相信現在很多團隊，公司都開始爲今年的HW行動做準備，有錢的買設備，買人，沒錢的沒人的只好自己搭設備，怎麼都要有點東西才能跟領導交代。尤其是今年的行動又跟以往的有所區別，但不管怎麼樣，自己硬纔是真的硬。

FREEBUF裏面對如何自己硬也有了相當多的文稿，從戰略意義上的，到戰術意義上的；從行動派到口水派；從務實派到虛幻派。針對各種派別都有了屬於自己的一套思路，一套打法，真正意義上的將大家的防護水平提升了一大截。但是，道高一尺魔高一丈，各種新型的，花樣的，實力的攻擊方法層出不窮，還沒開戰，就已經隱隱約約地看到塵囂甚上，對於防守方而言，壓力確實不小，但說來說去，總結下來，攻擊渠道就只有三種，哪三種？一曰（yue）：從外到內（E2I）；二曰（yue）：從內到外（I2E）；三曰（yue）：從內到內（I2I）。

首先是從外到內。那麼作爲一個優秀的MT，應該如何肉抗呢？具體的方法就不展開細談了，話題太大，濃縮後的精華我們簡單的提一下，從外到內的防禦方法，即物抗和魔抗。何爲物抗？即俗稱的WAF，有硬件WAF和雲WAF，只要有公網的要求，WAF是必須覆蓋的，但是針對現有的各種攻擊的手段，比如各種變形的SQL注入，反序列化等等，WAF已經顯得有些有心無力，已經不能再保證強防護力度，所以魔抗的RASP也是需要啓用的了，好在百度開源了OpenRASP，用插樁的方式可以很輕鬆的植入網站從而能有能力檢測攻擊者最終的滲透手段。(IPS/IDS就不再說了，估計大家都有)此外，針對弱口令，補丁，中間件漏洞進行及時整改，那麼不說固若金湯，起碼攻擊成本是被大大增加了。

接下來就是從內到外。從內到外，一般而言我們可以考慮NTA，或者叫態勢感知系統，但確實，態勢感知系統比較貴，不是隨隨便便可以擠出來的預算，如果之前沒有做好預算的話，想要臨時上態感會比較困難，只能到時候找廠商借用了，借用的後果就是不可預測性，你都對這個系統不熟悉，沒有調優，也沒有預處理過（指清除目前態感發現的告警，優化黑白名單），是沒有辦法順順利利地使用態感的，如果確實沒有預算，又想進一步加強網絡監控，那麼使用免費的Moloch摩羅神 https://www.freebuf.com/sectool/183984.html 或者SecurityOnion 安全洋蔥 https://www.freebuf.com/sectool/84043.html 就可以開啓簡單易用的NTA了。如果是採用商業方案，鬥象目前在做NTA的評估報告，有機會可以參考一下，但有幾個指標是建議達到一定標準的的，包括且不限於，依賴AI檢測算法在不依賴威脅情報的情況下對反彈外聯，隧道傳輸能力的檢測；兼容各威脅情報，包括免費的，商業的，對C&C地址，域名有快速檢測的能力；能同WAF，IPS，下一代防火牆設備等進行一定程度的聯動，包括隔離，封堵，重置包等的能力。此外就是安裝位置，一般而言，如果有威脅情報（TI, Threat Intelligence）的支持，僅監控從南到北的數據流已經夠用了，大企業中如果還想監控從西到東的數據流甚至全域流量，流量將是非常之大，交換機口都不夠用，也對服務器和探針的需求會有非常誇張的要求，要靠企業的實力（錢）硬扛，能部署的應該寥寥無幾。在依靠南北向的監控中還有一點須得注意，威脅情報在HW事件中的檢測效率大大降低，請務必不要迷信，反倒在真實防護中能起到一定的作用。這裏列出幾個常用的威脅情報源，供大家配置參考：

· http://mirror1.malwaredomains.com/files/domains.txt

· http://www.malwaredomainlist.com/hostslist/ip.txt

· https://isc.sans.edu/block.txt

· https://isc.sans.edu/api/threatlist/miner/?csv

· https://talosintelligence.com/documents/ip-blacklist

· https://feodotracker.abuse.ch/downloads/ipblocklist_recommended.txt

· https://rules.emergingthreats.net/blockrules/compromised-ips.txt

· http://list.iblocklist.com/?list=bt_spyware

· http://list.iblocklist.com/?list=tor

· http://list.iblocklist.com/?list=logmein

· http://list.iblocklist.com/?list=bt_proxy

最後就是從內到內了。內到內的防護也從三個方面來講，從內到內保護中的第一點，相信大家都有基礎包，即防病毒軟件，但是對於目前各種繞過手段，單一的防病毒工具並不能真正有效地識別並檢測攻擊工具，就以Mimikatz爲例，Tide重劍無鋒所提到的18種免殺姿勢及防禦策略就已經令人望而生畏了，更別說還有某些大佬自制的工具。連Kaspersky這位反病毒先鋒也被輕易地斬在馬下 ，所以，適當的搭配是必須的。說實話，WindowsDefender的查殺能力還是非常不錯的，對於大部分變形，變種均能識別，如果能啓用DeviceGuard，CredentialGuard，Secure Boot，App locker，WindowsFirewall，UAC並配置AttackSurface Reduction Rule，回收計算機用戶權限（重置Admin管理員密碼），清理本地管理員組成員，限制用戶權限最高不超過PowerUser，啓用強密碼策略，啓用RestrictedAdmin模式的RDP登錄保護，啓用受保護的用戶組，將域管理員等全部加入受保護用戶組，通過以上手段已經基本可以將系統防護能力提升至MAX了。

內到內的保護中的第二點，除了策略的加強，從內到內的防護，僅靠AV是肯定不現實的，那麼應聲而起的新方案爲AV+NGAV+EDR，即，防病毒系統+下一代反病毒系統+終端響應系統。國內的某些安全廠商將NGAV+EDR合併爲EDR防護，也未嘗不可，其實質概念均爲基於用戶行爲的高級防護。據說某些企業已經開始放棄傳統的AV系統，開始投奔NGAV+EDR防護，其實這點會觸及到一個異構的問題，我的個人建議是保留傳統的AV系統，並配置部署EDR系統（含NGAV清除功能），原因跟上面提到的態感產品一樣，需要保留最大能力，最高效率的檢測並對抗已知病毒的能力，否則光靠EDR系統動態識別能力是不夠效率的，而大部分EDR系統並不具備本地或者文件靜態識別能力，所以必須依靠AV的特徵庫識別來進行預查殺。（國內某廠除外，其採用了二者結合，使用第三方AV庫，可以進行靜態查殺，但是，良心地講，專業的事還是需要專業的人去做）。順便說一句國外某AV產品的續約，據說已經有蠻多小夥伴已經下車了，原因在於其大幅度的撤銷國內的售後，客服的投入，但其實這個產品還是相當不錯的，這裏我就不多說了，大家都有自己的一杆秤。

內到內的保護中的第二點已經明確標記爲AV+EDR方案，EDR產品的選擇依然包括三條準則，第一，事件回溯能力，能清晰反映進程與進程之間的關係，進程與網絡之間的關係；第二，AI模塊和機器學習的能力，需要有效的識別新型威脅，並能降低誤報率；第三，MITRE ATT&CK矩陣的檢測能力，增加防護覆蓋面。最後一點可以參考Bitdefender是如何應對ATT&CK矩陣的，詳情見： https://attackevals.mitre.org/APT29/results/bitdefender/ 或 https://attackevals.mitre.org/APT29/results/bitdefender/allresults.html ，引用MITRE的官宣，不做評分、排名或評級。評估結果對公衆開放，因此其他機構可以提供自己的分析和解讀—-MITRE不認可或驗證這些結果。但無可厚非，ATT&CK矩陣確實涵蓋了幾乎所有目前已知的攻擊可能的渠道，使用ATT&CK矩陣來驗證攻擊手段是非常可行的。（雖然誤報會比較多，需要有一定能力的調優以及數據分析人員）

內到內的保護中的第三點即爲構建一個能夠快速檢索的應急響應平臺，態感即爲NTA+SIEM的結合，所以有態感的需要好好調優策略，熟悉數據檢索的方法。對於需要自己造輪子的童鞋，或者還沒有自己的SIEM方案的童鞋，必須抓緊考慮成熟的方案，如果還是因爲預算的緣故，那麼使用Elasticsearch+ Wazuh + TheHive + MISP構建開源安全應急響應平臺也是非常有價值的。具體文章可以參考： https://www.freebuf.com/articles/es/203538.html 。使用上述方案還有一個好處，可以容納NTA的事件，這樣就可以通過ELK的大數據平臺構建一套完整的態勢感知+威脅情報+EDR平臺方案，除了維護量略大以外，效果還是棒棒的。至於有錢的童鞋呢，可以採用SPLUNK+ SYSMON方案，能更爲效率地進行數據關聯和分析處理，維護量遠遠小於ELK方案，但誰叫ELK方案是免費的呢？（硬件不免費）

最後，引用一張非常有價值的圖，作爲防護向量的有效補充，原文在此： https://www.pathcom.com/security-tools-and-tips/ 我就不翻譯了。

END

從外到內，依靠FW+WAF+RASP；內到內，依靠NGAV+EDR；從內到外，依靠NTA+TI。這就是HW防護陣線構建的三件事，其實也是對於安全工作的一個簡單的總結，希望本文可以給第一次參加HW防護的兄弟提供一些幫助，不至於兩眼一抹黑而不知道從何做起。安全更多的是做起來看似很簡單，但是策略如何能夠推動，能夠落地，纔是需要仔細考量和最花功夫的地方。

*本文作者：langyajiekou，轉載請註明來自FreeBuf.COM