一、文檔概述

將近幾年參加攻防演練的經(jīng)驗進行提煉并進行總結(jié)分享。

攻防演練建議站在黑客的視角下，審視其攻擊流程，再針對性的進行防守，防止出現(xiàn)木桶效應，即攻擊者只會從短板攻入，但構(gòu)建的防守措施卻和短板無關(guān)。

外網(wǎng)縱向入侵流程以及備注信息如下所示:

內(nèi)網(wǎng)橫向滲透流程以及備注信息如下所示:

二、攻防演練前

攻防演練前應進行的工作建議為周期性工作，例如每年1次、每月1次、每日1次，不建議攻防演練前才開始。攻防演練前的工作總結(jié)如下所示：

人員培養(yǎng)

培養(yǎng)單位日常運維人員，以應對隨著信息化日趨完善，軟硬件過多的日常運維工作，同時提升緊急突發(fā)事件發(fā)生時現(xiàn)場人員的可協(xié)調(diào)性，以及重保期間的人員值守工作，因為重保期間非一個單位重保，向其他單位抽調(diào)人員相對較難。

日常運維及資產(chǎn)臺賬月度梳理

梳理軟硬件資產(chǎn)：互聯(lián)網(wǎng)/專網(wǎng)/內(nèi)網(wǎng)的端口暴露面積，老舊資產(chǎn)；

協(xié)調(diào)軟件開發(fā)商自查、清理通用型框架暴露在互聯(lián)網(wǎng)、軟件中的特征；

更新軟硬件資產(chǎn)的信息；

啟用操作系統(tǒng)本地針對系統(tǒng)日志、應用日志、中間件的訪問日志的記錄功能，對產(chǎn)生的日志保存6個月以上；

針對網(wǎng)絡、主機進行安全檢查，并針對性的優(yōu)化加固。

新上線業(yè)務系統(tǒng)的風險評估

未進行風險評估的業(yè)務系統(tǒng)禁止上線。

防護機制月度檢查

互聯(lián)網(wǎng)/專網(wǎng)/內(nèi)網(wǎng)區(qū)域邊界具有監(jiān)測告警/安全防護機制；尤其是專網(wǎng)邊界，【上級單位主動通報攻擊行為來自下級單位并對其斷網(wǎng)和要求自查】和【下級單位主動攔截攻擊行為并交付相關(guān)報告至上級單位】在性質(zhì)層面是具有本質(zhì)區(qū)別的；

安全設備應用層防護策略檢查；

網(wǎng)絡/安全設備網(wǎng)絡層訪問控制檢查；

操作系統(tǒng)本地訪問控制檢查；

操作系統(tǒng)本地安全軟件的防護策略檢查；

如有條件以及具備可行性、可操作性的情況下可建立運行基線，并周期性的巡檢。

軟件版本漏洞月度檢查

跟蹤第三方漏洞公布平臺，匹配本地資產(chǎn)（操作系統(tǒng)/第三方軟硬件/web容器/web框架）的特征，自動化告警存在的漏洞和進行漏洞修復。

軟件邏輯漏洞年度檢查

通過代碼審計、滲透測試發(fā)現(xiàn)邏輯漏洞，并進行修復。

安全意識年度培訓

針對單位全員的安全意識培訓；

針對單位信息化相關(guān)人員的安全技術(shù)培訓。

監(jiān)測告警機制構(gòu)建

針對操作系統(tǒng)、應用系統(tǒng)的可用性事件進行內(nèi)網(wǎng)監(jiān)測告警；

針對操作系統(tǒng)、應用系統(tǒng)的安全性事件進行內(nèi)外網(wǎng)監(jiān)測告警；

構(gòu)建威脅情報系統(tǒng)，威脅情報源越多越好，可同時錄入內(nèi)部/外部的威脅情報，且可根據(jù)情報維度相互關(guān)聯(lián)，可讀性強、可關(guān)聯(lián)性強，適合日常運維人員的習慣，例如威脅情報系統(tǒng)可自動化將攻擊源ip、攻擊工具、攻擊流量等特征進行多維度關(guān)聯(lián)從而形成更高價值的內(nèi)部威脅情報。

應急響應機制構(gòu)建和年度檢查

制定特定安全事件的信息系統(tǒng)安全性專項應急預案；

根據(jù)預案搭建環(huán)境，定期針對特定安全事件進行應急演練；

定期針對內(nèi)網(wǎng)安全防護體系的有效性進行驗證，第一是當下不應該將關(guān)注點全部位于外部的可攻擊面積，內(nèi)部的可攻擊面積直接關(guān)系核心系統(tǒng)、數(shù)據(jù)的安危；第二是防止投入了大量人力物力，結(jié)果內(nèi)網(wǎng)安全防護體系是否有效卻無一個相對準確的答案（相對準確取決于攻方能力）；

組建常規(guī)事件的現(xiàn)場應急支撐團隊以及后臺支撐專家團隊，以及干系人群聊。

容錯機制構(gòu)建

構(gòu)建重要數(shù)據(jù)、痕跡操作系統(tǒng)本地備份機制；

構(gòu)建重要數(shù)據(jù)、痕跡異機備份機制；

針對可用性較高的業(yè)務系統(tǒng)構(gòu)建異地備份機制和容災切換機制；

針對備份機制周期性進行檢查確認是否正常，并周期性的進行恢復測試。

蜜罐密網(wǎng)構(gòu)建

不建議使用開源的蜜罐技術(shù)，沒有技術(shù)支撐，容易發(fā)生蜜罐逃逸安全事件，任何信息系統(tǒng)的變更應該以安全穩(wěn)定為主；

單位日常運維人員技術(shù)條件較好，以產(chǎn)品形態(tài)購買，并熟練使用和定制化需求；單位日常運維人員技術(shù)條件較差，以服務形態(tài)購買，除了首次服務，建議附加年度周期性、維護性服務，頻率越高越好；體現(xiàn)形態(tài)取決于單位的態(tài)度以及供方的本地化實力以及服務態(tài)度；

無論哪種體現(xiàn)形態(tài)，建議購買原廠服務，禁止渠道服務，打一個比方，寫文檔的人可以將文檔的表面含義、深層次的含義口述出來，但是不同使用文檔的人，則高低無標準；因為無論是原廠亦或是渠道均是非特別熟悉單位應用系統(tǒng)架構(gòu)、特性的技術(shù)人員，因此可能會出現(xiàn)【實施開始→交付通用性實施方案→現(xiàn)場簡單調(diào)研→搭建功能可運行的某陣→簡單功能測試→交付實施報告和用戶手冊→簡單功能使用培訓→實施結(jié)束即項目結(jié)束】的情況；

該情況會給供方帶來看不見的負面影響（因為不知道），讓產(chǎn)品未在單位體現(xiàn)出真實的應用價值，也未通過產(chǎn)品/服務的成果給供方引發(fā)、帶來更多的價值，具體表現(xiàn)形式可為某陣無法訪問N久，未定期檢查和優(yōu)化，攻防演練前用戶單位如果無人向其提及，可能都無法通過回憶想起存在這么一個產(chǎn)品。如果該廠商看到了，是感謝我的反饋還是給我打折，打骨折的那種？/狗頭

舒總的理念：賦能無可挑剔，但是遇到了大部分領(lǐng)導都會遇到而且很頭疼的問題，即相關(guān)人員的落地執(zhí)行能力，以及溝通漏斗。/狗頭

攻防演練防守工作啟動會議

向各個層次體現(xiàn)重視程度，以獲取攻防演練時的相關(guān)支撐資源；

記錄會議紀要，為攻防演練總結(jié)報告附件內(nèi)容做準備。

三、攻防演練中

高強度、高重復性且容易發(fā)生錯漏少的情況是【攻防演練中工作】的特有屬性。攻防演練中的工作總結(jié)如下所示：

一次性工作

情報共享：值守領(lǐng)導協(xié)調(diào)上級單位、下級單位、兄弟單位以及值守交班人員，共享防守情報，例如共享攻擊源ip的威脅情報，每交班時與相關(guān)單位交換一次威脅情報，由交班人員加入到本地的防守策略中；

人員保障：協(xié)調(diào)后臺支撐專家遠程待命，保持24小時電話開機，隨時準備進場入侵取證；

現(xiàn)場保護：如攻擊源為內(nèi)網(wǎng)，則往上溯源直至發(fā)現(xiàn)互聯(lián)網(wǎng)ip后，對安全設備、操作系統(tǒng)中的網(wǎng)絡連接狀態(tài)進行截圖取證再進行斷網(wǎng)，在后臺支撐專家趕赴現(xiàn)場前根據(jù)網(wǎng)絡連接描繪出攻擊路徑，禁止其他破壞現(xiàn)場的行為發(fā)生；

攻擊溯源：由于非攻擊者自身，后臺支撐專家將會根據(jù)現(xiàn)場殘留痕跡進行最大程度的入侵溯源，并給出對應的優(yōu)化建議，交付應急處置報告，由值守領(lǐng)導上報上級單位或裁判組；

優(yōu)化加固：現(xiàn)場值守人員根據(jù)應急處置報告中的優(yōu)化建議進行安全隱患、安全風險的優(yōu)化，協(xié)調(diào)軟件開發(fā)商進行安全漏洞的修復，協(xié)調(diào)滲透測試人員對漏洞修復的有效性進行復測；

爭議處置：值守領(lǐng)導根據(jù)值守人員反饋的信息，經(jīng)評估后上報上級單位或裁判組；

寧錯殺，不放過：異常ip在互聯(lián)網(wǎng)網(wǎng)關(guān)處新建一個地址組，將其全部封禁，禁止封國內(nèi)網(wǎng)段防止對應用系統(tǒng)可用性造成影響（如已和業(yè)務部門協(xié)商確認，可在攻防演練中加大策略調(diào)優(yōu)力度，例如封禁ip段等等強有力的控制措施但可能會導致業(yè)務系統(tǒng)發(fā)生可用性問題），封禁國外網(wǎng)段根據(jù)具體情況請示值守領(lǐng)導；

人員值守1：安排值守領(lǐng)導和值守人員2班24小時值守，值守時間和值守批次可自行調(diào)整，但需預留1個機動人員應對突發(fā)情況；人力資源富裕則可3班24小時值守；

人員值守2：每批次巡檢結(jié)束后在干系人群聊中匯報該批次的值守成果，當日值守成果的文件名稱需附日期和時間（xx單位xx值守成果20010101-00:30），為編制當日值守報告做準備；

人員值守3：交接時間已到的情況下，交接人員進行當前班次的值守工作，未完成的值守工作不可交接給下一班次的值守人員，完成后才可下班；

人員值守4：當日值守人員交接時，向當日值守領(lǐng)導和交接人員簡單匯報值守期間的工作成果以及注意事項，向交接人員交付當前班次的所有值守成果；

人員值守5：當日最后一班值守人員交接時，記錄當日值守報告交付當日值守領(lǐng)導，值守報告需具備可讀性，當日值守報告的文件名稱需附日期（xx單位xx值守報告20200101），為攻防演練總結(jié)報告的附件做內(nèi)容準備；值守領(lǐng)導交接時，向下一批次的交接領(lǐng)導交付當日的值守報告及注意事項。

重復性工作，根據(jù)人員能力匹配以下工作內(nèi)容，盡量做到人員/對象全覆蓋

巡檢安全性/可用性事件監(jiān)測告警系統(tǒng)：針對告警事件進行過濾、事件驗證、策略調(diào)優(yōu)；當無新事件時每隔30分鐘巡檢1次；每批次安排1人員，根據(jù)任務量可與【巡檢安全防護硬件】人員為同一人；

巡檢安全防護硬件：針對告警/防護事件進行過濾、事件驗證、策略調(diào)優(yōu)，當無新事件時每隔30分鐘巡檢1次，每批次安排1人員；

巡檢安全防護軟件：針對告警/防護事件進行過濾、事件驗證、策略調(diào)優(yōu)，每1小時巡檢1次，以每批次巡檢15個操作系統(tǒng)為單位安排人員；

巡檢windows操作系統(tǒng)：針對當天全部目錄的全部新增文件或特定目錄的特定新增文件進行巡檢，每1小時巡檢1次，以每批次巡檢15個操作系統(tǒng)為單位安排人員；巡檢方法詳見目錄《附件-windows新增文件值守方法》；

巡檢linux操作系統(tǒng)：針對當天全部目錄的全部新增文件或特定目錄的特定新增文件進行巡檢，每1小時巡檢1次，以每批次巡檢15個操作系統(tǒng)為單位安排人員；巡檢方法詳見目錄《附件-linux新增文件值守方法》；

根據(jù)單位需求巡檢本文中未提及的軟硬件系統(tǒng)。

四、攻防演練后

攻防演練結(jié)束后存在三種防守成果，根據(jù)不同的成果進行不同的總結(jié)

防守成功，根據(jù)防守得分參加防守方排名；

防守失敗，核心系統(tǒng)被攻破，不參加防守方排名；后續(xù)本地主管部門進行通報、現(xiàn)場檢查年度等級保護/風險評估的工作成果、然后本單位進行優(yōu)化加固、以及主管單位的復檢；

作為附屬單位參演，攻方有入侵成功的的成果但附屬單位未發(fā)現(xiàn)，上級單位進行內(nèi)部通報及處理。

攻防演練后的工作總結(jié)思路

值守領(lǐng)導安排值守人員編寫攻防演練總結(jié)報告和整理附件，附件包括不限于會議紀要、日常值守報告、應急響應報告等攻防演練防守痕跡，并對其內(nèi)容進行審核，確認無誤后交付裁判組/上級單位；

值守人員根據(jù)防守成功的結(jié)果，在收到攻方的總結(jié)報告后，對比優(yōu)化加固報告，檢查是否存在遺漏；值守領(lǐng)導安排值守人員編寫會議材料，展開總結(jié)分析會議，提煉防守心得和防守技戰(zhàn)法；

值守人員根據(jù)防守失敗的現(xiàn)狀，在收到攻方的總結(jié)報告后，對比優(yōu)化加固報告，檢查是否存在遺漏；值守領(lǐng)導安排值守人員編寫會議材料，展開總結(jié)分析會議，提煉防守失敗的主要因素，包括不限于人為因素、技術(shù)因素和軟硬件因素，以及識別以上因素中存在的安全隱患、安全風險和安全漏洞，同步制定相關(guān)聯(lián)的、現(xiàn)階段即可落地執(zhí)行的優(yōu)化整改措施；同步制定信息系統(tǒng)安全防護體系建立健全的計劃，并根據(jù)計劃制定建立健全的流程并將其逐步落地（分步驟、按批次，逐漸完善、循循漸進）。

五、文檔總結(jié)

針對攻防演練前中后的防守思路進行提煉，同時將提煉的內(nèi)容進行總結(jié)，如下所示：

【梳理互聯(lián)網(wǎng)/專網(wǎng)/內(nèi)網(wǎng)的可攻擊面積】影響黑客【信息收集】的成果；

【安全域的訪問控制】影響黑客【內(nèi)外網(wǎng)滲透】的可行性；

【關(guān)鍵路徑上的安全軟硬件中的防護策略】影響黑客【內(nèi)外網(wǎng)滲透】的成果；

【本地痕跡】、【第三方保存的痕跡】影響【攻擊溯源】的可行性。

六、附件-windows新增文件值守方法

通過everything工具進行檢查，dc:后跟日期，檢查創(chuàng)建時間為1999年01月01日，后綴為.txt的文件。
dm:后跟日期，檢查修改時間為1999年01月02日，名稱包含te和.的文件。
da:后跟時間，檢查訪問時間為1999年01月03日的文件。
注意：windows文件的所有時間完全不可信，因此文件時間僅作為參考依據(jù)。攻防相悖論的地方，如果攻方看到/哭泣，以后就只能根據(jù)邏輯進行痕跡關(guān)聯(lián)，無法通過直接證據(jù)進行痕跡關(guān)聯(lián)了，但只要正在運行，即代表可以找到痕跡并進行邏輯關(guān)聯(lián)，如果不運行，即代表無危害不用緊張，包括不會自啟動的程序。

七、附件-linux新增文件值守方法

是否受夠了網(wǎng)上大量查找最近7天的方法/狗頭？查找/path目錄下2020年12月1日訪問過后綴為jsp文件，即atime。path可以是絕對路徑，也可以是當前目錄./

• ?

find /path -name "*.jsp" -newerat '2020-12-01 00:00:00' ! -newerat '2020-12-01 23:59:59'

查找/path目錄下2020年12月1日改動過后綴為jsp文件，即mtime。

• ?

find /path -name "*.jsp" -newermt '2020-12-01 00:00:00' ! -newermt '2020-12-01 23:59:59'

查找/path目錄下2020年12月1日創(chuàng)建的后綴為jsp文件，即ctime。

• ?

find /path -name "*.jsp" -newerct '2020-12-01 00:00:00' ! -newerct '2020-12-01 23:59:59

示例：

總結(jié)

以上是生活随笔為你收集整理的企业参加HVV的防守思路总结的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。