蓝队应对攻击的常用策略三

五、主动防御：全方位监控
近两年的红蓝对抗，攻击队的手段越来越隐蔽，越来越单刀直入，通过0Day、NDay直取系统漏洞，直接获得系统控制权限。
蓝队需拥有完整的系统隔离手段，红队成功攻击到内网之后，会对内网进行横向渗透。所以系统与系统之间的隔离，就显得尤为重要！蓝队必须清楚哪些系统之间有关联、访问控制措施是什么！在发生攻击事件后，应当立即评估受害系统范围和关联的其他系统，并及时做出应对的访问控制策略，防止内部持续的横向渗透。
任何攻击都会留下痕迹。攻击队尽量隐蔽痕迹、防止被发现。而防守者恰好相反，需要尽早发现攻击痕迹，并通过分析攻击痕迹，调整防守策略、溯源攻击路径甚至对可疑攻击源进行反制。建立全方位的安全监控体系是防守者最有力的武器，总结多年实战经验，有效的安全监控体系需在如下几方面开展。
1）自动化的IP封禁
在整个红蓝对抗过程中，如果蓝队成员7X24小时不间断从安全设备的高警中识别风险，将极大地消耗监测人员、处置人员的精力。通过部署态势感知与安全设备联动，收取全网安全设备的告警信息，当态势感知系统收到安全告警信息后，根据预设规则自动下发边界封禁策略，使封禁设备能够做出及时有效的阻断和拦截，大大降低了人工的参与程度，提高整个蓝队的防守效率。
2）全流量网络监控
任何攻击都要通过网络，并产生网络流量。攻击数据和正常数据肯定是不同的，通过全网络流量去捕获攻击行为是目前最有效的安全监控方式。蓝队或防守者通过全流量安全监控设备，结合安全人员的分析，可快速发现攻击行为，并提前做出针对性防守动作。
3）主机监控
任何攻击最终目标是获取主机（服务器或终端）权限。通过部署合理的主机安全软件，审计命令执行过程、监控文件创建进程，及时发现恶意代码或WebShell，并结合网络全流量监控措施，可以更清晰、准确、快速地找到攻击者的真实目标主机。
4）日志监控
对系统和软件的日志监控同样必不可少。日志信息是帮助防守队分析攻击路径的一种有效手段。攻击队攻击成功后，打扫战场的首要任务就是删除日志，或者切断主机日志的外发，以防止防守队追踪。防守队应建立一套独立的日志分析和存储机制，重要目标系统可派专人对目标系统日志和中间件日志进行恶意行为监控分析。
5）蜜罐诱捕
随着红蓝对抗的持续化发展，蜜罐技术是改变蓝队被动挨打局面的一把利器！其特点是诱导攻击队攻击伪装目标，持续消耗攻击队资源，保护真实资产，监控期间针对所有的攻击行为进行分析，可意外捕获0Day信息。
目前的蜜罐技术可分为3种：自制蜜罐、高交互蜜罐和低交互蜜罐，也可诱导攻击队下载远控程序，定位攻击队自然人身份，提升主动防御能力，让对抗工作由被动变主动。
6）情报工作支撑
现场防守队员在防守中，一是要善于利用情报搜集工作提供的各种情报成果，根据情报内容及时对现有环境进行筛查和处置。二是对已获取的情报，请求后端资源对情报进行分析和辨别，以方便采取应对措施。

六、应急处突：完善的方案
通过近几年的红蓝对抗发展来看，红蓝对抗初期，红队成员通过普通攻击的方式，不使用0Day或其他攻击方式，就能轻松突破蓝队的防守阵地。
但是，蓝队防护体系的发展早已从只有防火墙做访问控制，到现在逐步完善了WAF、IPS、IDS、EDR等多种防护设备，使蓝队无法突破，从而逼迫蓝队成员通过使用0Day、NDay、现场社工、钓鱼等多种方式入侵蓝队目标，呈无法预估的特点。
所以应急处突是近两年红蓝对抗中发展的趋势，同时也是整个蓝队防守水平的体现之处，不仅考验应急处置人员的技术能力，更检验多部门(单位)协同能力，所以制定应急预案应当从以下几个方面进行。
一是完善各级组织结构，如：监测组、研判组、应急处置组（网络小组、系统运维小组、应用开发小组、数据库小组)、协调组等。
二是明确各方人员，在各个组内担任的角色，如：监测组的监测人员。
三是明确各方人员，在各个组内担任的职责，如：监测组的监测人员，负责某台设备的监测，并且7X24小时不得离岗等。
四是明确各方设备的能力与作用，如防护类设备、流量类设备、主机检测类设备等。
五是制定可能出现的攻击成功场景，如：Web攻击成功场景、反序列化攻击成功场景、WebShell上传成功场景等。
六是明确突发事件的处置流程，将攻击场景规划至不同的处置流程：上机查证类处置流程、非上机查证类处置流程等。

七、溯源反制：人才是关键
溯源工作一直是安全的重要组成部分，无论在平常的运维工作，还是红蓝对抗的特殊时期，在发生安全事件后，能有效防止被再次入侵的有效手段，就是溯源工作!
在红蓝对抗的特殊时期，防守队中一定要有经验丰富、思路清晰的溯源人员，能够第一时间进行应急响应，按照应急预案分工，快速查清入侵过程，并及时调整防护策略，防止再次入侵，同时也为反制人员提供溯源到的真实IP，进行反制工作。
反制工作是防守队反渗透能力的体现，普通的防守队员一般也只具备监测、分析、研判的能力，缺少反渗透的实力。这将使防守队一直属于被动的一方，因为防守队没有可反制的固定目标，也很难从成干上百的攻击IP里，确定哪些可能是攻击队的地址，这就要求防守队中要有经验丰富的反渗透的人员。
经验丰富的反渗透人员会通过告警日志，分析攻击IP、攻击手法等内容，对攻击IP进行端口扫描、IP反查域名、威胁情报等信息收集类工作，通过收集到的信息进行反渗透。
防守队还可通过效防攻击队社工手段，诱导攻击队进入诱捕陷阱，从而达到反制的目的，定位攻击队自然人的身份信息。

蓝队应对攻击的常用策略三相关推荐

HW：红队眼中的防守弱点与蓝队应对攻击的常用策略
HW 红队眼中的防守弱点一.资产混乱.隔离策略不严格除了大型银行之外,很多行业对自身资产情况比较混乱,没有严格的访问控制ACL策略,且办公网和互联网之间大部分相通,可以直接使远程控制程序上线. 除 ...
红蓝对抗-HW红蓝队基本知识
第一章什么是蓝队蓝队,一般是指网络实战攻防演习中的攻击一方. 蓝队一般会采用针对目标单位的从业人员,以及目标系统所在网络内的软件.硬件设备同时执行多角度.全方位.对抗性的混合式模拟攻击手段:通过技 ...
蓝队攻击的四个阶段（二）
目录一,漏洞利用工具 (1)WebLogic 全版本需洞利用工具 (2)Struts2 综合漏洞利用工具 (3)sqlmap 注入工具 (4)vSphere Client RCE 漏洞(CVE-20 ...
蓝队视角下的企业安全运营
蓝队应急响应处置案例一.发现及研判组 [攻击成功分析及举证] 1630308078_612c86eeae5b5a42afaba.png!small?1630308079430 处置建议:排查可疑进程 ...
如何提高蓝队在实战攻防演习中的防御水平？
重新认识蓝队体系背景随着近几年复杂国际形势的大背景和国内护网活动的锤炼,传统的安全运维/服务类解决方案在面临新的挑战和要求下显得捉襟见肘,日渐吃力.越来越多的组织开始引入红队服务来寻求对信息系统的 ...
域控服务器排查命令,mimikatz利用zerologon攻击域控服务器相关命令（附蓝队自查方案）...
0x01 前言 mimikatz 20200918版本支持通过zerologon漏洞攻击域控服务器.下载链接如下https://github.com/gentilkiwi/mimikatz/relea ...
网络攻防实战演习之蓝队指南
第一章概述背景网络实战攻防演习是当前国家.重要机关单位和企业组织用来检验网络安全防御能力的重要手段之一,是当下检验对关键信息系统基础设施网络安全保护工作的重要组成部分.网络实战攻防演习通常是以实 ...
红队蓝队紫队具体是指什么
红队什么是红队红队,是指网络实战攻防演练中的防守一方. 红队一般是以参演单位现有的网络安全防护体系为基础,在实战攻防演练期间组建的防守队伍.红队的主要工作包括演练前安全检查.整改与加固,演练期 ...
渗透测试-红/蓝队Hvv技术手册/面试
红/蓝队Hvv技术手册/面试介绍一下自己,喜欢研究的,实战过的项目,得过奖项的感悟. 经常关注的安全平台基本功网络协议(HTTP.TCP) 操作系统命令底层编程开发(应用框架) 加密解密编码 ...
兵临城下公开课丨构建蓝队第三道防线——内网防失陷守好最后关卡
[兵临城下]系列公开课是盛邦安全基于多年攻防实战经验,针对重保及攻防演习等场景而推出的系列直播活动,将从资产暴露面梳理.攻击面管理.脆弱性自查.安全防线加固.协同联动防御以及攻击溯源.应急响应等全流程 ...

蓝队应对攻击的常用策略三

蓝队应对攻击的常用策略三相关推荐

最新文章

热门文章