红蓝攻防、红蓝对抗

在网络安全领域中，红队和蓝队是两个常用的术语，用来描述攻击者和防御者之间的对抗。红队代表攻击方，通过模拟真实的攻击手法来测试和评估系统的弱点，而蓝队代表防御方，负责检测和阻止潜在的攻击。

比如很多大公司每年都要参与护网行动。护网行动是以公安部牵头的，用以评估企事业单位的网络安全的活动。

守护好自身的系统和设施，极为重要。以下是红蓝对抗中守方的一些方法总结。

针对所有员工

• 定期组织各种活动，加强安全意识，预防社工攻击。

• 安装入侵防御系统IPS

  入侵防御系统(IPS: Intrusion Prevention System)是电脑网络安全设施，是对防病毒软件（Antivirus Programs）和防火墙(Packet Filter, Application Gateway)的补充。入侵防御系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

  在ISO/OSI网络层次模型 中，防火墙主要在第二到第四层起作用，它的作用在第四到第七层一般很微弱。而除病毒软件主要在第五到第七层起作用。为了弥补防火墙和除病毒软件二者在第四到第五层之间留下的空档。几年前，工业界已经有入侵侦查系统（IDS: Intrusion Detection System）投入使用。入侵侦查系统在发现异常情况后及时向网络安全管理人员或防火墙系统发出警报。可惜这时灾害往往已经形成。防卫机制最好应该是在危害形成之前先期起作用。随后应运而生的入侵响应系统(IRS: Intrusion Response Systems) 作为对入侵侦查系统的补充能够在发现入侵时，迅速作出反应，并自动采取阻止措施。而入侵预防系统则作为二者的进一步发展，汲取了二者的长处。

针对所有应用

• 漏洞修复：比如升级fastjson避免反序列化漏洞

• 应用主机要安装HIDS

  HIDS全称是Host-based Intrusion Detection System，即基于主机型入侵检测系统。作为计算机系统的监视器和分析器，它并不作用于外部接口，而是专注于系统内部，监视系统全部或部分的动态的行为以及整个计算机系统的状态。HIDS运行依赖于这样一个原理：一个成功的入侵者一般而言都会留下他们入侵的痕迹。这样，计算机管理员就可以察觉到一些系统的修改，HIDS亦能检测并报告出检测结果。

  值得注意的是：HIDS是安装在应用主机上的，本身要占用一些资源，有可能影响应用本身的稳定性。要做好监控。

• 严格控制和收敛使用的端口。

针对边界系统

• 区域划分：对于专线和公网接入，有不同的物理隔离区域，相对应的安全策略也不同。外部流量先进隔离区，在此区域可以做流量的清洗，避免攻击直接渗透到内网，提升攻击成本。
  

• 安装WAF

  Web应用防护系统（也称为：网站应用级入侵防御系统。英文：Web Application Firewall，简称：WAF）。Web应用防火墙会对HTTP的请求进行异常检测，拒绝不符合HTTP标准的请求。并且，它也可以只允许HTTP协议的部分选项通过，从而减少攻击的影响范围。甚至，一些Web应用防火墙还可以严格限定HTTP协议中那些过于松散或未被完全制定的选项。

• 加强监控：排查所有状态码以4开头的请求确认是否为攻击请求。不是则通知运营与机构沟通整改，是的话立即隔离封禁

• 程序上：定期梳理，加强校验，严格准入

其他说明

实际沟通过程中，也要先了解清楚上下文。有时候别人说的红蓝攻防有可能指的是系统故障注入，不确定时可以先问清楚。十几年前还看到过两个人在那里聊的看上去很happy，但是两个人实际各说各的，并没有在一个维度。这个时代，这种事情不多见了，大家都专业了。实际上，很多公司首先考察一个人就是看他的沟通能力，所以会设置场景题。