红队常用的防守策略.

红队常用的防守策略

由于攻防两端的不对称性，防守方的防守认知普遍落后于攻击队 的攻击方法。当前攻击队普遍已经正规化、规模化、流程化、武器 化，0day漏洞储备、安全监控绕过、内存马、日志污染等隐蔽攻击手 段也已经相当成熟。防守方需根据攻击者的思路、想法、打法，结合 各单位实际网络环境、运营管理情况，建立全方位的纵深安全监控、 防护体系，才能在攻防过程中从被动防御转变为溯源反制。本章将要 讲述的内容为奇安信防守经验和技术总结，在具体环节各个单位需要 结合自身的实际管理、运营、网络及业务情况调整，或者增加其他技 术处置环节。

“知己知彼，百战不殆。”政企安全部门只有经历多次实战攻防 的洗礼，在实战中不断加深对攻击队的攻击手段的理解，才能及时发 现自身安全防护能力的缺失。防护手段应随着攻击手段的变化和升级 而进行相应的改变和提升，这将是未来的主流防护思想。

攻击队一般会在前期搜集情报，寻找突破口，建立突破据点；在 中期横向拓展打内网，尽可能多地控制服务器或直接打击目标系统； 在后期删日志，清工具，写后门，建立持久控制权限。针对攻击队的 常用套路，红队常用的应对策略可总结为收缩战线、纵深防御、守护 核心、协同作战、主动防御、应急处突和溯源反制等。

信息清理：互联网敏感信息

攻击队会采用社工、工具等多种技术手段，搜集目标单位可能暴 露在互联网上的敏感信息，为后期攻击做好充分的准备。而防守队除 了定期对全员进行安全意识培训，严禁将带有敏感信息的文件上传至 公共信息平台外，还可以通过定期搜集泄露的敏感信息，及时发现已 经在互联网上暴露的本单位敏感信息并进行清理，以降低本单位敏感 信息暴露的风险，同时增加攻击队搜集敏感信息的时间成本，提高其 后续攻击的难度。

收缩战线：收敛互联网暴露面

攻击队会通过各种渠道搜集目标单位的各种信息，搜集的情报越 详细，攻击就会越隐蔽，越快速。此外，攻击队往往不会正面攻击防 护较好的系统，而是找一些可能连防守队自己都不知道的薄弱环节下 手。这就要求防守队充分了解自己暴露在互联网上的系统、端口、后 台管理系统、与外单位互联的网络路径等信息。哪方面考虑不到位， 哪方面往往就会成为被攻陷的点。互联网暴露面越多，防守队越容易 被攻击队声东击西，最终顾此失彼，眼看着被攻击却无能为力。结合 多年的防守经验，我们建议从如下几方面收敛互联网暴露面。

攻击路径梳理

知晓攻击队有可能从哪些地方发起攻击，对防守队部署防守力量 起关键作用。政企机构的网络不断变化，系统不断增加，往往会产生 新的网络边界。防守队一定要定期梳理自己的网络边界、可能被攻击 的路径，尽可能梳理并绘制出每个业务系统，包括对互联网开放的系 统、内部访问系统（含测试系统）的网络访问路径。内部系统全国联 网的单位尤其要注重此项梳理工作。

互联网攻击入口收敛

一些系统维护者为了方便，往往会把维护的后台、测试系统和高 危端口私自开放在互联网上，而这在方便维护的同时也方便了攻击 队。攻击队最喜欢攻击的Web服务就是网站后台以及安全状况较差的测 试系统。红队可通过开展互联网资产发现服务工作，发现并梳理本单 位开放在互联网上的管理后台、测试系统、无人维护的僵尸系统（含 域名）、拟下线未下线的系统、高危服务端口、疏漏的未纳入防护范 围的互联网开放系统以及其他重要资产信息（中间件、数据库等）， 及时整改，从而不断减小互联网侧的攻击入口。

外部接入网络梳理

如果正面攻击不成，攻击队往往会选择攻击供应商、下级单位、 业务合作单位等与目标单位有业务连接的其他单位，通过这些单位直 接绕到目标系统内网。防守队应对这些外部的接入网络进行梳理，尤其是未经过安全防护设备就直接连进来的单位，应先连接安全防护设 备，再接入内网。防守队还应建立起本单位内部网络与其他单位进行 对接的联络沟通机制，这样发现从其他单位过来的网络行为异常时， 能及时反馈到其他单位，与其协同排查，尽快查明原因，以便后续协 同处置。

隐蔽入口梳理

API、VPN、Wi-Fi这些入口因容易被安全人员忽略而成为攻击队最 喜欢的突破口，一旦被突破，攻击队就会畅通无阻。安全人员一定要 梳理Web服务的隐藏API、不用的VPN、Wi-Fi账号等，以便于重点防 守。

纵深防御：立体防渗透

收缩战线工作完成后，针对实战攻击，防守队应对自身安全状态 开展全面体检，此时可结合战争中的纵深防御理论来审视当前网络的 安全防护能力。互联网端防护、内外部访问控制（安全域间甚至每台 机器之间）、主机层防护、供应链安全甚至物理层近源攻击的防护， 都需要考虑进去。通过层层防护，尽量拖慢攻击队扩大战果的节奏， 将损失降至最小。

资产动态梳理

清晰的信息资产是防守工作的基石，对整个防守工作的顺利开展 起决定作用。防守队应该通过开展资产梳理工作，形成信息资产列 表，至少包括单位环境中的所有业务系统、框架结构、IP地址（公 网、内网）、数据库、应用组件、网络设备、安全设备、归属信息、 业务系统接口调用信息等，同时结合收缩战线工作的成果，最终形成 准确清晰的资产列表。此外，防守队还应定期动态梳理，不断更新， 确保资产信息的准确性，为正式防守工作奠定基础。

互联网端防护

互联网作为防护单位最外层的接口，是重点防护区域。互联网端 的防护工作可从网络安全防护设备部署和攻击检测两方面开展。需要 部署的网络安全防护设备包括下一代防火墙、防病毒网关、全流量分 析设备、防垃圾邮件网关、WAF、IPS等。攻击检测方面，如果有条 件，可以事先对互联网系统进行一次完整的渗透测试，检测其安全状 况，查找其存在的漏洞。

访问控制策略梳理

访问控制策略的严格与否对防守工作至关重要。从实战情况来 看，严格的访问控制策略都能对攻击队产生极大的阻碍。防守队应通 过访问控制策略梳理工作，重新厘清不同安全域，包括互联网边界、 业务系统（含主机）之间、办公环境、运维环境、集权系统的访问、 内部与外部单位对接访问、无线网络策略等的访问策略。

防守队应依照“最小原则”，只对必须使用的用户开放访问权 限。按此原则梳理访问控制策略，防止出现私自开放服务或者内部全 通的情况。这样，无论是对于阻止攻击队撕破边界打点，还是对于增 加攻击队进入内部后开展横向渗透的难度，都是非常简单有效的手 段。通过严格的访问控制策略尽可能为攻击队制造障碍。

主机加固防护

攻击队在从突破点进入内网后，首先做的就是攻击同网段主机。 主机防护强弱决定了攻击队内网攻击成果的大小。防守队应从以下几 方面对主机进行防护：对主机进行漏洞扫描，基线加固；仅安装必要 的软件，关闭不必要的服务；杜绝主机弱口令，结合堡垒机开启双因 子认证登录；高危漏洞必须打补丁（包括安装在系统上的软件高危漏 洞）；开启日志审计功能。部署主机防护软件对服务进程、重要文件 等进行监控，如果条件允许，还可以开启防护软件的“软蜜罐”功 能，进行攻击行为诱捕。

供应链安全
攻击队擅长对各行业中广泛使用的软件、框架和设备进行研究， 发现其中的安全漏洞，以便在攻防对抗中有的放矢，突破防守队的网 络边界，甚至拿下目标系统权限。

政企机构在安全运营工作中，应重视与供应链厂商建立安全应对 机制，要求供应链厂商建立起自身网络环境（如搭建带有参演单位业 务的测试环境，还对互联网开放）和产品（包括源码、管理工具、技 术文档、漏洞补丁等）的安全保障机制，一旦暴露出安全问题，及时 提供修复方案或处置措施。

同时，供应链厂商也应建立内部情报渠道，提高产品的安全性， 为政企机构提供更可靠、更安全的产品和服务。

守护核心：找到关键点

正式防守工作中，应根据系统的重要性划分出防守工作重点，找 到关键点，集中力量进行防守。根据实战攻防经验，核心关键点一般 包括靶标系统、集权系统、重要业务系统等。在防守前应再次对这些 重点系统进行梳理和整改，梳理得越细越好。必要时对这些系统进行 单独评估，充分检验重点核心系统的安全性。同时，应对重点系统的 流量、日志进行实时监控和分析。

（1）靶标系统

靶标系统是实战中攻防双方关注的焦点，靶标系统失陷，则意味 着防守队的出局。防守队在靶标系统的选择与防护上应更具有针对 性。首先，靶标系统应经过多次安全测试，自身安全有保障；其次， 应梳理清与靶标系统互通的网络，重新进行访问控制策略梳理，按照 “最小原则”开放访问权限；最后，靶标系统应部署在内部网络中， 尽可能避免直接对互联网开放。条件允许的情况下，还可以为靶标系 统主机部署安全防护软件，对靶标系统主机进行进程白名单限制，在 防守中，可实时监测靶标系统的安全状态。

（2）集权系统

集权系统一般包括单位自建的云管理平台、核心网络设备、堡垒 机、SOC平台、VPN等，它们是攻击队最喜欢攻击的内部系统。一旦集 权系统被拿下，则集权系统所控制的主机可同样视为已被拿下，因此 拿下集权系统的杀伤力巨大。

集权系统是内部防护的重中之重。防守队一般可从以下几方面做 好防护：集权系统的主机安全、集权系统已知漏洞加固或打补丁、集 权系统的弱口令、集权系统访问控制、集权系统配置安全以及集权系 统安全测试等。

（3）重要业务系统

重要业务系统如果被攻击队攻破，也会作为攻击队的一项重要的 攻击成果，因此，防守队也应对重要业务系统重点防护。针对此类系 统，除了常规的安全测试、软件和系统补丁升级及安全基线加固外， 还应加强监测，并对其业务数据进行重点防护。可通过部署数据库审 计系统、DLP系统加强对数据的安全保护。

协同作战：体系化支撑

大规模有组织的攻击，其攻击手段会不断变化升级，防守队在现 场人员无法应对攻击的情况下，应借助后端技术资源，相互配合，协 同作战，建立体系化支撑，只有这样，才能有效应对防守工作中面临 的各种挑战。

（1）产品应急支撑

产品的安全、正常运行是防守工作顺利开展的前提。但在实战中 不可避免地会出现产品故障、产品漏洞等问题，影响到防守工作。因 此防守队需要会同各类产品的原厂商或供应商，建立起产品应急支撑 机制，在产品出现故障、安全问题时，能够快速得到响应和解决。

（2）安全事件应急支撑

安全事件的应急处置一般会涉及政企机构中多个部门的人员，防 守队在组建安全事件应急团队时，应充分考虑要纳入哪些人员。在实 战中需要对发生的安全事件进行应急处置时，如果应急团队因技术能 力不足等问题而无法完成对安全事件的处置，可考虑寻求其他技术支 撑单位的帮助，来弥补本单位应急处置能力的不足。

（3）情报支撑

随着攻防演练不断向行业化、地区化发展，攻击手段的日益丰 富，0day漏洞、Nday漏洞、钓鱼、社工、近源攻击的频繁使用以及攻 击队信息搜集能力的大大提高，攻击队已发展出集团军作战模式。

所以，在实战阶段，仅凭一个单位的防守力量可能难以有效应对 攻击队的狂轰滥炸。各个单位的防守队伍须建立有效的安全情报网， 通过民间、同行业、厂商、国家、国际漏洞库收集情报，形成情报甄 别、情报利用机制，从而高效地抵御攻击队攻击。攻防演练对抗的本 质就是信息战，谁掌握的情报更多、更准确，谁就能立于不败之地。

（4）样本数据分析支撑

现场防守人员在监测中发现可疑、异常文件时，可将可疑、异常 文件提交至后端样本数据分析团队，并根据样本分析结果判断攻击入 侵程度，及时开展应对处置工作。

（5）追踪溯源支撑

当现场防守人员发现攻击队的入侵痕迹，需要对攻击队的行为、 目的、身份等开展溯源工作时，可寻求追踪溯源团队的帮助，凭借其 技术力量分析出攻击队的攻击行为、攻击目的乃至身份。必要时，还 可以一起对攻击队开展反制工作，将防守成果最大化。

主动防御：全方位监控

近两年的红蓝对抗中，攻击队的手段越来越隐蔽，越来越单刀直 入，通过0day、Nday直指系统漏洞，直接获得系统控制权限。

红队需要掌握完整的系统隔离手段，因为蓝队成功攻击到内网之 后，会对内网进行横向渗透，这时系统之间的隔离显得尤为重要。红 队必须清楚哪些系统之间有关联，访问控制策略是什么。在发生攻击 事件后，应当立即评估受害系统范围和关联的其他系统，并及时做出 应对的访问控制策略，以防止内部持续的横向渗透。

任何攻击都会留下痕迹。攻击队会尽量隐藏痕迹，防止被发现； 而防守者与之相对，需要尽早发现攻击痕迹，并通过分析攻击痕迹调 整防守策略、溯源攻击路径，甚至对可疑攻击源进行反制。建立全方 位的安全监控体系是防守队最有力的武器。总结多年实战经验，我们 认为有效的安全监控体系应包含如下几方面内容。

（1）自动化的IP封禁

在整个红蓝对抗的过程中，如果红队成员7×24小时不间断地从安 全设备的告警中识别风险，将极大消耗监测人员和处置人员的精力。 通过部署态势感知系统与安全设备联动规则，收取全网安全设备的告 警信息，在态势感知系统收到安全告警信息后，根据预设规则自动下 达边界封禁策略，使封禁设备能够做出及时有效的阻断和拦截，从而 大大降低人工的参与度，提高红队的防守效率。

（2）全流量网络监控

任何攻击都要通过网络，并且会产生网络流量。攻击数据和正常 数据肯定是不同的，通过监控全网络流量以捕获攻击行为是目前最有 效的安全监控方式。红队通过全流量安全监控设备，结合安全人员的 分析，可快速发现攻击行为，并做出针对性防守动作。

（3）主机监控

任何攻击的最终目标都是获取主机（服务器或终端）权限。通过 部署合理的主机安全软件，审计命令执行过程，监控文件创建进程， 及时发现恶意代码或Webshell，并结合网络全流量监控措施，可以更 清晰、准确、快速地找到被攻击的真实目标主机。

（4）日志监控

对系统和软件的日志监控同样必不可少。日志监控是帮助防守队 分析攻击路径的一种有效手段。攻击队攻击成功后，打扫战场的首要 任务就是删除日志或者切断主机日志的外发，以防止防守队追踪。防

守队应建立一套独立的日志分析和存储机制，对于重要目标系统可派 专人对目标系统日志和中间件日志进行恶意行为的监控与分析。

（5）蜜罐诱捕

随着红蓝对抗的持续发展，蜜罐技术逐渐成为红队改变被动挨打 局面的一把利剑。蜜罐技术的特点是：诱导攻击队攻击伪装目标，持 续消耗攻击队资源，保护真实资产；监控期间对所有的攻击行为进行 分析，可意外捕获0day信息。

目前，蜜罐技术可分为3种：自制蜜罐、高交互蜜罐和低交互蜜 罐。此外，还可以诱导攻击队下载远控程序，定位攻击队自然人身 份，提升主动防御能力，将对抗工作由被动变主动。

（6）情报工作支撑

现场防守队员在防守中需要从两方面用好情报：一是要善于利用 情报搜集工作提供的各种情报成果，根据情报内容及时对现有环境进 行筛查和处置；二是就已获取的情报请求后端资源进行分析和辨别， 以方便采取应对措施。

应急处突：完备的方案

从近几年的红蓝对抗发展来看，红蓝对抗初期，蓝队成员通过普 通攻击方式，不使用0day或其他攻击方式，就能轻松突破红队的防守 阵地。但是，随着时间的推移，红队防护体系早已从只有防火墙做访 问控制，发展到包含WAF、IPS、IDS、EDR等多种防护设备。这些防护 设备使得蓝队难以突破，逼迫蓝队成员通过0day、Nday、现场社工、 钓鱼等多种方式入侵红队目标，其攻击呈现出无法预估的特点。

应急处突是近两年红蓝对抗的发展趋势，也是体现红队防守水平 的地方；不仅考验应急处置人员的技术能力，更检验多部门（单位） 协同能力。制订应急预案应当从以下几方面进行。

1）完善各级组织结构，如监测组、研判组、应急处置组（网络小 组、系统运维小组、应用开发小组、数据库小组）、协调组等。

2）明确各方人员在各个组内担任的职责，如监测组的监测人员负 责某台设备的监测，并且7×12小时不得离岗等。

3）明确各方设备的能力与作用，如防护类设备、流量类设备、主 机检测类设备等。

4）制定可能出现的攻击成功场景，如Web攻击成功场景、反序列 化攻击成功场景、Webshell上传成功场景等。

5）明确突发事件的处置流程，将攻击场景规划至不同的处置流 程，如上机查证类处置流程、非上机查证类处置流程等。

溯源反制：人才是关键

溯源工作一直是安全的重要组成部分，无论在平常的运维工作中 还是在红蓝对抗的特殊时期，在发生安全事件后，能有效防止被再次 入侵的手段就是溯源工作。

在红蓝对抗的特殊时期，防守队中一定要有经验丰富、思路清晰 的溯源人员，能够第一时间进行应急响应，按照应急预案分工，快速 理清入侵过程，并及时调整防护策略，防止被再次入侵；同时也为反 制人员提供溯源到的真实IP，进行反制工作。

反制工作是红队反渗透能力的体现。普通防守队员一般只具备监 测、分析、研判的能力，缺乏反渗透的实力。这将使防守队一直属于 被动的一方，因为防守队既没有可反制的固定目标，也很难从成千上 万的攻击IP里确定攻击队的地址。这就要求防守队中有经验丰富的反 渗透人员。

经验丰富的反渗透人员会通过告警日志分析攻击IP、攻击手法等 内容，对攻击IP进行端口扫描、IP反查域名、威胁情报等信息收集类 工作，并通过收集到的信息进行反渗透。

红队还可以通过效仿蓝队的社工手段，诱导蓝队进入诱捕陷阱， 从而达到反制的目的——定位蓝队自然人身份信息。

参考资料

红蓝攻防构建实战化网络安全防御体系
青藤云安全 2022攻防演练蓝队防守指南