声明

本文是学习实战攻防之蓝队视角下的防御体系构建. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

蓝队应对攻击的常用策略

未知攻焉知防。如果企业安全部门不了解攻击者的攻击思路、常用手段，有效的防守将无从谈起。从攻击者实战视角去加强自身防护能力，将是未来的主流防护思想。

攻击者一般会在前期搜集情报，寻找突破口、建立突破据点；中期横向移动打内网，尽可能多地控制服务器或直接打击目标系统；后期会删日志、清工具、写后门建立持久控制权限。针对攻击者或红队的常用套路，蓝队应对攻击的常用策略可总结为：防微杜渐、收缩战线、纵深防御、核心防护、洞若观火等。

防微杜渐：防范被踩点

攻击者首先会通过各种渠道收集目标单位的各种信息，收集的情报越详细，攻击则会越隐蔽，越快速。前期防踩点，首先要尽量防止本单位敏感信息泄露在公共信息平台，加强人员安全意识，不准将带有敏感信息的文件上传至公共信息平台。

社工也是攻击者进行信息收集和前期踩点的重要手段，要定期对信息部门重要人员进行安全意识培训，如：来路不明的邮件附件不要随便点开，聊天软件未经身份确认不要随便添加。此外，安全管理和安全意识培训难免也会有漏网之鱼，安全运营部门应定期在一些信息披露平台搜索本单位敏感词，查看是否存在敏感文件泄露情况。

收缩战线：收敛攻击面

门用于防盗，窗户没关严也会被小偷得逞。攻击者往往不会正面攻击防护较好的系统，而是找一些可能连防守者自己都不知道的薄弱环节下手。这就要求防守者一定要充分了解自己暴露在互联网的系统、端口、后台管理系统、与外单位互联的网络路径等信息。哪方面考虑不到位、哪方面往往就是被攻陷的点。互联网暴露面越多，越容易被攻击者“声东击西”，最终导致防守者顾此失彼，眼看着被攻击却无能为力。结合多年的防守经验，可从如下几方面收敛互联网暴露面。

攻击路径梳理

由于网络不断变化、系统不断增加，往往会产生新的网络边界和新的系统。蓝队（防守单位）一定要定期梳理自己的网络边界、可能被攻击的路径，尤其是内部系统全国联网的单位更要注重此项梳理工作。

互联网攻击面收敛

一些系统维护者为了方便，往往会把维护的后台、测试系统和端口私自开放在互联网上，方便维护的同时也方便了攻击者。攻击者最喜欢攻击的WEB服务就是网站后台，以及安全状况比较差的测试系统。蓝队须定期检测如下内容：开放在互联网的管理后台、开放在互联网上的测试系统、无人维护的僵尸系统、拟下线未下线的系统、疏漏的未纳入防护范围的互联网开放系统。

外部接入网络梳理

如果正面攻击不成，红队或攻击者往往会选择攻击供应商、下级单位、业务合作单位等与目标单位有业务连接的其他单位，通过这些单位直接绕到目标系统内网。防守单位应对这些外部的接入网络进行梳理，尤其是未经过安全防护设备就直接连进来的单位，应先连接防护设备，再接入内网。

隐蔽入口梳理

由于API接口、VPN、WiFi这些入口往往会被安全人员忽略，这往往是攻击者最喜欢打的入口，一旦搞定则畅通无阻。安全人员一定要梳理WEB服务的API隐藏接口、不用的VPN、WiFi账号等，便于重点防守。

纵深防御：立体防渗透

前期工作做完后，真正的防守考验来了。防守单位在互联网上的冠名网站、接口、VPN等对外服务必然会成为攻击者的首要目标。一旦一个点突破后，攻击者会迅速进行横向突破，争取控制更多的主机，同时试图建立多条隐蔽隧道，巩固成果，使防守者顾此失彼。

此时，战争中的纵深防御理论就很适用于网络防守。互联网端防护、内外部访问控制（安全域间甚至每台机器之间）、主机层防护、重点集权系统防护、无线网络防护、外部网络接入防护甚至物理层面的防护，都需要考虑进去。通过层层防护，尽量拖慢攻击者扩大战果的时间，将损失降至最小。

互联网端防护

互联网作为防护单位最外部的接口，是重点防护区域。互联网端的防护工作可通过部署网络防护设备和开展攻击检测两方面开展。需部署的网络防护设备包括：下一代防火墙、防病毒网关、全流量分析设备、防垃圾邮件网关、WAF（云WAF）、IPS等。攻击检测方面。如果有条件，可以事先对互联网系统进行一次完整的渗透测试，检测互联网系统安全状况，查找存在的漏洞。

访问控制措施

互联网及内部系统、网段和主机的访问控制措施，是阻止攻击者打点、内部横向渗透的最简单有效的防护手段。防守者应依照“必须原则”，只给必须使用的用户开放访问权限，按此原则梳理访问控制策略，禁止私自开放服务或者内部全通的情况出现，通过合理的访问控制措施尽可能地为攻击者制造障碍。

主机防护

当攻击者从突破点进入内网后，首先做的就是攻击同网段主机。主机防护强度直接决定了攻击者内网攻击成果的大小。防守者应从以下几个方面对主机进行防护：关闭没用的服务；修改主机弱口令；高危漏洞必须打补丁（包括装在系统上的软件高危漏洞）；安装主机和服务器安全软件；开启日志审计。

集权系统

集权系统是攻击者最喜欢打的内部系统，一旦被拿下，则集权系统所控制的主机可同样视为已被拿下，杀伤力巨大。集权系统是内部防护的重中之重。

蓝队或防守者一般可从以下方面做好防护：集权系统的主机安全；集权系统访问控制；集权系统配置安全；集权系统安全测试；集权系统已知漏洞加固或打补丁；集权系统的弱口令等。

无线网络

不安全的开放无线网络也有可能成为攻击者利用的攻击点。无线开放网络与业务网络应分开。一般建议无线网接入采用强认证和强加密。

外部接入网络

如果存在外部业务系统接入，建议接入的系统按照互联网防护思路，部署安全设备，并对接入的外部业务系统进行安全检测，确保接入系统的安全性，防止攻击者通过这些外部业务系统进行旁路攻击。

守护核心：找到关键点

核心目标系统是攻击者的重点攻击目标，也应重点防护。上述所有工作都做完后，还需要重点梳理：目标系统和哪些业务系统有联系？目标系统的哪些服务或接口是开放的？传输方式如何？梳理得越细越好。同时还须针对重点目标系统做一次交叉渗透测试，充分检验目标系统的安全性。协调目标系统技术人员及专职安全人员，专门对目标系统的进出流量、中间件日志进行安全监控和分析。

洞若观火：全方位监控

任何攻击都会留下痕迹。攻击者会尽量隐藏痕迹、防止被发现；而防守者恰好相反，需要尽早发现攻击痕迹，并通过分析攻击痕迹，调整防守策略、溯源攻击路径、甚至对可疑攻击源进行反制。建立全方位的安全监控体系是防守者最有力的武器，总结多年实战经验，有效的安全监控体系需在如下几方面开展：

全流量网络监控

任何攻击都要通过网络，并产生网络流量。攻击数据和正常数据肯定是不同的，通过全网络流量去捕获攻击行为是目前最有效的安全监控方式。蓝队或防守者通过全流量安全监控设备，结合安全人员的分析，可快速发现攻击行为，并提前做出针对性防守动作。

主机监控

任何攻击最终都会落到主机（服务器或终端）上。通过部署合理的主机安全软件，结合网络全流量监控措施，可以更清晰、准确、快速地找到攻击者的真实目标主机。

日志监控

对系统和软件的日志监控同样必不可少。日志信息是帮助防守者分析攻击路径的一种有效手段。攻击者攻击成功后，打扫战场的首要任务就是删除日志，或者切断主机日志的外发，以防止防守者追踪。防守者应建立一套独立的日志分析和存储机制，重要目标系统可派专人对目标系统日志和中间件日志进行恶意行为监控分析。

情报监控

高端攻击者会用0day或Nday漏洞来打击目标系统、穿透所有防守和监控设备，防守者对此往往无能为力。防守单位可通过与更专业的安全厂商合作，建立漏洞通报机制，安全厂商应将检测到的与防守单位信息资产相关的0day或Nday漏洞快速通报给防守单位。防守单位根据获得的情报，参考安全厂商提供的解决方案，迅速自查处置，将损失减到最少。