【攻防演练】蓝方值守阶段经验技巧
随着国家对网络安全的建设不断加强,各地组织的攻防演练行动会越来越多。今天来分享蓝方在正式防护阶段时,需要重点加强防护过程中的安全保障工作,从攻击监测、攻击分析、攻击阻断、漏洞修复和追踪溯源等方面全面加强演习过程的安全防护效果。
【网安学习攻略】
全面监控
安全事件实时监测
借助安全设备(全流量分析设备、Web防火墙、IDS、 IPS、 数据库审计等)开展安全事件实时监测,对发现的攻击行为进行确认,详细记录攻击相关数据,为后续处置工作开展提供信息。
综合研判
安全事件综合研判
确认方式:攻击方式确认、攻击路径确认、攻击范围确认、攻击结果确认。
以找到攻击者的源IP地址、攻击服务器IP地址、邮件地址等信息,并对攻击方法、攻击方式、攻击路径和工具等进行分析研判。
【网安学习攻略】
基于全面监控提供监控数据,配合研判依据数据提供有效支撑,完成发生安全攻击事件上报。
基于全流量的数据分析
结合数据分析技术和安全攻防技术可以对已经发生的攻击行为进行多角度、全方位、可反复回溯的深度检测,从而更容易检测出潜在的入侵行为,内网重点关注以上攻击行为。
口令爆破:常见的重点口令的爆破、ssh、rdp、smb等
命令执行:系统命令(dir、ipconfig、whoami);端口反弹(lcx、powershell、 nc等)
高危漏洞:Web层(Sq|注入、反序列化、Struts2等); 系统层(ms17-010.破壳漏洞)
基于服务器的数据分析
【网安学习攻略】
软件不需要安装到服务器,只需要将服务器相关日志、注册表导出到本地进行分析
1、注册表分析:对启动项、环境变量、系统启动shell、Office宏、映像劫持、计划任务、TeamView使用等做分析
2、系统日志分析:对Windows、Linux服务器的系统日志进行包括入侵时间、入侵主机、入侵方式做初步溯源
3、中间件日志分析:主要对主流中间件如IIS、Tomcat、Apache、Weblogic等通过日志分析入侵途径、入侵手段
4、Linux分析:作为补充,对手工检测提供参考
基于重点日志分析
在护网中,VPN、域控、堡垒机是攻击的重点对象,同时也是监控薄弱环节,天融信服务团队主动开展针对重点系统的日志分析。
重点关注的事件类型:异常时间登录、境外IP登录、异地登录、暴力破解(1个账号多次登录失败10次以上)、撞库攻击(1个IP多次登录失败10次以上)、共享账号(1个IP多个用户登录)、威胁情报检测(对异常IP进行检测)、日志质量(对无法登陆的IP检查是否为正常情况)
应急溯源
系统账号,日志,历史命令,可疑文件,端口、进程,Webshell、后门,启动项,病毒
【网安学习攻略】
实际操作中的经验
1、研判确定为攻击地址,且有明确攻击行为证据再进行溯源,减少溯源工作量。
2、发现溯源攻击地址为移动动态ip、CDN地址,就没必要继续追查了,减少溯源工作量。
3、溯源可多方面进行,网站注册人、邮箱、联系电话等信息,必要时可对攻击IP进行反渗透。
4、流量中ID信息不要放过,可利用社工库对其进行反查,能够获取大量信息。
5、钓鱼邮件中恶意文件可放于沙箱中进行动态监测,反查邮件,定位攻击IP。
6、恶意程序可用沙箱监测,定位反链,从而获取攻击者信息。
7、社工库要利用起来,多方面收集信息,去除垃圾信息,从而定位精确信息。
8、情报共享平台要利用起来,如微步等情报平台多关注,多利用。
9、凡是有溯源结果的,可交于客户进行上报,无论加分成功与否,都可促进客户满意度。
10、定位到手机号。可以添加到手机通讯录中,利用钉钉等办公软件查找该人员所属公司。
11、利用人脉询问也是个是个好的办法。
需要注意的问题
1、建议组建专门的溯源团队进行溯源工作开展,蓝队现场同事可进行支撑(专职溯源电脑,不连内网)(原因:蓝队现场同事直接参与溯源,若掉入红队陷阱,会影响蓝队客户现场网络安全)
2、建议注册几个公用的社交帐号,供溯源人员进一步社工溯源操作,比如类似通过社交工具加别人好友,然后进行社工操作,一定程度上用来保护溯源人员安全
不足之处
1、获取信息说服力度不足,无确切证据表明为某某攻击队进行攻击,需要研究如何坐实证据。
2、溯源工作量大,需要专人专职进行溯源,攻击IP可能存在垃圾IP、黑产恶意IP等与护网无关IP进行干扰,需要专职人员进行处理筛选
3、溯源往往溯源到社工库提供的人就停止了,无法定位该人员所属公司、所属攻击队,从而无法得分
4、很多攻击IP为跳板机,很多情况溯源出的人也是受害者,需要更深一步的溯源
5、溯源可能会涉及到反渗透部分,属于未授权测试,可能会触碰一些法律法规
6、溯源准备需要进行沉淀积累,并做好提前准备
数据上报
事件信息(事件类型、发生时间、影响目标、攻击结果)、处置方式、存在的问题、处理意见
【网安学习攻略】
【攻防演练】蓝方值守阶段经验技巧相关推荐
- 红蓝攻防演练过程中零失陷经验分享
本文选取了金融单位.集团公司和政府单位三个红队经典防守实 例,从防守思路.重点和职责分工等方面,直观展示了如何实操红队 防守各阶段的工作及防守策略.防护手段,给不同组织和业务场景 下,分阶段.有侧重开 ...
- 攻防演练组织方的实战演练计划表
紫队作为实战攻防演练的组织方,着眼于演练的整体局势,同时 兼顾着红蓝双方的演练成果与风险.通过制定合理的演练规则与完备 的应急预案,在确保不影响生产的前提下,利用攻防对抗的方式,可 以充分发挥蓝队的攻 ...
- 攻防演练防守方注意要点
要点一:安全设备拦截 虽然目前大多数企业都非常重视信息安全,但是在攻防演练初期,大部分攻击者会使用扫描工具来收集资产及漏洞信息,攻击告警量会大幅度增加,对应的防守人员无法逐个处理所有攻击告警.因此各企 ...
- 攻防演练-组织沙盘推演的4个阶段.
组织沙盘推演的4个阶段 沙盘推演是在实战攻防演练的基础上,在攻击路线.攻击手段等 的有效性被证实的情况下,评估真实网络攻击可能对政企机构及公共 安全产生的影响,包括经济损失.声誉损失和社会影响等:同时 ...
- 红蓝攻防演练怎样构建实战化网络安全防御体系
笔者简介 团队以攻防技术为核心,在云端大数据支撑下聚焦威胁检测和响 应,具备咨询规划.威胁检测.攻防演练.持续响应.预警通告.安 全运营等一系列实战化服务能力,是一支能够为客户提供全周期安全 保障服务 ...
- 攻防演练结束后 全面复盘,总结经验
总结阶段:全面复盘,总结经验 实战攻防演练的结束也是红队改进防守工作的开始.在每次红蓝 对抗演练结束后,应对各阶段进行充分.全面的复盘分析,提出整改 措施.一般须遵循"遗留最小风险" ...
- 攻防演练前 临战阶段:战前动员,鼓舞士气
临战阶段:战前动员,鼓舞士气 经历了备战阶段的查缺补漏.城防加固等工作,红队的安全防护 能力在技术方面.管理方面和运营方面都有了较大提升.为了更好地 协同配合,高效地应对实战阶段的攻击,减少分析处置事 ...
- 攻防演练过程中防守方必备的关键安全设备
部署安全设备及系统是防守工作的必要条件之一,以下通过边界 防御设备.安全检测设备.流量监控设备.终端防护设备.威胁情报 系统这五方面帮助读者了解.熟悉红队常用的关键安全设备. 边界防御设备 防火墙 防 ...
- 攻防演练 第三方供应商梳理
技术方面 为了及时发现自身安全隐患和薄弱环节,红队需要有针对性地开 展自查工作,并进行安全整改与加固,内容包括资产梳理.网络架构 梳理.安全检查 加固.攻防演练.下面针对这四项内容展开介绍. (1)资 ...
最新文章
- Android初学者教程
- 给GAN一句描述,它就能按要求画画,微软CVPR新研究 | 附PyTorch代码
- linux 下 iscsi的简单使用
- Java如何通过WSDL文件来调用这些web service
- 【放置奇兵】英雄各属性介绍
- 聊聊asp.net中Web Api的使用
- 操作系统 --- 线程与进程的比较
- Java笔记12-函数式接口
- ContOS 7 安装Jenkins
- JAVAWeb开发之Servlet-18.Servlet共享变量与变量的作用域
- (转)质量的5大手册APQP、PPAP 、FMEA、 SPC 、MSA 是什么意思?
- 解决maven报错JAVA_HOME should point to a JDK not a JRE问题
- 68ES6_解构_数组操作_对象操作
- 怎样做项目计划(转载)
- 有些事现在不做,一辈子都不会做了
- 如何快速去除图片上的水印
- 如何通俗地解释云计算,看完这组图就明白了
- 微信小程序background-img问题
- 实例6,stc8a8k单片机开发板4脚的OLED显示数据(I2C通信)
- 鸿蒙系统和海思系统有什么区别,鸿蒙系统和安卓系统 到底有什么区别?
热门文章
- ML之FE:数据随机抽样之利用pandas的sample函数对超大样本的数据集进行随机采样,并另存为csv文件
- DL之ResNeXt:ResNeXt算法的简介(论文介绍)、架构详解、案例应用等配图集合之详细攻略
- ML之NB:基于NB朴素贝叶斯算法训练20类新闻文本数据集进行多分类预测
- RL之SARSA:利用强化学习之SARSA实现走迷宫—训练智能体走到迷宫(复杂陷阱迷宫)的宝藏位置
- sklearn中的Pipline(流水线学习器)
- arcgis js api proxy java 版本配置
- Java之Java程序与虚拟机
- js自定义类,混合的构造函数/原型方式
- sql server中的decimal或者numeric的精度问题 (转载)
- Ubuntu设置静态IP,解决重启后需要重新设置的问题。