hw蓝队防守技战法

一、备战阶段——知彼知己，百战不殆

“未知攻，焉知防”。如果企业安全部门不了解攻击者的攻击思路、常用手段，有效的防守将无从谈起。从攻击者实战视角去加强自身防护能力，将是未来的主流防护思想。

红队眼中的防守弱点

1.梳理攻击路径

网络不断变化、系统不断增加，往往会产生新的网络边界和新的系统。定期梳理自己的网络边界、可能被攻击的路径。

2.互联网攻击面收敛

安全运营部门应定期在一些信息披露平台搜索本单位敏感词，查看是否存在敏感文件泄露情况。

3.外部接入网络梳理

防守单位对这些外部的接入网络进行梳理，尤其是未经过安全防护设备就直接连进来的单位，应先连接防护设备，再接入内网。

4.隐蔽入口梳理

梳理WEB服务的API隐藏接口、不用的VPN、WIFI账号等，便于重点防守。

蓝队防御策略

俗话说“一夫当关万夫莫开”，防守方要具备核心防护动作，定期进行互联网资产扫描、核心文档、供应链严格管控审查，减少情报泄露，避免攻击方有机可乘。

1、防微杜渐︰防范被踩点

攻击者会通过各种渠道收集目标单位的信息来踩点。防止本单位敏感信息泄露在公共信息平台，加强人员安全意识，定期进行安全意识培训。

2、收缩战线︰收敛攻击面

充分了解自己暴露在互联网的系统、端口、后台管理系统等信息。互联网暴露面越多，越容易被攻击者“声东击西”，最终导致防守者顾此失彼。要定期梳理排查网络边界、入口和收敛攻击面。

二、临战阶段——气可鼓，不可泄

“一鼓作气，再而衰，三而竭”,无论做什么事情,都必须一鼓作气、把握机会。正所谓“气可鼓,不可泄”,只有一直保持士气，保持高度的热情,并学会借力、借势,才能将事情做好。蓝队防守也是一样。经历了备战阶段的查缺补漏、城防加固等工作，安全防护能力在技术方面、管理方面和运营方面上都有了较大的提升。为了能更多的协同配合，高效的应对实战阶段的攻击，减少分析处置事件的时间，提高防守的效果，更需要做好临战阶段的动员工作。

1、召开战前动员会

战前动员会主要进行三部分的工作：一是实战演习开始前，通过召开现场战前动员会的形式，进行战前动员，统一思想，统一战术、提高斗志，达成共识。二是强调防护工作中注意的事项，攻击手段多种多样，为防止防守人员被攻击利用，要严格遵守记录红线、做到令行禁止。三是提高大家的攻防意识，对攻击过程进行剖析，对常见的攻击手段部署针对性的防守要点，做到有的放矢。

2、贯彻工作流程

贯彻工作流程的目的一是对参与防守工作的人员进行任务分工，说明工作职责、各司其职。二是固化每日工作流程、各岗位协同配合，做好攻击事件前期的监测、中期的研判和后期的处置工作。三是贯彻制定的工作排班计划、交接班要求等。通过工作流程做到防守工作有序有效，提升防守的效果。

3、组织战术培训

战术培训会主要工作内容有两项：一是由安全专家分享其他单位的网络安全实战攻防演练相关经验，协助防守队制定不同攻击场景的防守战术。二是安全专家对演练评分规则的详细解读，提高参演人员对演练的认知。

三、实战阶段——运筹帷幄，以逸待劳

前期工作做完后，真正的防守考验来了。作为防守队，越是战时，越应气定神闲，以“镇国”妙计消解攻击招式，形成自查、整改、加固、监测、研判、应急处置全维度镇守防护，消耗红方斗志。甚至利用信息不对称调动攻击方，掌握主动权，让“敌兵”知难而退。

1、纵深防御;立体防渗透

防守单位在互联网上的网站、接口、VPN等对外服务会成为攻击者的首要目标。一旦突破后，攻击者进行横向突破，控制更多的主机，建立多条隐蔽隧道，使防守者顾此失彼。

此时，战争中的纵深防御就很适用于网络防守。互联网端防护、主机层防护、无线网络防护、外部网络接入防护甚至物理层面的防护，都需要考虑进去。通过层层防护，拖慢攻击者扩大战果的时间，将损失降至最小。

2、洞若观火:全方位监控

任何攻击都会留下痕迹。攻击者会尽量隐藏痕迹、防止被发现;而防守者恰好相反，需要尽早发现攻击痕迹，进行全流量网络监控、主机监控、日志监控、情报监控等，发现痕迹后做出针对性防守动作并及时进行相应应急处置。并通过分析攻击痕迹，调整防守策略、结合各种情报系统追踪溯源。

3、蜜罐反制，诱敌深入

“善动敌者，形之，敌必从之;予之，敌必取之。以利动之，以卒待之”在发现攻击事件后，防守队伍可根据安全防护设备、安全监测设备产生的告警信息、样本信息等，结合各种情报系统追踪溯源。使用微步在线、站长之家等查询ip、通过威胁情报中心反查域名。条件允许时，可通过部署诱捕系统反制攻击队攻击终端，做到追踪溯源、防守反制。

四、战后整改——厉兵秣马，枕戈待旦

演习的结束也是防护工作改进的开始。在实战工作完成后应进行充分、全面复盘分析，总结经验、教训。有两方面工作需要开展。

1、复盘总结

通过复盘会找出攻防演习备战阶段、临战阶段、实战阶段中的工作方案、组织管理、工作启动会、系统资产梳理、安全自查及优化、基础安全监测与防护设备的部署、安全意识、应急预案及演练、注意事项、队伍协同、情报共享和使用等过程还存在哪些纰漏和不足，输出技术和管理两方面问题整改措施计划。同时，各单位还需立即总结攻防演习防守策略，如情报技术、反制战术、防守作战指挥策略等，为演习队伍在下一次保障提供防守技术指导。

2、常态化管理

攻防演练是网络攻防演练活动不是一次性保障活动，其最终目的是单位通过演习发现网络安全建设存在的不足，改进和提升整体安全防御能力，通过相对独立的安全运营思路，以数据为中心建立整体网络安全防护体系，进而发挥出最有效的安全能力。我们要应该做的是时刻注意网络安全，常态化管理与实施网络安全。在日常安全工作中提供持续安全运营能力，使网络安全防护措施持续发挥成效，进而真实有效地提升安全防护的能力。

• « 上一篇：老照片免费修复软件有哪些？一键智能修复老照片工具推荐给你
• » 下一篇：五、中断服务程序的流程