在实战攻防演练对抗中，攻击方对内网的攻击不可避免会通过网络边界。一般会利用系统的已知漏洞、未知漏洞或采用多种攻击IP组合作业等综合的体系化的攻击策略，对防守客户单位的网络构成强大的威胁；进而通过覆盖扫描、入侵、命令与控制、横向移动等攻击手段完成入侵。

因此，在攻防演练活动期间，防守方就必须要对网络边界流量进行深度监测分析，实时发现网络异常、漏洞利用、恶意IP和恶意文件，并联动防火墙及时对攻击方攻击IP进行阻断。通过动态综合的网络边界防御体系与制针对性的防护策略，全面阻断通过网络边界的攻击，致使攻击方不知从何攻击，不知如何攻击。犹如《孙子兵法·虚实篇》中提到的“善守者，敌不知其所攻”一样，才能有效应对攻击方对内网的威胁，降低失分风险。

本期为【2023安天攻防演练庙算记】第六章：网络边界防御。

针对防守客户单位在实战攻防演练中的网络边界防御场景，安天制定了网络边界监测专项服务。通过安天探海威胁检测系统进行网络全流量的安全检测，可发现网络边界安全漏洞与异常流量并进一步提交安全专家威胁猎杀，精准定位攻击IP，实时阻断攻击IP。通过安全专家分析研判的攻击IP信息，生成面向客户的定制化威胁情报，进而将威胁情报IP地址同步至总部与二级单位的防火墙、WAF和IPS等具备阻断功能的安全设备。

图 安天网络边界监测专项服务示意图

安天网络边界监测专项服务在实战攻防演练期间，可及时发现攻击方通过网络边界发起的威胁行为，实时阻断攻击，降低失分风险。

1.启动阶段：定制防护方案

首先，安天会与客户深度沟通，深入了解开放服务系统业务现状及边界部署位置，梳理公网开放系统承载的资产信息和安全漏洞，形成网内对外开放服务的资产列表、域名列表和漏洞列表，进行资产管理和漏洞管理；然后，制定《网络边界监测分析防护方案》，对威胁情报详细分析，并就各类情报采取的预防措施与防守客户单位人员协同进行流程和策略设计。

2.备战阶段：部署安全产品

部署安天探海威胁监测系统（以下简称“探海”）和安天下一代WEB应用防护系统（WAF），对网络边界流量进行深度分析，建立流量基线。通过部署探海，以网络流量为检测分析对象，实现对网络扫描探测、远程漏洞利用、攻击载荷投放、僵尸网络活动、病毒扩散传播和木马远程控制等网络行为的检测和告警，精准检测已知海量恶意代码和网络攻击活动，有效发现网络可疑行为、资产和各类未知威胁。

3.迎战阶段：封堵攻击，溯源得分

通过探海和WAF，发现网络扫描、漏洞利用、异常流量和恶意文件，追溯攻击，形成威胁情报表单和详细分析报告。分析报告包含发送时间、IP、详细内容和处置结果等。同时协助客户封堵恶意IP、向现场安全专家同步受入侵情况、开展取证分析，并将分析结果上报演练指挥部，从而帮助客户获得加分。

4.总结阶段：分析总结

按启动阶段制定的工作目标和工作计划，根据客户具体需求输出《网络边界威胁检测分析总结报告》，阐述网络边界威胁监测及处置情况、威胁情报分析及预警成果。

安天网络边界监测专项服务客户价值

1. 分析研判设备告警与可疑文件，监测客户网络中的各类安全事件；

2. 有效发现未知威胁，揭示分析对象的恶意行为，跟踪各类高级威胁和定向攻击；

3. 梳理并分析现网安全状况；

4. 监督网络安全制度落实情况，降低重大安全事件发生的风险；

5. 检测各类网空威胁，生成定制化威胁情报；

6. 10年以上经验安全专家团，助力调查溯源帮助得分。

在2022年大型实战攻防演练活动中，安天网络边界监测专项服务为某客户单位发现网络攻事件高达近80万起，并有效阻断各类攻击行为。

附录：关键产品价值简介

2023年安天产品攻防演练防守实战价值列表
防护类别	安全产品	产品价值
全流量威胁检测	安天探海威胁检测系统	能够精准检测出已知海量恶意代码和网络攻击活动，有效发现网络攻击行为、失陷资产和各类可疑行为。在攻防演练中，探海提供多层次多维度的检测能力，基于实战化视角，有效提升威胁发现能力、威胁分析效率和响应处置的速度。
网站安全防护	安天下一代WEB应用防护系统（WAF）	基于主动防御理念，从业务安全出发，是集WEB安全防御、机器人攻击防护、用户业务访问控制、业务逻辑异常检测、业务威胁评估以及业务数据分析为一体的综合业务安全分析WEB应用防护产品。在攻防演练实战场景中，可针对WEB业务应用进行有效防护，发现和阻断机器人攻击、信息泄露、用户越权行为等WEB攻击。

下期预告

下期为【2023安天攻防演练庙算记】第七章：终端威胁检查。

将分享安天在实战攻防演练场景中，如何通过终端威胁检查来有效帮助防守客户单位提升防御能力，降低失分风险。