红蓝对抗总结-蓝队

武天旭

已于 2023-10-28 17:41:38 修改

阅读量2.2k

点赞数 1

分类专栏：安全基础文章标签：网络安全

于 2023-07-01 03:30:00 首次发布

本文链接：https://blog.csdn.net/wutianxu123/article/details/131364373

版权

安全基础专栏收录该内容

32 篇文章 97 订阅

订阅专栏

本博客地址：https://security.blog.csdn.net/article/details/131364373

最近几年，HW越来越盛行，除了每年一度的国家级HW，各种省级或市级的HW也是隔三差五就有，除此外，大型企业内部也会常态化进行红蓝对抗以提升企业安全建设水平。而作为甲方公司安全人员，不仅要在重大护网行动中扮演防守方，还要在一些攻防对抗中扮演攻击方。实际上，不管是红方还是蓝方，所做的事情都有一定的规律可循，本文由此而写，仅从大框架总结，以作交流。

一、红蓝对抗-蓝方流程

1.1、预防阶段

1、管理方面

管理方面主要是要明确织架构及职责分工，建立各部门工作沟通机制（包括供应商），在安全事件发生时能迅速配合解决问题，避免出现扯皮推诿的现象。

2、技术方面

● 资产梳理：包括敏感信息梳理、互联网资产发现、内网资产梳理、第三方供应商梳理、业务连接单位梳理、云资产梳理等，对资产进行摸排和安全管理等
● 网络架构梳理：包括网络访问路径梳理、运维访问路径梳理、安全架构梳理、安全设备部署等，检查是否存在缺失，是否存在安全隐患等
● 安全检查加固：包括网络安全、主机安全、应用安全、终端安全、日志审计、备份检查、口令及未授权漏洞、重要系统检测、Web安全检测等进行评估检查，对存在的风险进行修复加固等
● 攻防演练：主要用于检验风险自查和安全强化阶段的工作效果，检验本单位对网络攻击的监测、发现、分析和处置能力，检验安全防护措施和监测技术手段的有效性，检验各工作组协调、配合的默契程度

3、运营方面

● 成立防护工作组并明确工作职责，责任到人，开展并落实技术检查、整改以及安全监测、预警、分析和处置等运营工作，加强安全技术防护能力
● 编写及完善应急预案，并使其落地到位
● 全员安全意识培训
● 加强生产工作要求，降低因人员违反工作要求而产生的安全风险，包括保密要求、网络传播防泄漏要求、个人终端安全要求、值守要求、漏洞上报要求等
● 工作机制宣贯，组织会议对工作流程、工作职责、工作内容和联动配合等进行培训
● 安全专家宣贯各阶段的攻击特征，协助防守队制定针对不同攻击场景的防守战术

4、系统清点方面

● 在不影响正常业务系统运行的情况下，可以进行业务连续性需求评估，关停存在安全风险但不能及时修复的服务器，并做好记录
● 关闭服务器对外访问权限，如有必须主动外连的需求，尽可能确定需要访问的IP地址并开临时白名单
● 集权类系统（堡垒机、DNS服务器等）若存在安全漏洞且无法及时修复，建议关闭系统或暂停服务
● 对关键服务器进行一次排查，查看是否存在被入侵的痕迹，确保服务器在实战之前没问题的

1.2、实战阶段

1、全面开展安全监测预警

监测人员须具备基本的安全数据分析能力，能根据监测数据、情报信息判断攻击的有效性。如存疑，应立即协同专业分析人员进行分析，确保监控可以实时发现攻击，不漏报，为处置工作提供准确信息。监测工作应覆盖整个攻击队的攻击时间。

2、全局性分析研判工作

在实战防护中，分析研判应作为核心环节，向前，对监测人员发现的攻击预警或威胁情报进行分析和确认；向后，指导和协助事件处置人员对确认的攻击进行处置。

3、提高事件处置效率效果

确定攻击事件成功后，最重要的是在最短时间内采取技术手段遏制攻击，防止攻击蔓延。事件处置环节，应联合网络、主机、应用和安全等多个岗位的人员协同处置。

4、追踪溯源，全面反制

在发现攻击事件后，防守队可根据安全防护设备、安全监测设备产生的告警信息和样本信息等，结合各种情报系统追踪溯源。条件允许时，可通过部署诱捕系统反制攻击队，拿下攻击终端。

1.3、总结阶段

1、复盘总结

红蓝对抗结束后，应对各阶段进行充分、全面的复盘分析，提出整改措施。一般须遵循遗留最小风险和问题相对清零的原则持续优化防守策略，对不足之处进行整改，进而逐步提升防守水平。

总结涉及以下方面：工作方案、组织管理、工作启动会、系统资产梳理、安全自查及优化、基础安全监测与防护设备的部署、安全意识、应急预案、注意事项、队伍协同、情报共享和使用、反制战术、防守作战指挥策略等。

同时，结合实战攻防对抗过程中发现的网络架构、主机安全、数据库安全、应用安全、安全和网络设备、身份安全、供应链等方面的风险和问题进行整改，输出管理、技术、运维三方面问题的整改措施和计划，实现风险和问题闭环清零。

2、防守工作最佳实践

● 一把手重视，全员认知
● 专项组织，责任到人
● 摸清家底，厘清责任
● 收敛暴露面，减少入侵点
● 知己知彼，整改到位
● 威胁感知，分析处置
● 模拟真实攻击，检验防御能力，从各方面进行优化完善
● 全方位监控，合作协同
● 总结分析，常态落实

二、常用的防守策略

2.1、互联网敏感信息清理

● 定期对全员进行安全意识培训
● 严禁将带有敏感信息的文件上传至公共信息平台
● 定期搜集泄露的敏感信息，及时发现已经在互联网上暴露的本单位敏感信息并进行清理

2.2、收敛互联网暴露面

● 定期梳理自己的网络边界、可能被攻击的路径，尽可能梳理并绘制出每个业务系统
● 梳理本单位开放在互联网上的管理后台、测试系统、无人维护的僵尸系统、拟下线未下线的系统、高危服务端口、疏漏的未纳入防护范围的互联网开放系统等，及时整改对应问题
● 对外部的接入网络进行梳理，尤其是未经过安全防护设备就直接连进来的情况，应先连接安全防护设备，再接入内网
● 梳理Web服务的隐藏API、不用的VPN、Wi-Fi账号等

2.3、纵深防御

● 资产动态梳理
● 互联网端防护
● 访问控制策略梳理
● 主机加固防护
● 供应链安全

2.4、找到守护核心

应根据系统的重要性划分出防守工作的重点，集中力量进行防守，核心关键点一般包括靶标系统、集权系统、重要业务系统等。在防守前应再次对这些重点系统进行梳理和整改，梳理得越细越好。必要时对这些系统进行单独评估，充分检验重点核心系统的安全性。同时，应对重点系统的流量、日志进行实时监控和分析

2.5、体系化支撑

● 需要同各类产品的原厂商或供应商，建立产品应急支撑机制
● 安全事件应急支撑
● 情报支撑
● 样本数据分析支撑
● 追踪溯源支撑

2.6、主动防御

● 自动化的IP封禁
● 全流量网络监控
● 主机监控
● 日志监控
● 蜜罐诱捕
● 情报工作支撑

三、常用的防护手段

3.1、防信息泄露

1、防文档信息泄露

通过如下几类网站或工具搜索目标单位信息：

● 学术网站类：如知网CNKI、Google学术、百度学术等
● 网盘类：如微盘Vdisk、百度网盘、360云盘等
● 代码托管平台类：如GitHub、Bitbucket、GitLab、Gitee等
● 招投标网站类：自建招投标网站、第三方招投标网站等
● 文库类：如百度文库、豆丁网、道客巴巴等
● 社交平台类：如微信群、QQ群、论坛、贴吧等

常见的敏感文档信息：

● 使用手册：敏感信息可能包含应用访问地址、默认账号信息等
● 安装手册：敏感信息可能包含应用默认口令、硬件设备的内外网地址等
● 交付文档：敏感信息可能包含应用配置信息、网络拓扑、网络的配置信息等

具体处置建议如下：

● 从制度上明确要求敏感文档一律不准上传到网盘或文库，并定期审查
● 对第三方人员同样要求涉及本单位的敏感文档，未经合同单位允许不得共享给项目无关人员及公共平台
● 定期去各类网站或工具中搜索自己单位的关键字，如发现敏感文档要求上传者或平台删除

2、防代码托管泄露

针对防代码托管泄露的建议如下：

● 在制度上严禁项目源代码公开到代码托管网站
● 禁止开发人员私自将源代码复制到不可控的电脑上
● 定期在各大代码托管网站上搜索自己单位的关键字，如发现上面有自己单位的源代码，要求上传者或平台删除

3、防历史漏洞泄露

目前主流的漏洞上报平台如下：

● 补天平台：https://www.butian.net
● 漏洞盒子：https://www.vulbox.com
● Hackerone：https://www.hackerone.com

处置建议如下：

● 收集各大漏洞平台上关于本单位的漏洞信息，逐一验证修复情况
● 收集和本单位使用相同商业系统或开源系统的漏洞信息，逐一验证本单位系统是否存在漏洞平台披露的漏洞

4、防人员信息泄露

目标单位人员的邮箱、电话、通讯录等信息泄露也会带来一定程度的安全隐患，攻击者可以用这些信息来对这些人员采取定向钓鱼、社工等手段，控制他们的电子设备，从而进行进一步的信息收集和入侵。

处置建议如下：

● 增强人员安全意识
● 禁止在程序源代码里放管理员邮箱、电话等敏感信息

3.2、防钓鱼

常见的钓鱼形式包括邮件钓鱼、网络钓鱼、人员冒充、反向社工等，建议的防御措施如下：

● 提高人员（特别是管理员）的安全意识
● 收到邮件后仔细鉴别邮件的标题、发件人、信件内容等
● 谨慎打开邮件附件及附件中的链接等
● 对网络上分享的内容进行鉴别，谨慎使用分享工具等
● 谨慎点击收到的通知或信息中的链接，谨慎下载链接中的附件等
● 建立上级单位、监管机构、供应商的沟通机制和联络人名单，通过正常沟通流程进行沟通
● 对接收到的问询等进行人员身份确认，若无法确认，则不提供任何信息
● 通过正规方式联系消息发布人
● 如对方询问敏感信息，不要泄露
● 如对方要求现场维护，须让对方出具证明，待身份确认后方可允许对方进入，内部人员须全程陪同

3.3、防供应链攻击

供应商安全建议如下：

● 制定供应商安全维护管理规范
● 本地维护时，未经许可不得将自带设备接入内网
● 维护时必须通过堡垒机登录，可审计和监控是否出现其他违规维护行为
● 供应商不得记录公司除堡垒机维护密码以外的密码
● 测试系统所采用的密码口令不得在正式环境中出现
● 禁止供应商将目标单位真实数据放在商业测试系统上
● 安装路径尽量不要采用默认路径
● 关闭不用的功能和目录

3.4、防物理攻击

Wi-Fi破解建议从以下几方面进行防御：

● 对进入接待区的人员进行确认，防止闲散人员进入
● 对于无线接入采用严格的验证机制和准入控制措施，防止被利用
● 对无线接入后的权限进行控制
● 公共无线接入最好和办公内网隔离
● 关闭Wi-Fi无线广播功能

冒充上门维护建议采取以下措施：

● 对现有的各类产品及服务的供应商清单进行梳理
● 对上门维护的人员进行身份验证
● 对上门维护的事项进行确认
● 对物理接触设备的人员的行为进行跟踪和监视

历史后门利用建议采取以下措施：

● 对所有互联网开放Web系统进行失陷检测，查找是否有后门链接情况
● 扫描和检测网站代码是否存在后门木马文件，或者根据后门内容特征全盘搜索存在该特征内容的文件
● 定期查看安全检测设备报警，是否有后门链接报警

3.5、防护架构加强

1、互联网暴露面收敛

1、互联网出口收敛

● 尽量合并减少互联网出口
● 进行互联网出口功能规划，根据不同出口进行有针对性的安全防护和监控

2、VPN接入控制

● 对于存在多套VPN的，尽量进行合并处理
● 在VPN拨入后增加准入认证和双因素认证
● VPN账号清理：对于VPN账号能禁用就禁用，不能禁用的，可以按照使用时间段进行控制
● VPN权限清理：对于拨入VPN后能够访问的资源进行明确授权

3、对外发布系统

● 除必要开放在互联网上的系统域名和端口，其他的一律关闭互联网访问
● 测试系统和正式上线系统不得部署在同一发布区内，单独划分测试系统区域和互联网出口

4、开放在互联网上的API

● 每一次API请求都需要带上身份认证信息，通常使用的是API key
● 使用TLS来加密通信消息，由API客户端发送和接收
● 关闭不需要的API功能

5、管理后台

● 进行安全制度约束，禁止将任何互联网系统后台发布在互联网上
● 定期通过人工或脚本扫描本单位互联网发布系统后台的管理路径，一旦发现，通报关闭

2、网络侧防御

● 外部系统网络连接必须将外联区域作为唯一路径，其他路径一律禁止
● 完善的各个网络接入路径与安全域间竖向和横向的安全防护措施
● 内网终端不可上互联网，访问内网服务应通过代理
● 数据上传和数据拉取时采用单项数据传输访问控制模式

3、主机侧防御

1、及时安装漏洞补丁

● 定期进行漏洞扫描，定期对产生的高危漏洞打补丁
● 在新系统或软件上线前打全安全补丁
● 为主机安装加固防护软件，并定期更新相关规则库
● 安装杀毒软件，及时更新病毒库

2、安全加固

● 最小原则安装系统，仅安装用得到的服务或功能，其他服务或功能不安装或关闭
● 最小权限安装软件，禁止使用管理员权限安装软件，给安装软件单独分配用户权限
● 禁止使用默认配置，仅开放需要的功能，修改默认用户名和密码
● 开启安全日志记录功能
● 禁止使用弱密码、默认密码、相同口令或规则口令

3、中间件安全

● 修改默认的用户名和密码
● 禁止列网站目录功能
● 删除测试页面
● 正式环境下禁止将报错文件直接返给用户
● 开启日志功能

4、Web侧防御

作为开放在外的应用系统，Web应用常常会被攻击者作为首要的攻击目标。他们攻击的主要步骤为：第一步，获取Web权限；第二步，提权获取系统权限；第三步，建立隐蔽通信隧道；第四步，寻找其他跳板机；第五步，在同网段横向渗透

Web应用作为常规第一突破口，是安全防护的重中之重。除了常规的Web防护设备和监控设备外，为了防止黑客绕过Web检测设备，还应当关注web安全漏洞、管理后台及弱密码、重要集权系统、安全设备自身安全等方面

5、App客户端安全

● App客户端安全：反编译、签名认证、完整性校验、敏感信息泄露等
● App组件安全：四大组件越权、WebView远程代码执行等
● App其他安全：App通信安全、运行环境安全、安全策略设置等

四、常用的关键安全设备

4.1、边界防御设备

1、防火墙

防火墙具有网络安全域隔离、精细化访问控制、高效威胁防护和高级威胁检测等功能。可集成威胁情报搜集、大数据分析和安全可视化等创新安全技术，并通过与网络威胁感知中心、安全管理分析中心、终端安全管理系统等的智能协同，在网络边界构建威胁防御平台。

实战中在网络接入区、对外接入区、内部各安全域间部署防火墙，通过ACL配置、黑名单配置、自动化封禁、与流量感知及威胁感知类产品进行联动处置来进行防护。

2、入侵防御系统

IPS不仅能够监视网络传输行为，还能够即时中断、调整或隔离一些不正常或是具有伤害性的网络传输行为。其依赖高效的一体化引擎，实现对防护网络的流量分析、异常或攻击行为的告警及阻断、2-7层安全防护控制，以及用户行为、网络健康状况的可视化展示。

实战中在互联网入口、互联网接入区等位置部署IPS。IPS基本都是串联部署在网络中的，通用的部署方式是部署在防火墙产品的后面，形成边界安全产品解决方案中的一道安全屏障。

3、Web应用防火墙

Web应用防火墙通过对HTTP或HTTPS的Web行为进行分析并拦截其中的攻击行为，不仅可以有效缓解网站及Web应用系统面临的威胁，还可以快速应对恶意攻击者对Web业务带来的冲击，让网站免遭Web攻击侵扰，并对网站代码进行合理加固。

在实战中，Web应用防火墙系统部署在网站服务器的前端并且串联部署，对外来访问网站的流量进行过滤。从而有效阻断攻击方的攻击。

4、Web应用安全云防护系统

Web应用安全云防护系统是为云端网站提供安全防护的系统，为网站提供SaaS化的安全防护服务。它可为企业网站提供云WAF、云抗D、云加速、CC攻击防护、反爬虫、全站镜像、实时监控告警、可视化安全等综合安全能力。

SaaS化网站云防护系统，不需要部署软件、硬件，通过CNAME接入和A记录接入的方式更新域名DNS解析，将网站访问流量转发到Web应用安全云防护系统上，从而通过云防护系统对攻击者的攻击进行防护。

5、邮件威胁感知系统

邮件威胁感知系统在防护时可以根据邮件正文插入的恶意链接和邮件附件藏毒这两种攻击方式进行针对性的配置和检测，从而发现定向攻击邮件。

实战中可以通过串接部署的邮件代理转发模式、旁路部署的邮件暗抄模式或者SPAN流量镜像解析模式对邮件流量进行识别和控制，以防范钓鱼邮件的攻击。

4.2、安全检测设备

1、互联网资产发现系统

互联网资产发现是攻防实战前期梳理资产中比较重要的一项工作，通过资产发现平台，对暴露在互联网上的资产信息进行摸排和测绘。做到摸清家底，为下一步针对资产进行安全检测提供依据。

2、自动化渗透测试系统

自动化渗透测试系统设备应具有的核心功能有：漏洞探测功能、漏洞利用功能、反弹交互式Shell功能、Webshell远程管理功能、后渗透功能等。在攻防实战前期：定期对对外提供服务的系统、有变更时对内部系统进行渗透测试，挖掘可能存在的漏洞并及时修复；在渗透测试前期，通过工具可以进行批量信息收集，包括子域名发现、目录扫描、指纹识别等。在渗透测试中期，可以针对目标的漏洞进行发现和利用。在渗透测试后期，提供进入内网之后的横向渗透等功能，提升渗透测试效果。

3、开源组件检测系统

开源组件检测系统可对应用系统所涉及的开源组件进行精确识别，帮助企业建立开源组件资产台账，输出每个软件系统的开源组件资产清单，并给出对应的开源组件漏洞信息、开源协议信息、开源组件整改建议等内容。通过开展开源组件检测服务，识别应用系统所引入开源组件的安全漏洞，对安全漏洞进行修复、加固，通过漏洞验证直观地展现存在的安全风险，从而有效推动开发部门的整改积极性。

4、堡垒机

堡垒机基于认证、授权、访问、审计的管理流程设计理念，对IT中心的网络设备、数据库、安全设备、主机系统、中间件等资源进行统一运维管理和审计。堡垒机一般部署于安全管理区，可以根据网络中划分的不同安全区域分配不同的堡垒机，提供运维管理和审计。

4.3、流量监测设备

1、流量威胁感知系统

流量威胁感知系统基于网络流量和终端EDR日志，运用威胁情报、规则引擎、文件虚拟执行、机器学习等技术，精准发现网络中针对主机与服务器的已知高级网络攻击和未知新型网络攻击的入侵行为。

流量威胁感知系统采用旁路部署的模式，将设备部署于安全管理区，利用镜像的方式将流量镜像给探针。务必将需要监测区域的流量汇聚到探针，对用户网络中的流量进行全量检测和记录。

2、态势感知与安全运营平台

态势感知与安全运营平台以大数据平台为基础，通过收集多元、异构的海量日志，利用关联分析、机器学习、威胁情报等技术，持续监测网络安全态势，实现从被动防御向积极防御的进阶，为安全运营人员提供威胁发现、调查分析及响应处置的安全运营工具。

态势感知与安全运营平台采用旁路部署的模式，利用镜像的方式将流量镜像给探针，务必将需要监测区域的流量汇聚到探针。

3、蜜罐系统

通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，防守方可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测其攻击意图和动机，清晰地了解自己所面对的安全威胁，从而通过技术和管理手段来增强实际系统的安全防护能力。

4.4、终端防护设备

1、终端安全响应系统

EDR可通过威胁情报、攻防对抗、机器学习等方式，从主机、网络、用户、文件等维度来评估企业网络中存在的未知风险，并以行为引擎为核心，利用威胁情报，缩短威胁从发现到处置的时间，降低业务损失，提高整体安全能力。

在终端部署EDR的Agent客户端，对数据进行采集和响应。在服务器端部署EDR控制中心，对采集数据进行加密，同时对终端Agent进行采集策略的制定、告警通知、威胁追踪等。在内网部署大数据分析平台，实时存储终端的安全数据，对数据与外网威胁情报进行主动检测，以发现沦陷终端。

2、服务器安全管理系统

系统通过服务器端轻量级Agent代理、安全加固服务器系统及应用WAF探针、RASP探针、内核加固探针，实时有效地检测与抵御已知和未知的恶意代码与黑客攻击；通过融合资产管理、微隔离、攻击溯源、自动化运维、基线检查等功能，高效安全地运维服务器。

服务器安全管理系统为软件形态，采用Agent、管理控制中心结合的方式，为用户解决私有云、公有云和单机主机环境中可能遇到的服务器管理问题、安全问题、合规问题。

3、虚拟化安全管理系统

虚拟化安全管理系统是面向云计算或虚拟化环境的一站式安全产品。产品支持vSphere、XEN、KVM、Hyper-V等虚拟化环境，OpenStack等云计算平台，提供Hypervisor防护、云主机系统加固、恶意软件防护、应用程序管控等功能，并支持异构虚拟化平台统一管理。

可部署在物理服务器、虚拟化、容器、私有云、公有云，为云工作负载和物理服务器提供统一的安全防护。管理中心接收安全组件上传的安全事件和网络流量日志，通过多维度、细粒度的大数据分析，以可视化的形式展现，从而帮助用户对已知威胁进行溯源，并对未知威胁进行预警。

4、终端安全准入系统

NAC主要用于解决设备接入的安全防护、入网安全的合规性检查、用户和设备的实名制认证、核心业务和网络边界的接入安全、接入的追溯和审计等管理问题，避免网络资源受到非法终端接入所引起的安全威胁。准入系统可以有效防止近源攻击时攻击人员通过网络直接接入网络的情况。

5、终端安全管理系统

终端安全管理系统是集防病毒、终端安全管控、终端准入、终端审计、外设管控、EDR等功能于一体的安全平台，兼容不同操作系统，可帮助企业实现平台一体化、功能一体化、数据一体化的终端安全立体防护。其设备核心功能有：病毒查杀、资产管理、补丁管理、安全运维管控、移动存储管控、安全网络准入控制、安全审计、报表管理。

6、威胁情报系统

威胁情报系统的核心功能有：报警研判、攻击定性、关联分析等，可结合多杀毒引擎检测、虚拟环境行为分析、威胁情报关联、自动化文件标签、启发式检测等技术，提供更精准的检测结果、更具体的威胁类别及更直观的分析结果，可以满足多个场景下对恶意软件的检测、研判和分析需求。

威胁情报系统平台通常是SaaS系统，可通过用户名、密码、验证码登录，对情报进行查询和使用通过对不限于IP、域名、样本文件的分析结果，能够为安全运营人员基于二次分析、报警研判、攻击定性、黑客画像及持续跟踪等提供有力支持。