破局内网横向移动，安恒助力广西电信筑牢数千服务器防线

在攻防实战场景中，内网横向移动是攻击者突破单点防线后，实现 “扩大危害范围、窃取核心数据、瘫痪关键业务” 的核心手段，其防御成效直接决定核心业务的安全底线。

电信行业作为支撑海量用户通信、政务协同的关键基础设施，更是IT基础设施建设的核心承载者，一旦遭遇内网横向移动攻击，不仅会造成巨额经济损失，更可能引发连锁性的社会影响。基于此，安恒信息携手广西电信展开深度合作，历经两期近2年的专项建设，依托安恒EDR与容器安全产品，完成数千台服务器的全面防护部署，构建起一套实战化内网横向移动防御体系，成功落地“广西电信内网横向攻击检测防护平台”。

该项目不仅实现了全区14个地市主机与容器安全的统一纳管，更凭借“主机安全+容器安全+特色亮点+安全保障服务”的组合拳，在满足集团安全合规要求的同时，树立了省级运营商资产集约化管理的行业新标杆。这不仅是一次技术的升级，更是一场关于安全运营模式持续进化的探索。

痛点：传统安全体系为何挡不住横向移动？

在项目启动之初，安恒信息和广西电信的技术专家们敏锐地发现，在真实攻防对抗中，攻击者一旦突破边界，其目标绝非仅停留在初始失陷主机。他们会在内网中系统性地开展横向渗透，逐步逼近核心资产。

●重边界、轻内网：传统安全架构重点监控南北向（外部↔内部）流量，却对内网主机之间的东西向通信几乎无感知。

●合法凭证滥用难识别：攻击者常盗用域账号、服务凭证在业务系统间“合法”跳转，绕过常规检测，从而进行横线渗透。

●容器化环境盲区：云原生架构下，容器逃逸、镜像投毒等新型横向路径缺乏防护手段。

●勒索病毒变种快：传统杀毒依赖特征库，对无文件攻击、未知加密行为几乎束手无策。

●资产不清：大量的“影子资产”和“僵尸资产”游离在安全监管之外，成为潜在的被攻陷跳板。

破局：如何精准斩断横向攻击链

针对以上痛点，安恒信息联合广西电信，以“攻防对抗”为标尺，构建了一套聚焦内网横向移动的主动防御体系：

●主动诱捕，让攻击者“自投罗网”：创新性地引入了微蜜罐技术与专利级文件诱饵引擎。这就好比在内网布下了“天罗地网”，一旦攻击者或勒索病毒尝试探测、扫描或横向移动，便会触发布局好的“陷阱”，实现对威胁的精准识别与主动诱捕。

●内核级行为阻断，防御未知勒索：基于多维度行为分析+内核级查杀引擎，不依赖病毒特征，实时识别异常进程、批量加密、自我复制等勒索行为；在加密完成前秒级阻断，为核心业务数据穿上了一层“防弹衣”。

●全栈资产可视，消除“影子资产”盲区：通过轻量级统一Agent，一套客户端同时覆盖物理机、虚拟机、容器；实现14个地市数千台服务器的资产自动发现、分级分域、全生命周期管理，杜绝未纳管资产成为攻击跳板。

●三级联动响应，从地市到集团的闭环运营：构建“地市EDR → 省级SOC → 集团SOC”三级架构，实现威胁情报动态聚合、指令秒级下发；满足集团安全合规要求的同时，支撑实战化应急响应与对抗演练。

演进：安全建设的持续进化

安全建设从来不是一蹴而就的“交钥匙工程”，而是一个持续迭代、动态生长的过程。

●一期筑基：去年，我们重点完成了5000+点主机安全EDR与容器安全的各种基础建设，实现了“由无到有”的覆盖与替换。

●二期深耕：今年，随着二期的圆满交付，双方在特色亮点与深度运营上取得了突破。通过适配本地化需求的4A单点登录、五类日志上报以及异常行为检测等功能，平台已深度融入广西电信的日常运维中。

●未来展望：面向即将到来的三期规划，我们将继续围绕“实战化”与“智能化”展开，持续提升核心业务系统的应急响应与对抗能力。

成果：打造运营商安全新范式

广西电信项目以解决横向移动为出发点，筑牢数千服务器防线，守护网络攻防最后一公里。目前已覆盖了21个三级及重要系统，将影子资产彻底纳入管控。特别是针对重保时期，平台能够对核心业务系统进行应急安全加固，是一套防御系统，更是一套可实战、可演练的安全保障服务体系。

而作为构建这一防御体系的核心引擎，安恒EDR产品的能力远不止于此：

●防御高级威胁全流程攻击：根据ATT&CK理论，对攻防对抗的各个阶段进行防护，包括单机扩展、隧道搭建、内网探测、远控持久化、痕迹清除。不仅可以做到威胁攻击审计，而且还可以防止黑客进行渗透攻击，实现攻防对抗360度防御。

●管控全局终端安全态势：服务器、PC和虚拟机等终端安装了客户端软件后，上传病毒木马、违规外联、安全配置等威胁信息到管理控制中心。用户在管理控制中心可以看到所有安装了客户端软件的主机，包括服务器、PC和虚拟机的安全态势，并进行统一任务下发，策略配置。

●全方位的主机防护体系：EDR包含传统杀毒软件的病毒查杀、漏洞管理、性能监控功能，在系统防护方面还可做到系统登录防护、系统进程防护、文件监控，还支持网络防护、Web应用防护、勒索挖矿防御、外设管理等多个功能点。

●流量可视化，安全可见：EDR通过流量画像的流量全景图，展示内网所有流量和主机间通信关系，梳理通信逻辑，上帝视角对策略进行规划，便于用户第一时间发现威胁，一键清除威胁。

守住边界只是起点，控住内网才是底线，唯有将防御纵深推进到每一台主机、每一个容器，才能真正抵御高级威胁的“横向渗透”。安恒信息将继续携手客户，以技术创新为驱动，探索更多场景下的安全最佳实践，为关键信息基础设施筑牢最后一道防线。