“守城”的困惑

“我是一名网络安全从业者，最近我很焦虑，因为我要守一座城。”

这座城是单位的整个网络系统，官道是网络链路，城门和哨卡是安全设备（比如防火墙），城内建筑是业务主机等固定资产，城内外人流是流转的数据包，城中情报则是数据资产。我认为这座城现在运行良好，但是敌军必将在近期的某个时间段挥师攻城。

在敌军到来之前要如何完善防御工事，减少破城的可能性？敌军是否会乔装混入城中，什么样的人允许入城？如果敌人埋伏在城中，在攻城时里应外合，怎样及时发现这些细作？假如城防失守，又要如何剿灭城中敌军，并修复破损位置？当敌军窃取我方城内情报时，怎样探知敌军的潜入路线、窃取方式，并防止窃取事件再次发生？这些问题都深深困扰着我。

“过程安全”为你解忧

在红蓝对抗和HW行动中，经常会有防守方发出“怎么办”的感慨。别担心，“过程安全”理念可以让你高枕无忧。

什么是“过程安全”？过程安全架构（SIIP , Security is in Process）是安博通总结自身技术和经验提出的网络安全管理与运维体系框架，它强调：网络安全是一种过程，而不是一个结果，安全只是阶段性的，而威胁是持续性的。本质上网络攻击是一个持续的过程，网络防护是一个持续的过程，那么网络安全自然也是一个持续的过程。

网络攻击过程示意图

过程安全架构要如何解除安全从业者的忧虑呢？

SIIP过程安全架构

问题一：在敌军到来之前要如何完善防御工事，城中建筑（主机）是否存在脆弱性？

首先，需要明确内网有哪些业务主机，了解主机的详细资产信息、主机上运行的业务、开放端口、现有账号等，对主机资产进行盘点。接着，需要明晰主机上有哪些风险，是否存在漏洞、弱口令、Web后门、可执行恶意程序、Shell脚本等，分析脆弱性风险。

通过SIIP架构中的主机安全可视化模块，进行事前防御优化，发现并弥补主机风险，提升城池自身强度。

SIIP架构之主机安全可视化

问题二：如何减少破城的可能性，摸清城池内外的道路、哨卡和入城人流特征？

这就需要绘制城防图，即安全域业务拓扑，实现资产防护边界可视，看清主机是否被防护。同时梳理城池内外的有效业务道路和哨卡准入规则，理清业务路径和安全策略。最后确认哨卡规则有无问题，无关人员是否也可随意出入，对策略风险和主机攻击面进行分析。

通过SIIP架构中的安全架构可视化模块，分析防护策略的健壮性、资产防护的全面性和资产暴露风险，缩减网络暴露面，降低攻入城池的可能。

SIIP架构之安全架构可视化

问题三：敌军是否会乔装混入城中？

符合哨卡准入规则的人即可入城，敌人伪装成符合规则的模样同样可以混入。网络攻击使用防火墙开放端口和业务主机可达路径进行攻击，就不会被防火墙拦截，因此需要持续对攻击面进行收敛。

安全架构可视化模块可以与主机安全可视化模块联动，持续可视化评估并收敛网络攻击面，最小化风险暴露面被访问可能，缓解网络风险。

SIIP架构之攻击面分析与收敛过程

问题四：被攻击怎么办？如果敌人埋伏在城中，在攻城时里应外合，怎样及时发现这些细作？假如城防失守，又要如何剿灭城中敌军，并修复破损位置？

需要及时准确检测到攻击者嗅探网络、发起攻击或异常外发等行为。受到攻击后，能够快速识别、响应并阻断攻击源，防止威胁进一步扩散。

SIIP架构中的攻击面可视化模块关联安全架构可视、主机安全可视和网络流量可视，实现自动化编排安全策略，多维度数据关联分析，加速调查响应。

SIIP架构之安全监测与自动响应过程

问题五：城防失守怎么办？当敌军窃取到我方城内情报时，怎样探知敌军的潜入路线、窃取方式，并防止窃取事件再次发生？

针对已发生的安全事件，SIIP架构通过流量可视、主机可视、架构可视的联动，经过流量溯源，叠加威胁情报功能，可以查出事件详情，找到涉事主机的风险并进行路径溯源，然后进行针对性风险修复、补偿控制或安全加固，防止同类事件再现。

SIIP架构之回溯分析及安全弥补过程

“知己知彼，可视可控。”SIIP过程安全架构提供从事前防御优化、事中检测响应到事后回溯分析三维一体的闭环机制，让城池的网络暴露面收敛50%，检测误报率下降30%，应急响应率提升50%，让防守方在红蓝对抗和HW行动中守城无忧。

后记

“我是一名网络安全从业者，这次的红蓝对抗中我不焦虑了，但怎么样一直不焦虑呢？”答案就是“过程安全”，网络安全的本质是一个过程，而过程需要持续化。