本次演习历时5天，共有20家单位业务内网被攻破，30个目标权限被获取，共提交攻击报告1000份，发现安全风险600余个；教育系统的安全防护任重道远。

　　近期各省教育厅、高校相继组织攻防演习活动，以此来检验其安全防护、应急处置和指挥调度能力，全面加强网络安全综合防御能力，确保在重保期间不出现重大的业务故障和数据泄露等问题。

　　深信服先后以“进攻方、防守方、组织方、裁判”等多个角色深度参与到多家教育用户的攻防演习中。同时，结合今年5月份教育部组织的攻防演习实况，深信服总结出了教育用户存在的三类共性网络安全问题，即系统安全漏洞、弱口令和人员安全意识薄弱。以上问题也常常被攻击者作为入侵突破口。

　　高校在进行自身安全建设规划时，大多基于合规需求和防守视角，并参考了各种安全架构模型。但是，基于此设计的安全规划就能在攻防常态化的情况下，有效防御和检测内外部攻击，避免出现数据泄露、系统瘫痪等问题吗？其实，很多教育用户心里也没谱。

　　本期，深信服从实战攻防的角度，通过深入分析进攻方的技战术，帮助教育用户更好地了解对手；并基于高校的业务现状，给出适合高校的重保防守体系建设建议。

　　正所谓知己知彼，百战不殆。防守方需要从攻击者角度去站位思考，分析总结攻方会采取的方法和手段，从而更加有针对性的制定“反制”措施。

　　情报收集贯穿整个攻击过程，主要有三个目的：首先，寻找进入校园网的脆弱突破口。其次，寻找从突破口到达核心系统的路径。最后，了解攻击路径上的防护和检测设备便于后期选择适合的武器装备绕过防御和检测。

　　完成情报收集工作后，攻击者就会利用手上的武器装备尝试突破校园内网，并在这个过程中逐步提权，最终达到长期隐蔽控制的效果，将其作为通过互联网控制核心系统的跳板机。系统漏洞、弱口令、网络钓鱼是三种最常用的边界突破方式。

　　3.高垒伏锐：顺着黑客进攻的路径，在攻击影响到核心系统之前进行纵深防御和纵深检测，第一时间发现攻击的蛛丝马迹，实现快速发现和快速处置；

　　面对攻击者的层层递进进攻，防守方需步步为营，针对重要业务系统设置层层屏障，避免被攻击者轻易打穿。

　　正所谓，“人是网络安全最薄弱的环节”，从历年情况来看，高校师生被钓鱼的事件层出不穷。在高校网络安全建设中，既要重视技术层面的漏洞，同时也要注意封堵安全意识的“漏洞”。

　　一方面，各高校单位需要及时修补系统漏洞，增强网络和设备的安全配置，避免被攻击者利用。另一方面，需要通过培训和宣讲不断地提高师生及软硬件供应商的网络安全意识，排查并整改已泄露的敏感信息，如弱口令、特权账号等。

　　高校常被攻击的入口有很多，其中系统漏洞、账号、终端是最常见的三种入口，针对以上三个入口的防御思路如下：

　　当攻击者使用自动化扫描工具扫描学校系统，确认是否有可利用的漏洞接口时，通过防火墙可以主动发起JS交互，生成工具指纹。当攻击者使用高级工具进行攻击时，防火墙的工具指纹会匹配指纹库进行风险拦截。而当攻击者使用python等非浏览器工具进行攻击时，由于没有回传相应的指纹，此种情况下则会被防火墙直接拦截。通过上述方式，可以有效阻止攻击者通过扫描工具检测系统的可利用漏洞，迫使攻击者手动校验，提高漏洞利用难度。

　　当攻击者使用浏览器进行正常访问时，防火墙不会进行拦截限制。此种情况下，借助零信任网关，对外仅暴露零信任网关IP和端口，可以有效避免被攻击者在互联网直接访问，从而收敛应用服务的网络暴露面。攻击者只能找到公众联网系统的漏洞，以及诱捕蜜罐特意留下的漏洞，无法找到内网漏洞。

　　当攻击者对蜜罐的漏洞接口进行漏洞利用时，防火墙会直接放行，从而误导攻击者。攻击者花费大量的精力拿下诱捕蜜罐的权限，过程中却被防火墙捕获整个攻击指纹。后续若匹配到相同指纹，防火墙会直接进行封堵。

　　3、使用零信任网关替换VPN，增强业务访问安全管控，在出现账号登录异常时，启用二次验证，并要求进行双因素认证。

　　1、安装杀毒软件、EDR，对攻击者的工具、木马、远程漏洞利用等进行识别防御，避免被当作跳板入侵内网。

　　2、加强终端漏洞管理，更新最新系统版本，及时打补丁，不易打补丁的，可通过虚拟补丁防护，减少可利用的漏洞；

　　纵深防御的核心就是给攻击者层层设卡，让攻击者寸步难行，即使突破了边界，也不能轻易地访问到靶标进而拿下权限；在此过程中让攻击者留下更多攻击痕迹，便于后续的高效检测。

　　严格做好不同业务区域的网络分区，不同分区间使用防火墙进行访问控制和安全防护，避免从边界直接访问到核心系统。

　　通过堡垒机、零信任、数据库安全运维审计、虚拟桌面等，使攻击者无法随意访问服务器、数据库、网络设备。同时，结合双因素认证管理等措施，确保失陷主机无法直接访问业务资源。

　　如果攻击者突破了层层防守访问到了核心系统，需要依赖于系统自身的安全性，这也是最后的防线。具体包括SDL开发安全、上线代码检测、认证授权、加密通信、漏洞管理、系统的主机安全防护等，通过上述措施提升应用系统的健壮性，避免系统权限被拿下、数据信息被窃取。

　　如若在任何阶段发现问题，需要第一时间将问题设备隔离排查处置，避免影响范围扩大代理ip怎么设置端口。在日常工作中，高校信息中心可以通过建立工单流程拉通二级学院进行事件协同处置，引入SOAR自动化处置技术提高处置效率，引入安全工作绩效评价体系等，提高安全运营效率，助力事件的快速闭环处置。

　　攻击者在攻击路线上会留下痕迹，如果我们能全方位地监测到这些痕迹，提早发现问题，就可以在攻击者拿下靶标前快速闭环处置。

　　1.针对高带宽的互联网出口：可以使用出口防火墙设备作为探针，基于防火墙可以获取到整个出口流量数据；

　　2.针对数据中心出口：在数据中心出口部署流量探针，就可以采集到上网场景和数据中心场景的流量；

　　3.针对东西向流量：针对二级学院到数据中心或者其他区域的东西向流量，通过二级学院出口的边界防火墙去做相应的流量数据采集。

　　其次，在服务器和重要岗位工作人员（运维、开发、科研、财务）的电脑上率先安装EDR设备进行防护和检测。

　　通常而言，进行纵深检测后，安全设备会产生大量的告警和日志，严重干扰安全运维人员的视线。这就需要把这些终端和网络上产生的告警日志归因成事件，并且把一个个孤立的事件基于攻击的目的、时间、IP等串成一个完整的攻击链条，进而有效地进行事件的处置。

　　这里需要依赖平台的机器学习、端点+网络的关联引擎、IOC情报和IOA行为分析引擎能力等，这也是XDR技术目前的优势。同时，建议配合安全专家的能力进行研判。

　　高校作为众多境外APT攻击的目标对象，在重保期间势必会面临更严重的网络安全威胁，只有做好“备战”才能更好的“胜战”。本文希望通过梳理攻击方的技战术及防守战术，以期让广大教育用户了解当前攻防双方的力量差距，帮助高校更好进行安全建设整体规划。