一、備戰(zhàn)階段——知彼知己，百戰(zhàn)不殆

“未知攻，焉知防”。如果企業(yè)安全部門不了解攻擊者的攻擊思路、常用手段，有效的防守將無從談起。從攻擊者實(shí)戰(zhàn)視角去加強(qiáng)自身防護(hù)能力，將是未來的主流防護(hù)思想。

紅隊(duì)眼中的防守弱點(diǎn)

1.梳理攻擊路徑

網(wǎng)絡(luò)不斷變化、系統(tǒng)不斷增加，往往會(huì)產(chǎn)生新的網(wǎng)絡(luò)邊界和新的系統(tǒng)。定期梳理自己的網(wǎng)絡(luò)邊界、可能被攻擊的路徑。

2.互聯(lián)網(wǎng)攻擊面收斂

安全運(yùn)營部門應(yīng)定期在一些信息披露平臺搜索本單位敏感詞，查看是否存在敏感文件泄露情況。

3.外部接入網(wǎng)絡(luò)梳理

防守單位對這些外部的接入網(wǎng)絡(luò)進(jìn)行梳理，尤其是未經(jīng)過安全防護(hù)設(shè)備就直接連進(jìn)來的單位，應(yīng)先連接防護(hù)設(shè)備，再接入內(nèi)網(wǎng)。

4.隱蔽入口梳理

梳理WEB服務(wù)的API隱藏接口、不用的VPN、WIFI賬號等，便于重點(diǎn)防守。

藍(lán)隊(duì)防御策略

俗話說“一夫當(dāng)關(guān)萬夫莫開”，防守方要具備核心防護(hù)動(dòng)作，定期進(jìn)行互聯(lián)網(wǎng)資產(chǎn)掃描、核心文檔、供應(yīng)鏈嚴(yán)格管控審查，減少情報(bào)泄露，避免攻擊方有機(jī)可乘。

1、防微杜漸︰防范被踩點(diǎn)

攻擊者會(huì)通過各種渠道收集目標(biāo)單位的信息來踩點(diǎn)。防止本單位敏感信息泄露在公共信息平臺，加強(qiáng)人員安全意識，定期進(jìn)行安全意識培訓(xùn)。

2、收縮戰(zhàn)線︰收斂攻擊面

充分了解自己暴露在互聯(lián)網(wǎng)的系統(tǒng)、端口、后臺管理系統(tǒng)等信息?；ヂ?lián)網(wǎng)暴露面越多，越容易被攻擊者“聲東擊西”，最終導(dǎo)致防守者顧此失彼。要定期梳理排查網(wǎng)絡(luò)邊界、入口和收斂攻擊面。

二、臨戰(zhàn)階段——氣可鼓，不可泄

“一鼓作氣，再而衰，三而竭”,無論做什么事情,都必須一鼓作氣、把握機(jī)會(huì)。正所謂“氣可鼓,不可泄”,只有一直保持士氣，保持高度的熱情,并學(xué)會(huì)借力、借勢,才能將事情做好。藍(lán)隊(duì)防守也是一樣。經(jīng)歷了備戰(zhàn)階段的查缺補(bǔ)漏、城防加固等工作，安全防護(hù)能力在技術(shù)方面、管理方面和運(yùn)營方面上都有了較大的提升。為了能更多的協(xié)同配合，高效的應(yīng)對實(shí)戰(zhàn)階段的攻擊，減少分析處置事件的時(shí)間，提高防守的效果，更需要做好臨戰(zhàn)階段的動(dòng)員工作。

1、召開戰(zhàn)前動(dòng)員會(huì)

戰(zhàn)前動(dòng)員會(huì)主要進(jìn)行三部分的工作：一是實(shí)戰(zhàn)演習(xí)開始前，通過召開現(xiàn)場戰(zhàn)前動(dòng)員會(huì)的形式，進(jìn)行戰(zhàn)前動(dòng)員，統(tǒng)一思想，統(tǒng)一戰(zhàn)術(shù)、提高斗志，達(dá)成共識。二是強(qiáng)調(diào)防護(hù)工作中注意的事項(xiàng)，攻擊手段多種多樣，為防止防守人員被攻擊利用，要嚴(yán)格遵守記錄紅線、做到令行禁止。三是提高大家的攻防意識，對攻擊過程進(jìn)行剖析，對常見的攻擊手段部署針對性的防守要點(diǎn)，做到有的放矢。

2、貫徹工作流程

貫徹工作流程的目的一是對參與防守工作的人員進(jìn)行任務(wù)分工，說明工作職責(zé)、各司其職。二是固化每日工作流程、各崗位協(xié)同配合，做好攻擊事件前期的監(jiān)測、中期的研判和后期的處置工作。三是貫徹制定的工作排班計(jì)劃、交接班要求等。通過工作流程做到防守工作有序有效，提升防守的效果。

3、組織戰(zhàn)術(shù)培訓(xùn)

戰(zhàn)術(shù)培訓(xùn)會(huì)主要工作內(nèi)容有兩項(xiàng)：一是由安全專家分享其他單位的網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防演練相關(guān)經(jīng)驗(yàn)，協(xié)助防守隊(duì)制定不同攻擊場景的防守戰(zhàn)術(shù)。二是安全專家對演練評分規(guī)則的詳細(xì)解讀，提高參演人員對演練的認(rèn)知。

三、實(shí)戰(zhàn)階段——運(yùn)籌帷幄，以逸待勞

前期工作做完后，真正的防守考驗(yàn)來了。作為防守隊(duì)，越是戰(zhàn)時(shí)，越應(yīng)氣定神閑，以“鎮(zhèn)國”妙計(jì)消解攻擊招式，形成自查、整改、加固、監(jiān)測、研判、應(yīng)急處置全維度鎮(zhèn)守防護(hù)，消耗紅方斗志。甚至利用信息不對稱調(diào)動(dòng)攻擊方，掌握主動(dòng)權(quán)，讓“敵兵”知難而退。

1、縱深防御;立體防滲透

防守單位在互聯(lián)網(wǎng)上的網(wǎng)站、接口、VPN等對外服務(wù)會(huì)成為攻擊者的首要目標(biāo)。一旦突破后，攻擊者進(jìn)行橫向突破，控制更多的主機(jī)，建立多條隱蔽隧道，使防守者顧此失彼。

此時(shí)，戰(zhàn)爭中的縱深防御就很適用于網(wǎng)絡(luò)防守。互聯(lián)網(wǎng)端防護(hù)、主機(jī)層防護(hù)、無線網(wǎng)絡(luò)防護(hù)、外部網(wǎng)絡(luò)接入防護(hù)甚至物理層面的防護(hù)，都需要考慮進(jìn)去。通過層層防護(hù)，拖慢攻擊者擴(kuò)大戰(zhàn)果的時(shí)間，將損失降至最小。

2、洞若觀火:全方位監(jiān)控

任何攻擊都會(huì)留下痕跡。攻擊者會(huì)盡量隱藏痕跡、防止被發(fā)現(xiàn);而防守者恰好相反，需要盡早發(fā)現(xiàn)攻擊痕跡，進(jìn)行全流量網(wǎng)絡(luò)監(jiān)控、主機(jī)監(jiān)控、日志監(jiān)控、情報(bào)監(jiān)控等，發(fā)現(xiàn)痕跡后做出針對性防守動(dòng)作并及時(shí)進(jìn)行相應(yīng)應(yīng)急處置。并通過分析攻擊痕跡，調(diào)整防守策略、結(jié)合各種情報(bào)系統(tǒng)追蹤溯源。

3、蜜罐反制，誘敵深入

“善動(dòng)敵者，形之，敵必從之;予之，敵必取之。以利動(dòng)之，以卒待之”在發(fā)現(xiàn)攻擊事件后，防守隊(duì)伍可根據(jù)安全防護(hù)設(shè)備、安全監(jiān)測設(shè)備產(chǎn)生的告警信息、樣本信息等，結(jié)合各種情報(bào)系統(tǒng)追蹤溯源。使用微步在線、站長之家等查詢ip、通過威脅情報(bào)中心反查域名。條件允許時(shí)，可通過部署誘捕系統(tǒng)反制攻擊隊(duì)攻擊終端，做到追蹤溯源、防守反制。

四、戰(zhàn)后整改——厲兵秣馬，枕戈待旦

演習(xí)的結(jié)束也是防護(hù)工作改進(jìn)的開始。在實(shí)戰(zhàn)工作完成后應(yīng)進(jìn)行充分、全面復(fù)盤分析，總結(jié)經(jīng)驗(yàn)、教訓(xùn)。有兩方面工作需要開展。

1、復(fù)盤總結(jié)

通過復(fù)盤會(huì)找出攻防演習(xí)備戰(zhàn)階段、臨戰(zhàn)階段、實(shí)戰(zhàn)階段中的工作方案、組織管理、工作啟動(dòng)會(huì)、系統(tǒng)資產(chǎn)梳理、安全自查及優(yōu)化、基礎(chǔ)安全監(jiān)測與防護(hù)設(shè)備的部署、安全意識、應(yīng)急預(yù)案及演練、注意事項(xiàng)、隊(duì)伍協(xié)同、情報(bào)共享和使用等過程還存在哪些紕漏和不足，輸出技術(shù)和管理兩方面問題整改措施計(jì)劃。同時(shí)，各單位還需立即總結(jié)攻防演習(xí)防守策略，如情報(bào)技術(shù)、反制戰(zhàn)術(shù)、防守作戰(zhàn)指揮策略等，為演習(xí)隊(duì)伍在下一次保障提供防守技術(shù)指導(dǎo)。

2、常態(tài)化管理

攻防演練是網(wǎng)絡(luò)攻防演練活動(dòng)不是一次性保障活動(dòng)，其最終目的是單位通過演習(xí)發(fā)現(xiàn)網(wǎng)絡(luò)安全建設(shè)存在的不足，改進(jìn)和提升整體安全防御能力，通過相對獨(dú)立的安全運(yùn)營思路，以數(shù)據(jù)為中心建立整體網(wǎng)絡(luò)安全防護(hù)體系，進(jìn)而發(fā)揮出最有效的安全能力。我們要應(yīng)該做的是時(shí)刻注意網(wǎng)絡(luò)安全，常態(tài)化管理與實(shí)施網(wǎng)絡(luò)安全。在日常安全工作中提供持續(xù)安全運(yùn)營能力，使網(wǎng)絡(luò)安全防護(hù)措施持續(xù)發(fā)揮成效，進(jìn)而真實(shí)有效地提升安全防護(hù)的能力。文章來源地址http://www.zghlxwxcb.cn/news/detail-454460.html

到了這里，關(guān)于hw藍(lán)隊(duì)防守技戰(zhàn)法的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！