重大活动保障中取得显著成效，获得众多好评与认可。