2023年护网蓝队初级面试总结

00.护网面试步骤是什么样的

投递简历-安全服务公司HR先筛选一下简历，交给技术负责人面试一下，推荐给安全厂商（360、奇安信、安恒、绿盟）

安全设备厂商HR筛选一下简历，安全设备厂商安排技术笔试和面试（技术负责人和项目负责人筛选和面试）。

面试通过，安全设备厂商安排项目地是甲方公司（如某银行，某证券公司等），甲方客户也有可能需要面试一下技术。

01.护网岗位分类

护网面试岗位监控岗、研判岗、应急和溯源岗位等。分为初级、中级、高级岗位。

根据甲方需求，分为 3 组：监测组、处置组、应急保障和溯源反制组。

①监测组主要监测设备，监控判断不出来告警，交给研判，若确认未成功的真实攻击，提交ip和告警截图给处置组封禁ip，若需要应急，需提交给处置单给应急人员；

②处置组，封禁ip以及甲方自有人员自有设备处置；

③应急保障和溯源反制组，应急拿到处置单，先和处置组建群沟通，根据处置单，提出处置建议，让处置组操作或者客户授权后操作；溯源根据提供的攻击ip和钓鱼邮件进行溯源和反制。
 

1.设备误报如何处理？ 

来自外网的误报说明安全设备需要进行策略升级，不需要处置。

如果是来自内网的误报可以和负责人协商一下看能不能解决，有必要的话添加白名单处理。

2.如何区分扫描流量和手工流量？

1.扫描流量数据量大，请求流量有规律可循且频率较高，手工流量请求少，间隔略长

2.使用工具扫描的流量一般在数据包中有相关特征信息，比如说通过wireshark网络封包分析工具对流量进行一个具体的排查分析，比如通过http  contains  "xxx"来查找数据包中的关键字。

比如常用的漏洞扫描工具AWVS，Nessus以及APPscan在请求的URL，Headers, Body三项里随机包含了能代表自己的特征信息。

3.网站被上传webshell如何处理？

1.首先关闭网站，下线服务。有必要的话将服务器断网隔离。

2.手工结合工具进行检测。

• 工具方面比如使用D盾webshellkill，河马webshell查杀，百度在线webshell查杀等工具对网站目录进行排查查杀，如果是在护网期间可以将样本备份再进行查杀。
• 手工方面对比未上传webshell前的备份文件，从文件甚至代码层面进行对比，检查有无后门程序或者其他异常文件，实在不行就直接用备份文件替换了。

3.加强安全策略，比如定期备份网站配置文件，及时安装服务器补丁，定期更新组件以及安全防护软件，定期修改密码等等措施。

4.给你一个比较大的日志，应该如何分析？

• 攻击规则匹配通过正则匹配日志中的攻击请求
• 统计方法，统计请求出现次数，次数少于同类请求平均次数则为异常请求
• 白名单模式，为正常请求建立白名单，不在名单范围内则为异常请求
• HMM 模型，类似于白名单，不同点在于可对正常请求自动化建立模型，从而通过正常模型找出不匹配者则为异常请求
• 使用日志分析工具，如LogForensics，Graylog，Nagios，ELK Stack等等

5.常见OA系统？

PHP：通达OA、泛微 Eoffice

Java：泛微OA/云桥、致远OA、蓝凌OA、用友OA

ASP：启莱OA

6.了解安全设备吗？

入侵防御系统IPS

• 是计算机网络安全设施，是对防病毒软件和防火墙的补充。入侵预防系统是一部能够监视网络或网络设备的网络数据传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络数据传输行为。

入侵检测系统IDS

• 积极主动的防护措施，按照一定的安全策略，通过软件，硬件对网络，系统的运行进行实时的监控，尽可能地发现网络攻击行为，积极主动的处理攻击，保证网络资源的机密性，完整性和可用性。

防火墙

• 防火墙是位于两个(或多个)网络间，实行网络间访问或控制的一组组件集合之硬件或软件。隔离网络，制定出不同区域之间的访问控制策略来控制不同信任程度区域间传送的数据流。

数据库审计系统

• 是对数据库访问行为进行监管的系统，通过镜像或者探针的方式采集所有数据库的访问流量，并基于SQL语法，语义的解析技术，记录下对数据库所有访问和操作行为，例如访问数据的用户IP，账号，时间等等，对数据进行操作的行为等等。

日志审计系统

•  日志审计系统能够通过主被动结合的手段，实时且不间断的采集用户网络中不同厂商的安全设备，网络设备，主机，操作系统以及各种应用系统产生的海量日志信息，并将这些信息汇集到审计中心，进行集中化存储，备份，查询，审计，告警，响应，并出具丰富的报表报告，获悉全网的整体安全运行态势，同时满足等保关于安全管理中心的日志保存时间大于6个月的要求。

堡垒机

• 是针对内部运维人员的运维安全审计系统。主要功能是对运维人员的运维操作进行审计和权限控制(比如要登录某些平台或者系统只能通过堡垒机才可以，不用堡垒机是无法访问的)。同时堡垒机还有账号集中管理，单点登录(在堡垒机上登录即可实现对多个其他平台的无密登录)等功能。

漏洞扫描系统

• 漏洞扫描工具或者设备是基于漏洞数据库，通过扫描等手段对指定的远程或本地计算机系统的安全脆弱性进行检测，发现可利用漏洞的一种安全检测系统(我们常用的针对WEB站点进行扫描的工具和此处漏洞扫描系统不是一个概念)。

数据安全态势感知平台

• 以大数据平台为基础，通过收集多元，异构的海量日志，利用关联分析，机器学习，威胁情报，可视化等技术，帮助用户持续监测网络安全态势，实现从被动防御向积极防御的进阶。

终端安全管理系统

• 是集防病毒，终端安全管控，终端准入，终端审计，外设管控，EDR等功能于一体，兼容不同操作系统和计算机平台，帮助客户实现平台一体化，功能一体化，数据一体化的终端安全立体防护。

WAF

• WAF是以网站或应用系统为核心的安全产品，通过对HTTP或HTTPS的Web攻击行为进行分析并拦截，有效的降低网站安全风险。产品主要部署在网站服务器的前方。通过特征提取和分块检索技术进行模式匹配来达到过滤，分析，校验网络请求包的目的，在保证正常网络应用功能的同时，隔绝或者阻断无效或者非法的攻击请求。

蜜罐

• 蜜罐是一种安全威胁的主动防御技术，它通过模拟一个或多个易受攻击的主机或服务来吸引攻击者，捕获攻击流量与样本，发现网络威胁，提取威胁特征，蜜罐的价值在于被探测，攻陷。

7.了解过系统加固吗？

账户安全

• windows
• 比如设置登录时不显示上次登录的用户名，防止弱口令爆破。
• 设置账户锁定策略，比如说登录行为限制次数，达到次数后锁定多长时间。
• linux
• 禁用root之外的超级用户   使用password  -l   <用户名>命令来锁定用户   -u解锁
• 限制普通用户使用sudo提权，或者说限制提权的权限大小
• 锁定系统中多余的自建账号
• 设置账户锁定登录失败锁定次数，锁定时间   faillog   -u   <用户名>命令来解锁用户

口令安全

• windows
• 设置密码必须符合复杂性要求，比如设置时数字，大写字母，小写字母，特殊字符都要具备
• 设置最小密码长度不能为0，设置不能使用历史密码
• linux
• 检查shadow中空口令账号，修改口令复杂度，设置密码有效期vim  /etc/login.def命令</