网络攻防演练——事前准备工作汇总

一、演练组织

1、建立演练指挥体系

演练能井然有序地组织起来，一个合理的组织架构是必不可少的，建立指挥体系是防守单位首要做的事情。下面介绍一下最精简的演练组织架构，至少要包含以下小组：

（1）指挥部

成员：由公司管理层组成，级别越高越好，有利于整个演练工作自上而下推动。

职责：负责对重大事项进行决策，整体统筹资源，压实演练责任。

（2）监控组

成员：安全部门

职责：负责对安全告警进行处置，及时闭环安全事件或疑似安全事件。

（3）分析研判组

成员：安全部门

职责：负责处理监控组提交的安全事件工单，对攻击事件进行深入分析，为事件做最终定性，针对成功攻击的事件制定防御方案。

（4）处置组

成员：本着谁主管谁负责的原则，处置组成员为包括安全部门、项目组、运维等资产管理方。

职责：负责对安全风险进行收敛，包括漏洞修复、策略调优等。

组织架构可结合本单位实际情况灵活设置，可以采用上述介绍的最小配置，在人力资源充足的情况下，还可以设置联络组、后勤组、安保组、客服组等等，无论是采用哪种组织架构，坚持一个“够用”原则就好，有时候设计复杂的体系并不能体现规划者牛逼，反而会造成职责不清、联动效率低下等问题。

在设置组织架构的时候要注意一点，涉及到跨部门的协作的，一定要把相关部门纳入到组织架构中，相关方一定要明白自己在演练当中的职责，哪怕真正演练的时候并不需要他们高强度工作。

2、制定演练工作方案

基于演练组织架构，需要编写详细的工作方案，明确各方在演练中的职责，强调演练准备工作的重要性，并对后续要开展的工作进行说明。

演练工作方案的编制可以参考如下框架：

第1章 演练背景：对此次工作背景进行介绍，尽量提高政治站位。

第2章 工作要求：传达演练工作总体要求，如保密要求、提高重视等。

第3章：工作方案：

（1）介绍演练组织架构，明确各组职责

（2）介绍战前工作安排，介绍前期具体工作计划，并细化工作要求

（3）介绍战中应急体系

（4）介绍战后复盘工作。

3、通过正式渠道发文

编制好工作方案后，想要各相关方重视演练工作，实际做好各类协作配合，还需要通过单位正式渠道对工作方案进行下发，并通知到全员。

为了保证方案能顺利通过发文流程，发文前首先要提前知会相关方，并线下征询意见，各方达成一致后，再提请正式流程，这样能确保流程顺利通过。

发文通过后，我们就相当于获得了上级批准的“尚方宝剑”，出师有名，后面有谁不配合，就可以拿着这个发文说事了。不过还是希望各位的安全工作都能顺利推动。

4、组织启动会

方案定好了，发文也通过了，不代表要求都传达到位了，私下沟通过一些部门和团队，好多人都不知道攻防演练、红蓝对抗是什么，更别说让人家重视了。（其实很多事情都是这样，安全圈闹翻天了，圈外人一点也不知道，也不关心）

为了更好地为演练工作造势，还需要组织启动会进行宣贯，这个会一定要正式，并且邀请领导在会上发言传达工作要求，发言的这个领导职位越高越好，所以前期安全团队一定要做好向上沟通的工作。

请领导发言，那么就要为领导准备好发言稿，建议准备两份发言稿，一份的内容站位要高，多讲宏观层面的东西，另一份的内容要贴合实际的具体工作，多讲我们如何落地的内容，包括工作方案和工作要求。这两份文件最好由两位不同的领导来讲，分别站在不同的角度进行宣贯，这样比一位领导把两部分全讲了效果要好。

依托于有大领导的讲话，可以名正言顺地要求各部门、团队负责人参会，自顶向下传递演练相关工作要求。

5、全员通知

启动会结束后，带着会议精神再通过邮件或者其他正式渠道通知到每一位参与演练的人员，保证每个人都能真正地了解即将参与的演练活动的详情以及各自的角色。

邮件发完最好再与参与演习的关键人当面沟通一次，注意尽量不要居高临下，态度诚恳地请求对方的协助。

至此，前期的所有铺垫工作全部完成。

6、总结

心细的你是不是已经发现了，上面介绍的工作实际上是环环相扣的，首先要制定好组织架构，然后基于组织架构编写演练方案，通过正式渠道面向全单位发布后，再面向全单位组织演练启动会，并邀请指挥部中的高层领导发表讲话，进一步压实责任，会后再通过邮件等渠道通知到所有演练参与人员，强调会议精神，细化工作要求，这样就可以自上而下压实责任，层层去推动演练整体工作，让各参与方将演练工作重视起来。

二、防护体系建设

1、流量监控体系

历次对抗演练的主角莫过于各类流量监控设备了，如ips/ids、waf、nta等，关于流量监控类的设备，在精力有限的情况下，重点关注两个点就够了，一是流量监控覆盖度，二是规则的准确度。

（一）流量覆盖度

如果安全自己不负责网络相关的工作，则需要网络和运维部门的协助，前期一定要与网络和运维部门做好沟通工作，必要时可让领导出面，双方达成共识后跨部门的协同才能更通畅。

想要保证有较高的流量覆盖度，首先要了解我们的网络都有哪些区域，所以一份完整的网络区域清单就非常重要，这个清单至少要包含两个维度：

1. 当前的企业网络内都有哪些网段
2. 各网段分别用作什么用途

获取到清单后，首先要根据网段的用途判断重要程度，比如DMZ区、核心生产网络等，这些都是要重兵把守的地方，重要网络区域相关的南北向流量一定要收集全，如果有条件还可以收集东西向的流量。

东西向的流量往往量很大，可以考虑对东西向的流量进行筛选后进行监控，如只监控非文件传输的http小流量包。

对于其他非重要网段，根据各企业投入的情况可以选择性的进行监控，不过南北向的流量尽可能收集全，在实战中这部分流量对于横向移动的发现有着至关重要的作用。

对于流量的需求梳理清楚后，安全再拿着清单去找网络和运维部门沟通流量镜像到安全设备上。

最后别忘了验证一下有效性，复核一下流量日志是否包含了清单中的网段，有条件的可以借助BAS（入侵与模拟攻击）系统进行自动化验证。

二、规则准确度

首先，所有检测监控类的流量设备必须在临战前将规则库更新到最新版本。针对规则准确度重点关注以下两个维度：

1. 规则的误报
2. 规则的漏报

1）误报

海量的规则逐条去验证不现实，高效的做法是重点review阻断类规则的误报，比如waf和自动化封禁规则，即使是在特殊时期也不能因为误拦截中断业务。

针对waf，首先要梳理出一份自动封禁的规则清单。我们目前经过了长期运营，已经形成了准确度较高的封禁规则库，然后将近三个月内所有历史封禁记录进行逐一核对，观察触发封禁规则流量包的特征，看是否有误报的情况。

如果确认是误报，是规则的问题就去改规则，是业务流量的问题就需要和相应系统的负责人沟通。根据经验这种情况很可能业务功能设计还有优化空间，需要研发配合对相应功能进行更新。

2）漏报

判断是否有漏报，首先要有一份高危漏洞清单，然后逐一对照验证检测防护设备是否具备相应的检测规则，是否开启了对应规则的告警。有条件的可以借助BAS（入侵与模拟攻击）系统进行自动化验证，或者由内部蓝军配合构造相应的攻击流量，验证规则的有效性。

对于一些非标准特征攻击流量漏报的情况，需要制定自定义规则，通常是通过正则表达式来定义。对于阻断类的自定义规则，部署生产前一定要在测试环境做好充分测试，在部署到生产环境后建议在监控模式下运行一段时间，再决定是否开启阻断，防止误报影响业务。自定义规则需要限制到具体的url，为了保证性能，不要配置全局自定义规则。

三、关注设备性能

演练期间可能会遇到高频攻击的场景，在面临高强度分布式的攻击时，各类安全设备的性能有可能会成为瓶颈，在平时的安全防护中可能遇不到，也是容易被忽略的地方。

我们在红蓝对抗的过程中就发现了如下情况，我们的自动化封禁是通过SOAR联动旁路阻断实现的，但是在实际红蓝对抗中会遇到短时间内对大量封禁IP的场景，直接导致SOAR的性能飙满，甚至出现了剧本执行失败的情况。

所以演练前建议对所有安全设备进行一次性能巡检，对于使用频率高的设备，最好能预留出50%的性能，性能不足的话事前及时进行扩容，别等到打起来的时候枪突然不能用了。

2、主机防护体系

主机安全是另一道保护屏障，常见的防护手段有防病毒、HIDS、EDR、防篡改、RASP等，来自终端的异常告警通常是比较准确的。当攻击者通过0day攻击绕过了流量监控，主机安全检测就起到了至关重要的作用，特别是在内网战场上，对于横向移动的对抗非常有效。

对于有条件和精力的防守单位，可以考虑在演练期间多部署几类设备，不仅可以在实战中测试相关产品的可用性，也可以形成异构检测能力，达到互补的效果。

和流量监控一样，主机安全同样需要关注覆盖率和规则情况。

1）主机安全监控安装覆盖率

计算覆盖率就要知道总共有多少台主机（分母）、有多少已经安装（分子），分母可以从cmdb系统中去拉取全量清单，分子则可以到相应的主机安全管理后台获取。两个清单梳理出来之后，通过对比，重点找到那些还没安装的主机，梳理出来待安装主机的数量很可能非常大，没有太好的办法，只能与相应的负责人逐一沟通部署，查缺补漏，其实安全运营工作没有捷径，就要多下笨功夫。

2）主机可用性

端侧的安全防护通常离不开agent，各种agent很可能与现有的软件体系不兼容，严重的还会导致系统宕机。如果演练前为了增强防护能力临时安装各类agent，没有经过充分测试的话，很可能会出现系统稳定性的问题，要明白业务的正常运行一定比安全监控更重要。所以针对主机的安全防护，一定要多安排些时间，提前组织相关产品的测试工作，赶鸭子上架往往会带来各种各样的问题。

3）规则准确度

首先，还是要保证所有设备的规则都升级到最新，保证各设备都能以最佳状态来应战。

终端的运行场景是非常复杂的，所以平时对于规则的运营更要精细化。特别是新部署的产品，误报量比较大，有些服务器上还会同时运行着多个有监控功能的agent，还会造成互相告警的情况。前期对主机安全设备的告警进行一次集中运营，误报规则及时加白名单，可减轻演习期间的告警处置压力。

4）策略配置

对于服务器上重点监控的目录，可以通过防篡改、HIDS设置一些监控策略，当目录下的文件发生变化，可以及时告警，此项策略对于文件上传/写入类的攻击非常有效。在一次国家级演习的过程中，就是通过防篡改的告警成功阻断并捕获了0day攻击。

很多终端安全产品可以设置重保模式，对于告警的粒度会更加精细，检测也更加严格，可以根据自身的需要选择性开放，建议可以在开发测试环境开启，生产环境谨慎。

3、小结

此阶段工作至少要产出以下交付物：网段清单、自动封禁规则清单、高危漏洞清单、高危漏洞检测结果表、cmdb资产清单、终端安全部署清单。

经过长期的运营，我已梳理了一份简易版高危漏洞必修清单，可供大家参考。关注公众号，回复“漏洞必修清单”即可获取。

如果这篇文章你只能记住一件事，那请记住：让监控体系覆盖全面，让规则更精准。

三、人员筹备

防护体系不是只有安全设备，人员也是防护体系中的重要因素，特别是强对抗场景下，需要提前准备好保障的人员，保障有人进行7*24小时监控，出现突发事件有能力协助处置。如果自己的人力资源不足，可以在预算范围内采购安全公司的驻场值守服务，本篇就来聊聊参演人员的筹备工作。

1、人员盘点

首先要知道我们需要多少人，可以根据需要管理的安全设备规模来定，如果资源充足的话，可以每个设备都安排专人监控。

监控是24小时不间断的，以“白夜休”的模式进行排班，至少要安排3个班次，如果资源充足，可以采用“白夜休休”的方式安排4个班次，企业根据自身情况评估资源投入的情况，最小配置为3人，即在三班倒的情况下每个班次配置1个人。

2、人员技能

在人员数量确定好后，下一步需要明确人员的能力。

实际对抗过程中，防守人员根据不同的职责对应要有不同的技能要求，在组建防守队伍的时候一定要注意能力职责匹配，就像战场上，不同兵种相互配合才能打出漂亮仗。

1）渗透测试能力

未知攻焉知防，这是每一名设备监控人员必备的基础技能，有些人能力很强，但就是看不懂告警。

有一次接了一个客户的防守任务，一共2个人派驻到客户现场，另一位兄弟是一名专业的产品实施人员，对操作系统、对产品架构很熟，但是不了解攻击手法，对安全告警和日志没有任何分析经验……反正当时面对客户的时候，我挺替他尴尬的。

2）日志分析能力

日志分析也是必不可少的技能，特别是已经成功的攻击链，攻击手法复杂，往往不是靠单一安全设备的告警能解决的，需要联动多源日志对一起事件进行全方位的排查，防守人员必须具备从海量日志中梳理出攻击路径的能力。

3）应急响应能力

在防守队员中，一定要有能做应急响应的人员，一旦遇到突发事件可以做技术研判、溯源分析和技术处置。

曾经一次对抗项目中就遇到过这样的场景，前期征集了很多人参与防守，后来攻击队突破了边界，内网里到处告警，安排防守人员去做应急响应，结果没有人能做处置，一帮人盯着屏幕不知所措。

做好防守靠的不是堆人头，特别是应急响应，需要防守人员对攻防技术有较为深入的理解，在防守队伍中至少要储备一名具备此项能力的人，安全事件虽然不是天天都有，这个人平时不一定会有出场的机会，可是到了关键时候却能帮上大忙。

不过还是希望大家在演练过程中都平平安安的。

4）报告撰写能力

报告撰写很重要，安全工作做得好不好，全看报告写的怎么样，报告也是我们对指挥部高管们的重要输入。

有些演习活动还有编写技战法和各种总结报告的要求，为了能让防守队员专心进行对抗，最好能设置专人来承担报告撰写的工作。

很多防守单位会专门成立报告组专职负责演习期间的报告编写，经历过的都知道，写报告可不比防守轻松。

如果预算充足的话，很多安全公司的主防服务都会搭配报告编写的人员，演习期间可为防守单位分担很多报告任务。

除此之外，还有溯源反制能力、样本分析能力、情报渠道能力、漏洞研究能力等，个人觉得这些都属于高配能力，可以根据企业自身情况来进行人员能力配置。

一个人可以同时具备上述多种能力，基于上述的准备，基本可以确定演练期间需要多少人，需要什么样的人，然后再对比自身情况查缺补漏，快速组建战时防守队伍。

3、组织人力项目采购

完成人员盘点后，还要结合企业自身的情况补充外部人力资源，一般是向安全公司采购人力服务，这也是防守方常用的方式。

预算直接决定了防守人员的数量和质量，最终的防守队能否按照人员盘点的预期到位，主要就看预算的多少，有钱就能多组织些人，找些技能强的人，防守现场人声鼎沸，看上去风风火火的，很适合拍照写工作报告用。

我曾经就去过一个大型企业的防守现场，一个大报告厅作为防守指挥中心，长桌一个挨着一个，一屋子坐了上百人，也不知道这么多人甲方怎么组织的，反正我当时挺蒙，发现了问题也不知道怎么上报，更别说联动处置了。

说到这里，根据我自己经历过的值守项目，讲讲值守现场的一些情况，也请各位甲方爸爸们关注：

1）很多甲方都喜欢要能力强的人员来值守，但是能力强的人员，在演练这种特殊时期通常预约不到，就算能约到，这类人员在客户现场也会同时并行处理本公司其他项目的事情，精力不会100%放在客户侧；

2）如果运气不好遇到能力差的人员一般会有两个结果，一是什么也发现不了，二是遇到告警就高频上报，本质是缺少研判能力；

3）本着多一事不如少一事的本能，对于绝大多数告警不会深入分析，发现的事件不会升级处理，能简化就简化，至少我自己在值守的时候有过这种心理；

4）由于演练特殊时期的舆情传播很快，如果真的出现紧急事件，有的甲方为了控制消息传播范围，花重金请来的应急值守人员参与不到应急响应中，大部分工作还是甲方自己处理；

5）哪怕甲方被打穿了，对值守人员不会有什么影响，甲方找的是商务不是值守人员。

现场值守人员更多是被动接收任务，当然也有很多优秀的值守人员，也有很多落地成功的防守项目。这里并不是讲值守人员没有价值，而是希望防守单位在人力采购立项前要想清楚为什么要引入值守的人员，明确需求后做好人员的组织安排才能达到项目预期。

4、面试

演练前，安全服务市场会迎来短期大量的需求，就像双十一期间对快递人员的井喷需求一样。安全公司出于成本的考量，大部分情况不会招聘正式员工，解决人力问题一般有以下几个方式：

1）公司内部能用的人全用上，我曾经就见过负责供应链的、负责培训的都派到客户现场值守；

2）通过公司自有的渠道补充人力，卖盒子有渠道，其实安全服务也有渠道；

3）和学校合作，学生们有实习的机会，也能解决安全公司的用人需求；

4）招聘临时工，现在市面上针对演练场景甚至催生出很多这方面的人力外包公司，专门为安全公司提供短期的人员补充，演练前各种群里发的招聘信息有些就属于这种。

所以，最后到达客户现场的人员能力会参差不齐，大部分防守方都想要安全公司原厂人员支持，但是原厂有能力的人毕竟数量有限，对于安全公司来说，这样的人员通常会安排到给钱多的客户现场。我曾经支持过一个演练项目，由于项目金额比较大，现场安排了3名资深安全专家支持，属于顶配了。其实不只是演练，乙方大部分项目的资源投入原则都是这样的。

对于防守方来说，如果既想省钱，又想得到能力强的人员，面试是一个很好的方法。

有没有准入门槛，最后得到的结果会是天壤之别。为应对陡增的人员需求，很多安全公司为了快速弥补人员缺口，往往会降低对人员能力的要求，这就是为什么防守现场会出现边吃苕皮边盯监控的舞蹈专业学生了。

关于如何组织面试，提供一些小建议供参考：

1）根据人员盘点的结果，将我们所需的人员技能提前与供应商沟通，尽早协调资源；

2）如涉及多家供应商，最好协调时间集中面试，这样效率最高，根据面试者的数量安排好每人的面试时长；

3）提前收集简历了解不同人员的技能特长，针对性准备面试问题。另外简历做好留存，防止事中阶段出现人员“调包”的情况。

5、小结

人员筹备工作至少要完成以下事项：

1、人员盘点，要清楚知道我们还需要多少人

2、技能盘点，要清楚知道我们还需要哪些人

3、组织采购，要清楚知道为什么需要这些人

4、安排面试，要清楚知道他是不是我需要的人

如果这篇文章你只能记住一件事，那请记住：组建符合自己需求的防守队伍。

四、工作环境准备

1、申请小黑屋

演习过程中联动调查事件需要频繁沟通，如果能有个专用的小黑屋把防守队员集中到一起是最好的，可以大大提升工作效率，封闭的会议室、独立的办公室都可以。

由于期间要长时间征用小黑屋，因此需要提前寻址，不知道各位读者的单位申请专用小屋容不容易，我曾经就遇到过临时申请不到的情况，后来和相关负责人沟通后把屋子里的人赶了出来，我们才有了地方。所以办公场地一定要提前准备和沟通，工作地点解决不了，后面所有的工作都无法开展。

地点确定后，需要部署好现场的电力供应和网络权限，根据各班次值守的人数布置好工位，确保能正常办公。

有条件的，可以为小黑屋配备态势感知大屏和横幅，演习的氛围一下子就营造出来了，如果有领导来参观也有B格，现场拍照效果也好，可为后期的宣传积累一些素材。

如果还能准备点吃吃喝喝的就更好了，特别是值夜班的人员，很需要能量补给。

2、网络

根据组织方的要求，有些演习需要防守方有访问互联网的WiFi环境，如果在强管控的单位里不具备这样的条件，这里推荐使用4G路由方案，使用方便价格也便宜，手机卡插上去就可以共享热点网络，预算充足的话，还可以考虑使用5G路由。

如果单位有WiFi网络压制，还需要提前和运维部门沟通，做好WiFi白名单，待演习结束后再将白名单取消。

3、办公电脑准备

如果有外部值守人员驻场，办公电脑一定要提前根据人数做好申请，做好必要的网络配置，开通好相关的账号，安装好合规的应用软件，提前完成功能的调试，以保证演习开始时能快速进入状态，防止出现演习已经开始了还要匆忙准备办公环境的情况。

曾经做项目支持的时候遇到过这样的情况，人到了现场之后，办公电脑还要现申请，流程走完就一天了，坐着什么也干不了，好不容易办公电脑申请下来了，发现网络准入没配置，找人配置好后又发现各种安全监控平台没权限……等一切都准备完毕项目都快结束了，对人力资源是极大的浪费。

如果值守人员很多的话，这部分工作量还是挺大的，一定要提前准备，尽量考虑全面，能让现场的办公环境即来即用，无需再额外花精力调试。

4、数据安全管控

演习相关资料通常都很敏感，为了防止数据外传，办公电脑上要开启U盘管控和互联网访问管控。

可以通过桌面管理软件进行限制，所以在办公电脑配置的时候就要把桌面管理软件安装好，并下发好网络和U盘策略。

对于资料同步的需求，建议配备一个演习专用U盘，为U盘设置独立密码并由专人管理，严格限制U盘的使用范围。多人共用的话，可以打印一张表格，谁使用谁签字，可以防止U盘不知道被谁借走的情况。

另外别忘了给终端安装上杀毒软件，如果您的企业对办公电脑有其他基线要求，按照标准执行即可。

5、小结

本章聊的都是后勤类工作，做好了没人知道，但是做不好所有人都知道，所以还是要认真对待，其实想做好也并不容易的。

如果这篇文章你只能记住一件事的话，那请记住：提前做好即来即用的办公环境准备。

五、互联网风险收敛

1、互联网系统下线

系统下线是最直接有效的方法，也是防守方常用的手段，所以演习前会看到很多来自官方的业务下线通知，还有些主页能访问，但是点击任何功能都提示系统在维护。

遇到这种情况免不了要被攻击队嘲笑一番，打不过就下线，简单粗暴。殊不知对于防守方来说，下线互联网系统可没有想象中的那么简单。

攻防演练很重要，但也不能因为演练停业务，推动业务同意下线系统可不是一件容易的事情，必须拿出合理的理由，还要为业务方提供系统下线后不断业务的解决方案。

所以需要梳理清楚下线哪些系统、为什么要下线以及不断业务的方案，做好充足的准备才能去与相关部门进行沟通。

针对上面3个问题总结了一些思路，供参考：

下线系统筛选原则	下线理由	业务连续保障方案
历史上有过漏洞的互联网系统	系统可能存在其他安全隐患	关闭互联网访问权限，转为内网访问，如需要远程办公使用，可开通VPN访问权限
通用办公系统	历年演练0day漏洞频发，被攻击后不仅会影响整个企业信息系统安全，也会对业务造成影响	关闭互联网访问权限，转为内网访问，如需要远程办公使用，可开通VPN访问权限
测试互联网环境	测试区没有经过安全检查，暴露到互联网会有很高风险	关闭测试互联网区any权限，通过白名单机制点对点开放访问权限

不打无准备之仗，做好这些准备工作，可提高和业务方沟通的成功率。

如果系统成功下线后，在演习期间未影响正常业务，可以考虑作为后续的长效机制，不再开放到互联网。

2、关注移动端资产

移动相关系统也是我们的互联网入口，这些系统往往容易被忽略，主要包括APP、公众号、小程序，前期做好移动互联网系统资产清单梳理非常重要。

1、APP

关于APP的风险重点关注以下两点：

（1）老版本APP漏洞

APP和Web应用不一样，Web应用的漏洞通过更新版本可以直接进行修复，但是APP更新版本后，老版本依然可以获取，攻击队在对APP进行测试的时候，往往会在应用市场中寻找那些低版本的包进行测试，低版本的包中可能会包含更多风险，测试难度更低。

推荐在APP中增加升级提醒，引导用户更新版本，最好的方式直接禁用老版本APP，进行强制升级，不过这样会牺牲用户体验。另外对于老版本APP曾经发现过的漏洞再进行一次验证，防止还有能被利用的情况发生。

梳理各大应用市场里APP版本的情况，尝试与其沟通，关闭老版本APP的下载通道，通常需要提供软著、商标权、专利权、营业执照等材料，经平台方审核通过后可进行下架。

（2）安全加固策略有效性验证

很多企业的APP都有安全加固策略，经过加固的APP会大大提高攻击成本，是保护移动端非常有效的方法。特别是分秒必争的演习期间，攻击门槛的提高可以劝退很多攻击队。

在演习前，针对正在运行的APP做好加固策略检查，一是看APP有没有经过加固，二是看加固策略是否生效，如发现问题立即进行调整，可配合强制升级对问题进行修复。

2、公众号

第一步还是梳理我们都有哪些公众号，很多安全公司都有公众号资产发现服务，没有采购这方面服务的可以直接通过微信搜索功能进行搜索。完成梳理后，可逐个关注公众号进行查看，筛选对外提供业务功能的公众号，后续可组织专项的渗透测试。对于没有重要业务功能的公众号，可考虑做下线处理。

3、小程序

关于小程序是最容易被忽略的，除了我们常用的微信小程序外，不要忽略支付宝和办公软件（如企微、钉钉）中集成的小程序。

曾经在一次演习前的准备工作中，我们的蓝军人员就发现了一些办公软件中小程序是直接面向互联网开放的，随即组织了专项渗透测试工作，发现了一些安全漏洞，在正式演习前及时完成了封堵。在此之前，这些小程序一直是我们渗透测试的盲区。

3、DMZ区系统的专项治理

互联网系统一般都部署在DMZ区域里，所以针对DMZ区应用系统的专项安全检查就非常重要，平时做增量检测的工作任务，都可以借演习的机会进行一次存量检测。

1、安全基线检查

对系统配置、应用配置进行全量检查，防止在应用上线后出现配置变更的情况，可借助基线检查工具进行批量扫描。

2、漏洞扫描

梳理DMZ区ip清单，组织开展主机漏洞和网站漏洞扫描工作。主机漏洞扫描一般不会对系统产生太大影响，网站漏洞扫描对业务具有一定的入侵性，可以在对应的测试环境中开展。

3、源代码审计

在代码仓库中找到对应的应用系统源码，开展源代码安全审计工作，检查代码层面的安全问题，查缺补漏。

4、三方组件扫描

在制品仓库中找到对应系统的制品，扫描三方组件的使用情况，针对版本过低的组件版本推动升级工作。

4、互联网信息泄露检查

在Github、Gitee、各类文库网站上搜索企业的敏感信息是攻击队常用的手段，攻击队通过信息收集可以方便的获取账户密码、系统架构、邮箱等辅助攻击的敏感信息。

关于源代码泄露的检查，可以直接通过Github和Gitee自带的搜索功能查找与企业相关的泄露问题，关于文档等资料泄露的检查，可通过凌风云、盘搜搜、搜Baidu盘、6miu盘搜等网站进行搜索。

对于查找到的敏感信息，可根据内容判断归属于哪个系统、哪个部门，联系相关人员调查上传账号的所有者，定位到具体人员后联系做删除操作。如果敏感信息中有涉及到账号密码的，还要同步做好密码修改的工作。

一些安全公司可以提供相关的扫描服务，还可以协助下线处置，预算充沛的话可以考虑采购服务。

5、渗透测试

很多企业都会开展渗透测试，演习前组织一轮，既可以完成渗透的KPI，又可以在演习前进一步发现安全漏洞，收敛风险。

大部分安全公司都能提供渗透测试服务，提前与安全公司协调资源，甚至可以将重保前提供渗透测试服务写入合同，让供应商了解需求，如果战前临时拉人的话很有可能遇到没人支持的情况。

有蓝军的企业还可以组织自查，借助了解自身业务系统的优势，往往能发现一些外部安全公司发现不了的问题，多管齐下，尽可能将互联网上暴露的安全漏洞发掘全面。

6、红蓝对抗

完成了以上一系列风险收敛工作后，是骡子是马该拉出来溜溜了。

企业内部自发组织一次红蓝对抗，模拟真实的攻防演习，来检验前期工作的成果，进一步发现薄弱点，还可以锻炼队伍，找到临战状态。

建议组织攻击队伍来现场进行实施，一方面便于人员管理，防控因对抗导致的各类风险，另一方面有助于发现近源风险。

红蓝结束后，千万不要忘记做攻击痕迹清理，可结合安全监控和攻击报告梳理待清理的后门清单，做好清除工作，防止被不怀好意之人恶意利用。

7、小结

互联网风险收敛可从暴露面、代码安全、信息泄露、漏洞发现4个维度开展工作，目标是尽可能发现问题解决问题，以上仅供抛砖引玉，防守单位可根据自身的情况，制定符合自己的风险收敛工作方案。

如果这篇文章你只能记住一件事的话，那请记住：收敛互联网暴露面，尽可能发现安全风险并将其清零。