蓝队应对攻击的常用策略三

五、 主动防御：全方位监控
近两年的红蓝对抗，攻击队的手段越来越隐蔽，越来越单刀直入，通过0Day、NDay直取系统漏洞，直接获得系统控制权限。
蓝队需拥有完整的系统隔离手段，红队成功攻击到内网之后，会对内网进行横向渗透。所以系统与系统之间的隔离，就显得尤为重要！蓝队必须清楚哪些系统之间有关联、访问控制措施是什么！在发生攻击事件后，应当立即评估受害系统范围和关联的其他系统，并及时做出应对的访问控制策略，防止内部持续的横向渗透。
任何攻击都会留下痕迹。攻击队尽量隐蔽痕迹、防止被发现。而防守者恰好相反，需要尽早发现攻击痕迹，并通过分析攻击痕迹，调整防守策略、溯源攻击路径甚至对可疑攻击源进行反制。建立全方位的安全监控体系是防守者最有力的武器，总结多年实战经验，有效的安全监控体系需在如下几方面开展。
1） 自动化的IP封禁
在整个红蓝对抗过程中，如果蓝队成员7X24小时不间断从安全设备的高警中识别风险，将极大地消耗监测人员、处置人员的精力。通过部署态势感知与安全设备联动，收取全网安全设备的告警信息，当态势感知系统收到安全告警信息后，根据预设规则自动下发边界封禁策略，使封禁设备能够做出及时有效的阻断和拦截，大大降低了人工的参与程度，提高整个蓝队的防守效率。
2） 全流量网络监控
任何攻击都要通过网络，并产生网络流量。攻击数据和正常数据肯定是不同的，通过全网络流量去捕获攻击行为是目前最有效的安全监控方式。蓝队或防守者通过全流量安全监控设备，结合安全人员的分析，可快速发现攻击行为，并提前做出针对性防守动作。
3） 主机监控
任何攻击最终目标是获取主机（服务器或终端）权限。通过部署合理的主机安全软件，审计命令执行过程、监控文件创建进程，及时发现恶意代码或WebShell，并结合网络全流量监控措施，可以更清晰、准确、快速地找到攻击者的真实目标主机。
4） 日志监控
对系统和软件的日志监控同样必不可少。日志信息是帮助防守队分析攻击路径的一种有效手段。攻击队攻击成功后，打扫战场的首要任务就是删除日志，或者切断主机日志的外发，以防止防守队追踪。防守队应建立一套独立的日志分析和存储机制，重要目标系统可派专人对目标系统日志和中间件日志进行恶意行为监控分析。
5） 蜜罐诱捕
随着红蓝对抗的持续化发展，蜜罐技术是改变蓝队被动挨打局面的一把利器！其特点是诱导攻击队攻击伪装目标，持续消耗攻击队资源，保护真实资产，监控期间针对所有的攻击行为进行分析，可意外捕获0Day信息。
目前的蜜罐技术可分为3种：自制蜜罐、高交互蜜罐和低交互蜜罐，也可诱导攻击队下载远控程序，定位攻击队自然人身份，提升主动防御能力，让对抗工作由被动变主动。
6） 情报工作支撑
现场防守队员在防守中，一是要善于利用情报搜集工作提供的各种情报成果，根据情报内容及时对现有环境进行筛查和处置。二是对已获取的情报，请求后端资源对情报进行分析和辨别，以方便采取应对措施。

六、 应急处突：完善的方案
通过近几年的红蓝对抗发展来看，红蓝对抗初期，红队成员通过普通攻击的方式，不使用0Day或其他攻击方式，就能轻松突破蓝队的防守阵地。
但是，蓝队防护体系的发展早已从只有防火墙做访问控制，到现在逐步完善了WAF、IPS、IDS、EDR等多种防护设备，使蓝队无法突破，从而逼迫蓝队成员通过使用0Day、NDay、现场社工、钓鱼等多种方式入侵蓝队目标，呈无法预估的特点。
所以应急处突是近两年红蓝对抗中发展的趋势，同时也是整个蓝队防守水平的体现之处，不仅考验应急处置人员的技术能力，更检验多部门(单位)协同能力，所以制定应急预案应当从以下几个方面进行。
一是完善各级组织结构，如：监测组、研判组、应急处置组（网络小组、系统运维小组、应用开发小组、数据库小组)、协调组等。
二是明确各方人员，在各个组内担任的角色，如：监测组的监测人员。
三是明确各方人员，在各个组内担任的职责，如：监测组的监测人员，负责某台设备的监测，并且7X24小时不得离岗等。
四是明确各方设备的能力与作用，如防护类设备、流量类设备、主机检测类设备等。
五是制定可能出现的攻击成功场景，如：Web攻击成功场景、反序列化攻击成功场景、WebShell上传成功场景等。
六是明确突发事件的处置流程，将攻击场景规划至不同的处置流程：上机查证类处置流程、 非上机查证类处置流程等。

七、 溯源反制：人才是关键
溯源工作一直是安全的重要组成部分，无论在平常的运维工作，还是红蓝对抗的特殊时期，在发生安全事件后，能有效防止被再次入侵的有效手段，就是溯源工作!
在红蓝对抗的特殊时期，防守队中一定要有经验丰富、思路清晰的溯源人员，能够第一时间进行应急响应，按照应急预案分工，快速查清入侵过程，并及时调整防护策略，防止再次入侵，同时也为反制人员提供溯源到的真实IP，进行反制工作。
反制工作是防守队反渗透能力的体现，普通的防守队员一般也只具备监测、分析、研判的能力，缺少反渗透的实力。这将使防守队一直属于被动的一方，因为防守队没有可反制的固定目标，也很难从成干上百的攻击IP里，确定哪些可能是攻击队的地址，这就要求防守队中要有经验丰富的反渗透的人员。
经验丰富的反渗透人员会通过告警日志，分析攻击IP、攻击手法等内容，对攻击IP进行端口扫描、IP反查域名、威胁情报等信息收集类工作，通过收集到的信息进行反渗透。
防守队还可通过效防攻击队社工手段，诱导攻击队进入诱捕陷阱，从而达到反制的目的，定位攻击队自然人的身份信息。