相信前期看过PCSA发布的《年度大型攻防实战全景---红蓝深度思考及多方联合推演》文章的人，对于攻防实战都会有新的认知。从上述文章中红蓝攻防全景框架、动态推演图，大家都可以发现主机层防线是距离保护对象“神经中枢靶标”最近的，也是最后一道防线。

今天笔者主要谈谈，站在主机层来看，红蓝攻防实战推演是怎么样的？主机层阵地防线主要表现在暴露面收敛和主机层强化控制，如下图所示黑色字体所示阵地。从防守角度看，暴露面收敛，不仅仅是外围网络资产需要做的，主机资产更是要尽可能减少资产暴露面。

主机层红蓝攻防全景推演

对外提供服务的主机、业务组分组信息，以及主机上应用漏洞、数据库漏洞、中间件漏洞、操作系统漏洞等都会成为黑客重点寻找风险薄弱点。规范上线的第三方平台（包括云平台）、关闭不必要的业务、服务、端口等是减少暴露面重要举措，可以极大减少黑客攻击。

很多情况下，由于攻防双方天然的不对等，攻方突破边界防护是不可避免。只要对主机进行深度监测检测、加强安全控制，还是可以及时发现渗透横向移动的异常行为，致使攻击方只能短期进入，也可以通过强大的区域控制策略和手段取得胜利。

攻击方从突破边界到攻陷靶标，主机安全是防御对抗最后一道防线，如何从主机层面减少资产“暴露面”，包括暴露面动态监测、常态化自评估、实时加固等，是减少攻击前提条件。此外，强“区域控制”，包括资产探测、安全加固、事件取证、病毒木马查杀、漏洞检测修补、异常监控、深度检测等，这将关系安全最后一道防线是否可靠。青藤可以协助用户通过全面资产清点、快速风险发现、实时入侵检测，让主机稳定又安全。

摸清家底，减少主机资产的暴露面

资产是安全防护前提，安全人员只有知道自己要保护什么，才有可能把安全做好。在攻防实战中，“摸清家底”是减少资产暴露面关键。以主机资产为例，在攻防实战中，要能做到以下几点：

①全自动化的资产梳理。实时同步最新资产，减轻安全人员复杂的管理操作。

②让保护对象清晰可见。通过超细粒度识别，外到操作系统，中到应用框架，小到代码组件都能精准发现。

③安全不再落后于运维。部署青藤产品之后，安全部门手里的资产信息是整个公司最全和最准确的。

④尽量减少不必要资产。非业务需要、可有可无、归属不明确、废弃老旧资产等认真梳理及处理。

切片式的资产层次

应用场景示例：新漏洞出现时快速定位受影响的资产

当新漏洞爆发时，青藤资产清点可快速定位受影响的资产。比如当WordPress爆发出新漏洞时，可能既没有漏洞POC也没有漏洞编号。在这种情况下如何快速定位受影响资产呢？通过青藤资产清点可快速查找WordPress资产分布在哪些业务组件里，这些业务组件是谁负责的，就能知道这个漏洞影响范围，也能迅速进行处置。

利用青藤资产清点功能快速定位受新漏洞影响资产

认清风险，提高攻击方的攻击门槛

在攻防实践中，守方最重要事就是比攻方更快、更准发现自身环境中潜在风险，通过快速定位、解决问题，就能提高攻击门槛，有效缩减90%攻击面。青藤的风险发现，能够提供详细的资产信息、风险信息以供分析和响应，能提供以下三大核心价值：

①准确的风险识别，白盒视角的风险发现比黑盒更准确。

基于Agent的漏洞扫描，在准确性上拥有天然优势。传统漏扫产品对资产覆盖的深度和广度不足，导致检测准确率不高。

②极大提升扫描效率，在复杂环境下依然能达到极高的效率。

传统漏扫产品效率低，而基于Agent方式可快速完成全部扫描。因此，一旦出现新的漏洞可在在很短时间内完成检测工作。

③自动关联资产数据，定位相关负责人以及属于何种业务。

在查到某机器上存在某个漏洞之后，可迅速知道谁负责这台机器。

应用场景示例：高危漏洞的补丁识别和关联

当一个漏洞被精准定位后，青藤风险发现产品能够关联分析这个漏洞相关的补丁。例如，风险发现产品通过CVE编号确认所有资产中有13台机器上存在Shellshock漏洞。青藤产品不仅提供详细补丁情况，还能够检测补丁修复后是否会影响其它业务。青藤通过识别应用，加载SO和进程本身确认是否被其它业务组件调用，来判断补丁修复是否会影响其它业务。因此，在高危漏洞爆发后，青藤产品能快速帮助客户进行补丁识别和关联，并确认打补丁后是否存在风险等。

高危漏洞的补丁识别与关联

持续监控，及时检测响应攻击行为

当前安全攻防对抗日趋激烈，单纯指望通过防范和阻止的策略已行不通，必须更加注重检测与响应。企业组织要在已遭受攻击的假定前提下，构建集防御、检测、响应和预防于一体的全新安全防护体系。这从2019年大型攻防实战的规则也能看得出来，不强制要求系统不被入侵，而是强调入侵之后的快速响应能力。

青藤入侵检测，重新定义了检测引擎，通过生成很多内在指标，并且对这些指标进行持续的监控和分析，那无论黑客使用了什么漏洞、工具和方法，都会引起这些指标的变化从而被检测出来。

①实时发现失陷主机：检测“成功的入侵”，抓住重点，提高效率

相比传统IDS，青藤产品报警准确率高，能够让安全的人抓住重点，解决最核心的问题。

②检测未知手段的入侵：通过关系，行为特征透过表象抓住本质

以业务关系为例，一旦黑客入侵就会破坏这些关系，比如A到B之间从来没有连接，但是黑客在内网可能就从A连接到B，这一点就能暴露这个黑客。

③快速的应急响应能力：能够快速收集数据和实时调查，并进行有效处置

通过Agent从机器中获取数据，然后进行持续分析处理数据，将响应时间缩短到最小。

应用场景示例：利用反弹shell功能抓住WebRCE和迅速定位

如下图所示，通过反弹shell的告警邮件来分析进程信息，由此确认对应服务和了解相关漏洞。然后通过日志的审计插件可以获得访问日志详细信息，进而还原出攻击的方法和IP。此外，青藤产品还能够对RCE漏洞执行快速检测。如果将这两个功能组合在一起，几乎可以发现所有基于0Day漏洞的RCE的攻击。

一个场景化真实案例

①某天快到下班点，青藤的安全驻场人员突然接到产品告警，发现反弹shell和webshell，于是迅速展开排查，确定失陷主机为公司一台文档服务器。

这里补充说明下，青藤新一代主机入侵检测系统的“反弹shell”功能，可以通过对用户进程行为进行实时监控，结合异常行为识别，可发现进程中非法Shell连接操作产生的反弹Shell行为，能有效感知“0Day”漏洞等利用的行为痕迹，并提供反弹Shell的详细进程树。

②凭借上述产品功能，青藤主机入侵检测系统在该服务器被上传webshell之后，发现反弹shell操作如下：

③安全人员使用安全日志、操作审计，检查黑客操作的每一条命令，发现历史记录被黑客清空了，幸好有审计功能，默默的记录下了黑客的每一条操作。

安全人员发现黑客先利用系统漏洞进行了提权后，安装修改了一些文件，怀疑是安装rootkit系统后门，之后安全人员使用青藤入侵检测产品“系统后门”功能进行检查，发现了多个系统后门和被篡改的关键位置文件。

④通过分析，发现黑客的入侵路径来源为struts2漏洞入口，黑客上传webshell后进行提权以及安装后门操作。安全人员通过操作审计以及黑客的webshell特征，还原了黑客对主机进行的操作。

⑤最后，安全人员协助客户开启了端口蜜罐的功能，针对目前流行的MS17010漏洞开启了445等端口的蜜罐，并将安全人员常用的扫描器的地址加入了白名单，通过大量的部署微蜜罐，来增大内网诱捕黑客的几率。

通过上述分析，我们还原整个安全事件，发现此次事件属于典型的APT入侵攻击事件。首先黑客通过Windows后门进入内网潜伏下来，并在内网漫游找到有Web站点或有漏洞的主机并上传webshell，继而进一步通过webshell实现反弹连接，获取目标主机的shell控制权为下一步攻击做好准备。

上述整个攻击过程可以说做得滴水不漏，环环相扣。面对这种高级别攻击，传统基于规则策略的安全检测产品就形同虚设，黑客可以很轻松绕过。但是青藤新一代主机入侵检测系统可以提供多锚点的检测能力，能够实时、准确地感知入侵事件，发现失陷主机，并提供对入侵事件的响应手段，为系统添加强大的实时监控和响应能力，帮助企业有效预测风险，精准感知威胁，提升响应效率，保障企业安全的最后一公里。