安全部门就仨人，攻防演习零失分？| 案例分享

编者按：本故事源自微步在线2022年7月的一次真实客户案例，出于客户保密需求，文中人字均为化名。

中大奖

2022年7月2日深夜，安全负责人王炬（化名），望着天花板，失眠了。

当天下午，他从老板口中得知一个“惊天好消息”：接有关部门通知，咱们公司很幸运地抽中参加2022年专项网络安全攻防演习，光荣地成为了“靶标”之一。

王炬听后当场倒吸一口冷气：“这……可真是好消息啊，我真的拴Q，演习什么时候开始？！”

“据说就在本月底，具体哪一天，随时等上面通知。”老板拍拍王炬的肩膀：“时间确实有点紧哈，但我相信你的能力。”王炬感到腰膝酸软，四肢无力，掏出纸巾擦了擦额头的汗。

作为一个从业多年的网安老兵，他知道，所谓“成为网络攻防演习的靶标”，意味着在演习期间的那一周时间里，由各大网络安全公司的网络攻防精英们组成的一支支“攻击队”，会对他们发起网络渗透攻击，就像猎豹一般毫无征兆却一招锁喉。

一旦被攻击队攻下，就会被判定“丢分”，丢分太多，演习结束时公司就会因为“网络安全工作贯彻落实不到位”被批评，并付出一些“代价”，到时王炬作为安全负责人难辞其咎。

如果换作平常，打好一场攻防演习对于实战多年的王炬也不是什么难事，只要提前根据地形（公司业务架构）部署好防御工事（网络安全设备）并且派重兵把守（安排几个靠谱的安全工程师值班，及时响应），问题就不大。

可这一次，王炬入职不过三个月，还在熟悉内部业务阶段。正所谓“知己知彼，百战不殆”，将军才刚刚任命不久，战况都还没完全熟悉，那边就传来消息：敌方大军随时可能兵临城下！换了谁都得慌得一批。

“公司有16000多台业务主机，分布在三个IDC机房和四个云平台，有四个办公职场，分布在全国各地。”我们知道，需要被保护的目标越多越分散，网络架构越复杂，想要保护好的难度就越大，因为攻击面太大，敌人可能从任何一个方向发起攻击。

和公司庞大的业务形成鲜明对比的是，全公司现在只有三名专职的网络安全工程师（之前很多安全工作是IT部门兼做的），还包括王炬自己在内。另外两位是王炬上个月刚招进来的。尽管公司以前也做过一些安全建设，但比较粗放，还有不少课需要补。

王炬压力不小。可是老板一脸严肃地叮嘱他：你知道的，今年十月份将有一场极其重要的活动，我们作为国内领先的媒体平台，绝不能在网络安全上出问题，这场考验，甚至有可能关系到我们公司的相关资质牌照……

王炬咽了咽唾沫，点点头，话已至此，没有退路可言。

他感觉自己和另外两名安全工程师就像三个牧羊人，16000头需要保护“羊”还没有完全回到羊圈，夜幕已经快要降临，远处传来狼嚎……

一个倒计时悬在王炬的头顶。

搬救兵

摆在王炬面前有两个选择：

买设备——既然人少，装备必须精良，这样才有可能以一当百。

买服务——既然自己人少，就找一个靠谱的安全公司，买他们的MDR（安全检测与响应）、MSS（安全托管服务）之类的服务。

小孩子才做选择，大人全都要！要顶住这场宏大的攻防演习，设备和服务恐怕缺一不可，王炬根本没得选。

让他庆幸的是，公司老板和首席信息官（CIO）对网络安全都比较重视，刚入职那会儿王炬就提了上百万的设备采购预算，CIO二话没说就批了下来。

王炬的安全建设思路也非常清晰：

用“X企业版”来提前排查风险，发现暴露在外网的安全隐患（比如账号密码等等），完成攻击面的收敛。

威胁感知平台TDP是基于网络流量的防护设备，部署在网络出口，监控着整个网络里的所有进出流量，准确捕捉其中的任何异常。

OneEDR是终端安全产品，安装代理软件（Agent）在每一台主机上，随时监控着每一台的每一个进程，随时发现异常行为。

WAF（网络应用防火墙）用来拦截常见的Web攻击。

在此基础上，再部署一些HFish蜜罐，伪装成正常的办公设备和业务主机，正常情况下不会有人碰，一旦有人访问，就意味着“攻击队进来”了，蜜罐会自动告警并捕获访问者的信息。

整个网络拓扑图大概长这样：

决定采购后，商务对接又磨蹭了几天，眼看着攻防演习越来越近，这边商务刚谈好价格，还在签约，那边技术部门已经开始部署设备，左右开弓，快马加鞭。

“都不先测试一下吗？”

“这都这个时候了，还有时间测试？我之前在的公司也用过微步的产品，靠谱的。”

来不及解释了，先上车再说！

抢滩登陆

这下轮到陈杰睡不着觉了。

陈杰是OneEDR的负责人，他面对的是16000多台机器，要在每一台机器上都装上一个代理软件，采集安全数据，要赶在攻防演习之前全部安装、调试完毕，留给他的时间不多，这无疑是一场和时间的赛跑。

客户拍了拍陈杰的肩膀：“我相信你们”，陈杰感到腰膝酸软，压力山大，不过话都说到这儿了，没有退路可言。

一万六千多台设备，假如有一个软件平台统一管控着这些机器，就非常好办，直接几个脚本下去，一天就能安装测试完。可实际情况是，这些机器分布在几个不同的平台、机房，各自承担几种不同的工作任务，软件环境、运行状态不完全一样。

假如不加以区分，粗暴地用同样的方式对待，很容易出问题，导致业务中断影响客户业务。

部署速度诚可贵，业务稳定价更高。

“决不能拖慢客户机器的性能导致影响业务，不能影响客户机房的网络造成压力。”陈杰告诉我，OneEDR并不会在终端上进行大量计算，终端上的代理软件只负责采集主机日志里的行为数据，传回一台特定的服务器，由服务器进行统一分析，判断是否有异常，因此可以尽可能降低对终端性能的影响。

而且经过测算，每台机器每天传回几十兆数据，折合下来0.5kb/s的带宽，客户的各个机房都有专线，完全没有反馈任何网络压力。

唯一让陈杰担忧的，是安全规则。

就像路上交警查酒驾，查得太严，容易会导致堵车，可是查得太松，又可能会漏掉一些。怎么让OneEDR在检出率和性能影响之间达成一个平衡，需要一点一点去实际摸索。

第一天部署400台机器，因为安全策略定得太高，导致一个大数据节点的离线任务运行失败。还好没有实际影响业务，第二天赶紧调整安全策略。

后来OneEDR团队想出一个办法：把策略制定得更精细，并且按照主机的场景分类，主机上业务很忙时，就自动关闭部分功能，主机业务不那么忙时就自动打开这些功能。

这样一来就能保障性能的前提下，尽可能提高安全防护等级。

有了最初400台的实际部署经验，10天之内，OneEDR团队紧锣密鼓完成16000台服务器的部署。TDP、OneDNS、HFish蜜罐、X企业版等产品也早早地部署完毕。

所有业务运行稳定，仿佛从没有部署过什么安全防护软件，实际已经形成了一整套“云+网+端”的纵深防护，犹如天罗地网。

OneEDR也很快就发挥作用。

“演习都还没开始，OneEDR就发现了木马!”

发现威胁

“发现威胁，主机疑似存在Rootkit木马。”

在之后持续一周的产品巡检中，OneEDR发现有30多台主机被入侵，微步在线的应急响应团队紧急赶往现场，开始应急排查。

顺藤摸瓜，安服人员还原出黑客入侵的时间轴，找到最早被入侵的主机，发现机器上有三个木马，其中最早的那个木马的创建时间是2019年6月25日，也就是说，这个木马后门程序已经潜伏在内网超过三年！

除此之外，TDP和X企业版也发现4000多组弱口令，包括SSH弱口令和数据库弱口令。

王炬惊出一身冷汗，这简直是不幸中的万幸，幸好这些是在攻防演习之前发现 ，如果在攻防演习中被利用，后果不堪设想。

大考

8月初，网络攻防演习正式打响。

事情有点复杂，我说简单点，王炬经历了有惊无险的15天攻防演练，最终他们公司一分也没有丢。

演习结束那天，王炬在X情报社区观看演习结束仪式，有一段话让他备受感触。

“明天过后，你我各归岗位，人来人往，岁月静好，一切如常，这十五天的一切，仿佛从来没有发生过。但无论如何，世界已经因为这场不见硝烟的演习而永久性改变。

最初，王炬从老板口中听到被抽中打演习的“好消息”时，他曾在某个瞬间暗骂：我怎么这么倒霉，刚入职不久就抽中了演习当靶标？

“结果发现我还挺幸运，部门就三个人，楞是一分也没丢。现在回过头再看，能参加攻防演习对公司而言也不失为一种幸运。”

王炬说，真实的网络空间可能比演习更凶险，从更长的时间跨度来看，演习的紧张形势推动着人们在极短的时间里筑就坚固的防御工事，等演习结束以后，这些工事会继续发挥作用，保护他们的业务和数据，在犹如黑暗森林的网络世界运行无虞。

无论怎么看，这都是好事。因为网络安全永远应该防患于未然。

编者再按一次：本故事源自微步在线2022年7月的一次真实客户案例，出于客户保密需求，文中人字均为化名。