前言
蓝队,是指网络实战攻防演习中的防守一方。
蓝队一般是以参演单位现有的网络安全防护体系为基础,在实战攻防演习期间组建的防守队伍。蓝队的主要工作包括演习前安全检查、整改与加固,演习期间进行网络安全监测、预警、分析、验证、处置,后期复盘总结现有防护工作中的不足之处,为后续常态化的网络安全防护措施提供优化依据等。
实战攻防演习时,蓝队通常会在日常安全运维工作的基础上,以实战思维进一步加强安全防护措施,包括提升管理组织规格、扩大威胁监控范围、完善监测与防护手段、增加安全分析频率、提高应急响应速度、增强溯源反制能力、建立情报收集利用机制等,提升整体防守能力。
需要特别说明的是:蓝队并不仅仅由实战演习中目标系统运营单位一家独立承担,而是由目标系统运营单位、攻防专家、安全厂商、软件开发商、网络运维队伍、云提供商等多方组成的防守队伍。组成
蓝队的各个团队在演习中的角色与分工情况如下。
目标系统运营单位:负责蓝队整体的指挥、组织和协调。
安全运营团队:负责整体防护和攻击监控工作。
攻防专家:负责对安全监控中发现的可疑攻击进行分析研判,指导安全运营团队、软件开发商等相关部门进行漏洞整改等一系列工作。
安全厂商:负责对自身产品的可用性、可靠性和防护监控策略是否合理进行调整。
软件开发商:负责对自身系统安全加固、监控和配合攻防专家对发现的安全问题进行整改。
网络运维队伍:负责配合安全专家对网络架构安全、出口整体优化、网络监控、溯源等工作。
云提供商(如有):负责对自身云系统安全加固,以及对云上系统的安全性进行监控,同时协助攻防专家对发现的问题进行整改。
其他:某些情况下还会有其他组成人员,需要根据实际情况具体分配工作。
特别强调,作为蓝队,了解对手(红队)的情况非常重要,正所谓知彼才能知己,从攻击者角度出发,了解攻击者的思路与打法,了解攻击者思维,并结合本单位实际网络环境、运营管理情况,制定相应的技术防御和响应机制,才能在防守过程中争取到更多的主动权。
第二章 蓝队演变趋势
2016年和2017年,由于监管单位的推动,部分单位开始逐步参与监管单位组织的实战攻防演习,这个阶段各单位主要是作为防守方参加演习。到了2018年和2019年,实战攻防演习不论是从单场演习的参演单位数量、攻击队伍数量,还是攻守双方的技术能力等方面都迅速增强。实战攻防演习已经成为公认的检验各单位网络安全建设水平和安全防护能力的重要手段,各单位也从以往单纯的参与监管单位组织的演习,逐渐演变成自行组织内部演习或联合组织行业演习。
进入2020年,随着实战攻防演习中真刀实枪的不断对抗和磨砺,攻守双方在相互较量中都取得了快速发展和进步,迫于攻击队技战法迅速发展带来的压力,防守方也发生了很大的变化。
1) 防守重心扩大
2020年之前的实战攻防演习,主要是以攻陷靶标系统为目标,达到发现防守队安全建设和防守短板,提升各单位安全意识的目的。攻击队的主要得分是拿下靶标系统和路径中的关键集权系统、服务器等权限,非靶标系统得分很少。因此,防守队的防守重心往往会聚焦到靶标系统及相关路径资产上。
对于大部分参加过实战攻防演习的单位来说,对于自身的安全问题和短板已经有了充分认识,也都开展了安全建设整改工作。对于这些单位,急需的是通过实战攻防演习检验更多重要系统的安全性,发现更全面的安全风险。因此,2020年开始,不论是监管单位还是单位自身,在组织攻防演习时,都会逐渐降低演习中靶标系统的权重,鼓励攻击更多的单位、系统,发现更多的问题和风险。同样,防守队的防守重心也就从靶标系统为主,扩大到所有重要业务系统、所有重要设备和资产、所有的相关上下级单位。
2) 持续加强监测防护手段
随着近几年攻防技术的快速发展,实战攻防演习中各种攻击手段层出不穷、花样百出,各单位在演习中切实感受到了攻击队带来的严重威胁以及防守的巨大压力,防守队的监测和防护体系面临巨大挑战。防守队对于在攻防对抗中确实能够发挥重大作用的安全产品趋之若鹜,投入大量资金来采购和部署。
2018-2019年,除了传统产品外,全流量威胁监测类产品在攻防对抗中证明了自己,获得了各单位的青睐,到了2020年,主机威胁检测、蜜罐以及威胁情报等产品服务迅速成熟并在演习中证明了对主流攻击的监测和防护能力,防守队开始大规模的部署使用。除此之外,钓鱼攻击、供应链攻击等还没有有效的防护产品,不过随着在实战中快速打磨,相应产品也会迅速成熟和广泛使用。
3) 被动防守到正面对抗
—END—
题外话
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
————————————————
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
侵权,请联系删除。
扫一扫
144
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
