网络安全学习笔记——红队实战攻防（中）

目录

防守策略

        收缩战线——缩小暴露面

        纵深防御——立体防渗透

        守护核心——找到关键点

        协同作战——体系化支撑

        主动防御——全方位检测

        应急处突——完备的方案 

        溯源反制——人才是关键

---

                                                如果错过互联网,与你擦肩而过的不仅仅是机会,而是整整一个时代。

防守策略

        收缩战线——缩小暴露面

        了解自身系统在系统，端口，后台及与外部链接的薄弱点。

        敏感信息搜集 ：可通过对员工进行定期的安全意识培训，及时发现暴露在互联网上的敏感信息，提前采取应对措施，增加攻击队信息搜集难度及成本。

        攻击路径梳理 ：定期梳理自己的网络边界及每个业务系统的访问路径，尤其内部系统全国联网的单位更应重视此步。

        互联网攻击面收敛 ：一些维护者为了维护方便，往往会把维护的后台，测试系统和高位端口放到互联网上，攻击队则可通过这些进行攻击。防护时要对这些资产进行梳理整改。

        外部接入网络梳理 ：在接入下级单位的时候应先接入防护设备，再接入其他单位，并建立实时沟通机制，当其他单位过来的网络行为异常时则可进行协同排查。

        隐蔽入口梳理 ：由于API接口，VPN，WIFI这些入口往往会被忽略，一旦搞定畅通无阻，所以一定要梳理这些端口，便于重点防守。

        纵深防御——立体防渗透

        收缩战线后，防守队应对自身安全状况进行全面体检，拖延攻击队扩大战果的时间，将损失降到最小。

• 资产动态梳理 ：清晰的信息资产是防守工作的基石。资产梳理要保证清晰准确，定期动态梳理，为正式防守工作奠定基础。
• 互联网端防护 ：互联网作为防护单位最外面的接口，是重点防护区域。可通过接入第三方云守护平台，部署网络安全防护设备和进行攻击检测两方面进行防护。
• 访问策略梳理 ：访问策略的严格与否，对防护工作至关重要。从实战来看，严格的防护策略对攻击队能产生极大的阻碍。防护队应该只给必要的用户开放访问权限，禁止私自开放服务或者内部全通的情况。
• 主机加固防护 ：攻击队进入内网后，首要攻击的就是主机，主机的防护强弱直接决定了攻击队内网的攻击成果大小。防守队应对主机进行漏洞扫描；关闭不必要的服务；杜绝主机弱口令，结合堡垒机开启双因子认证登录；高危漏洞必须打补丁；开启日志审计功能；部署主机防护软件对服务进程和重要文件进行监控，条件允许还可以实行诱捕。
• 供应链安全 ：在安全运营工作中，应当重视与厂商的安全应对机制，要求供应商对自身网络环境，产品安全保障机制等在遭遇攻击时提供修复方案和处置措施。

        守护核心——找到关键点

         防守工作中，要找出关键点，集中力量进行防守。

        靶标系统是实战双方都比较关心的焦点，标靶系统失陷意味着此方出局。靶标系统虽然经过多次安全测试，自身安全有保障，但仍要避免对互联网直接开放，并限制访问。条件允许的情况下，还要部署安全防护软件，对主机进行进程白名单，以便实时检测系统的安全状况。

        集权系统一般包括单位自建的云管理平台，核心网络设备，堡垒机，SOC平台，VPN等，此系统被拿下，该系统控制的主机同样视为被拿下。

        重要业务系统被拿下视为重要成果的一部分，在防守中也是重点目标。除了常规的安全测试，防护软件和补丁升级外还要加强监测，对其业务数据进行重点防护。

        协同作战——体系化支撑

        面对大规模有组织的攻击时，若在场人员无法应对时，还应借助后端技术资源，相互配合，建立体系化支撑。

        产品应急支援    安全产品同样会出现漏洞，防守队要会同各类产品的原厂商或供应商，建立产品应急支撑机制，产品出问题的时候能够快速响应，解决。

        安全事件应急支援    安全事件一般会涉及多家企业的多个不同部门的人员，若组成的应急队的能力不够时，应考虑寻求其他技术支撑单位的帮助。

        情报支撑    由于攻防演练的行业化，攻击队已发展成集团军作战模式。所以一个防护单位的力量可能经不起攻击队的狂轰滥炸，所以防护队伍应当利用一切可以利用的资源收集情报。攻防演练本身就是信息战，谁收集的情报越多越详细，谁就能立于不败之地。

        样本数据分析支撑    在监测中发现可疑，异常文件时应立马进行样本分析并判断入侵程度，及时开展处置工作。

        追踪溯源支撑    发现入侵痕迹后，应当立即对其行为，目的，身份等开展溯源工作。必要时，还可进行反制。

        主动防御——全方位检测

        有效的安全检测体系应当从以下几个方面进行：

1. 自动化的IP封禁 ：红队在7×24小时不断从安全设备的告警中识别风险极大消耗检测人员和处置人员精力。部署态势感知和安全设备联动，收取全网告警信息，根据预设规则自动下达封禁将大大降低人工参与程度，提高防守效率。
2. 全流量网络监控 ： 任何攻击都要经过网络，并产生流量。攻击数据和正常数据不一样，通过全网络流量去捕获攻击行为是目前最有效的安全监控方式。此设备结合安全人员的分析可以快速发现攻击行为并提前做出防守动作。
3. 主机监控 ： 任何攻击最终的目标都是主机（服务器或终端）权限。通过部署合理的主机安全软件，审计命令执行过程，监控文件创建进程，及时发现恶意代码或WebShell，并结合网络全流量监控措施，可以更清晰，更快速地找到被攻击的真实目标主机。
4. 日志监控 ： 对系统和软件日志的监控同样必不可少。攻击队攻击成功后，打扫战场的首要任务就是删除日志，或者切断主机日志外发，以免追踪。重要目标系统日志和中间件日志可派专人进行恶意行为监控分析。
5. 蜜罐诱捕 ： 其特点是诱导攻击队攻击伪装目标，持续消耗其资源，保护真实资产，监控期间对攻击行为可意外捕获0Day信息。目前蜜罐分为三种：自制蜜罐，高交互蜜罐和低交互蜜罐，也可诱导攻击队下载远程程序，定位攻击队自然人身份，让被动变主动。
6. 情报支撑 ： 要善于利用收集到的情报及时对现有环境进行筛查和处置。对已获得的情报在后端进行分析辨别，及时应对。

        应急处突——完备的方案 

        应急处突方案要完善各级组织结构，明确各方人员的角色和责任，明确各方设备的能力和作用，制定出可能会攻击成功的场景应急方案，明确突发事件的处理流程。 

        溯源反制——人才是关键

        防守队中一定要有一位经验丰富，思路清晰的溯源人员，能够第一时间进行应急响应，快速查清入侵过程，并及时调整防护策略，防止再次入侵，同时为反制人员提供溯源到的真实IP，进行反制工作。

        经验丰富的反渗透人员可通过告警信息，分析攻击IP，攻击手法等内容，对攻击IP进行端口扫描，IP反域名，威胁情报等信息收集类工作，通过收集到的信息进行反渗透。

        防守队还可通过诱导攻击队进入诱捕陷进，从而达到反制的目的。

                                                                                                本文参考《奇安信红蓝紫对抗手册》