隨著國(guó)家對(duì)網(wǎng)絡(luò)安全的建設(shè)不斷加強(qiáng)，各地組織的攻防演練行動(dòng)會(huì)越來越多。今天來分享藍(lán)方在正式防護(hù)階段時(shí)，需要重點(diǎn)加強(qiáng)防護(hù)過程中的安全保障工作，從攻擊監(jiān)測(cè)、攻擊分析、攻擊阻斷、漏洞修復(fù)和追蹤溯源等方面全面加強(qiáng)演習(xí)過程的安全防護(hù)效果。
【網(wǎng)安學(xué)習(xí)攻略】

全面監(jiān)控

安全事件實(shí)時(shí)監(jiān)測(cè)

借助安全設(shè)備（全流量分析設(shè)備、Web防火墻、IDS、 IPS、 數(shù)據(jù)庫審計(jì)等）開展安全事件實(shí)時(shí)監(jiān)測(cè)，對(duì)發(fā)現(xiàn)的攻擊行為進(jìn)行確認(rèn)，詳細(xì)記錄攻擊相關(guān)數(shù)據(jù)，為后續(xù)處置工作開展提供信息。

綜合研判

安全事件綜合研判

確認(rèn)方式：攻擊方式確認(rèn)、攻擊路徑確認(rèn)、攻擊范圍確認(rèn)、攻擊結(jié)果確認(rèn)。

以找到攻擊者的源IP地址、攻擊服務(wù)器IP地址、郵件地址等信息，并對(duì)攻擊方法、攻擊方式、攻擊路徑和工具等進(jìn)行分析研判。
【網(wǎng)安學(xué)習(xí)攻略】
基于全面監(jiān)控提供監(jiān)控?cái)?shù)據(jù)，配合研判依據(jù)數(shù)據(jù)提供有效支撐，完成發(fā)生安全攻擊事件上報(bào)。

基于全流量的數(shù)據(jù)分析

結(jié)合數(shù)據(jù)分析技術(shù)和安全攻防技術(shù)可以對(duì)已經(jīng)發(fā)生的攻擊行為進(jìn)行多角度、全方位、可反復(fù)回溯的深度檢測(cè)，從而更容易檢測(cè)出潛在的入侵行為，內(nèi)網(wǎng)重點(diǎn)關(guān)注以上攻擊行為。

口令爆破：常見的重點(diǎn)口令的爆破、ssh、rdp、smb等

命令執(zhí)行：系統(tǒng)命令（dir、ipconfig、whoami）；端口反彈（lcx、powershell、 nc等）

高危漏洞：Web層（Sq|注入、反序列化、Struts2等）； 系統(tǒng)層（ms17-010.破殼漏洞）

基于服務(wù)器的數(shù)據(jù)分析
【網(wǎng)安學(xué)習(xí)攻略】
軟件不需要安裝到服務(wù)器,只需要將服務(wù)器相關(guān)日志、注冊(cè)表導(dǎo)出到本地進(jìn)行分析

1、注冊(cè)表分析：對(duì)啟動(dòng)項(xiàng)、環(huán)境變量、系統(tǒng)啟動(dòng)shell、Office宏、映像劫持、計(jì)劃任務(wù)、TeamView使用等做分析

2、系統(tǒng)日志分析：對(duì)Windows、Linux服務(wù)器的系統(tǒng)日志進(jìn)行包括入侵時(shí)間、入侵主機(jī)、入侵方式做初步溯源

3、中間件日志分析：主要對(duì)主流中間件如IIS、Tomcat、Apache、Weblogic等通過日志分析入侵途徑、入侵手段

4、Linux分析：作為補(bǔ)充，對(duì)手工檢測(cè)提供參考

基于重點(diǎn)日志分析

在護(hù)網(wǎng)中，VPN、域控、堡壘機(jī)是攻擊的重點(diǎn)對(duì)象，同時(shí)也是監(jiān)控薄弱環(huán)節(jié)，天融信服務(wù)團(tuán)隊(duì)主動(dòng)開展針對(duì)重點(diǎn)系統(tǒng)的日志分析。

重點(diǎn)關(guān)注的事件類型：異常時(shí)間登錄、境外IP登錄、異地登錄、暴力破解（1個(gè)賬號(hào)多次登錄失敗10次以上）、撞庫攻擊（1個(gè)IP多次登錄失敗10次以上）、共享賬號(hào)（1個(gè)IP多個(gè)用戶登錄）、威脅情報(bào)檢測(cè)（對(duì)異常IP進(jìn)行檢測(cè)）、日志質(zhì)量（對(duì)無法登陸的IP檢查是否為正常情況）

應(yīng)急溯源

系統(tǒng)賬號(hào)，日志，歷史命令，可疑文件，端口、進(jìn)程，Webshell、后門，啟動(dòng)項(xiàng)，病毒
【網(wǎng)安學(xué)習(xí)攻略】
實(shí)際操作中的經(jīng)驗(yàn)

1、研判確定為攻擊地址，且有明確攻擊行為證據(jù)再進(jìn)行溯源，減少溯源工作量。

2、發(fā)現(xiàn)溯源攻擊地址為移動(dòng)動(dòng)態(tài)ip、CDN地址，就沒必要繼續(xù)追查了，減少溯源工作量。

3、溯源可多方面進(jìn)行，網(wǎng)站注冊(cè)人、郵箱、聯(lián)系電話等信息，必要時(shí)可對(duì)攻擊IP進(jìn)行反滲透。

4、流量中ID信息不要放過，可利用社工庫對(duì)其進(jìn)行反查，能夠獲取大量信息。

5、釣魚郵件中惡意文件可放于沙箱中進(jìn)行動(dòng)態(tài)監(jiān)測(cè),反查郵件，定位攻擊IP。

6、惡意程序可用沙箱監(jiān)測(cè)，定位反鏈,從而獲取攻擊者信息。

7、社工庫要利用起來，多方面收集信息，去除垃圾信息，從而定位精確信息。

8、情報(bào)共享平臺(tái)要利用起來，如微步等情報(bào)平臺(tái)多關(guān)注，多利用。

9、凡是有溯源結(jié)果的，可交于客戶進(jìn)行上報(bào)，無論加分成功與否，都可促進(jìn)客戶滿意度。

10、定位到手機(jī)號(hào)。可以添加到手機(jī)通訊錄中，利用釘釘?shù)绒k公軟件查找該人員所屬公司。

11、利用人脈詢問也是個(gè)是個(gè)好的辦法。

需要注意的問題

1、建議組建專門的溯源團(tuán)隊(duì)進(jìn)行溯源工作開展，藍(lán)隊(duì)現(xiàn)場(chǎng)同事可進(jìn)行支撐（專職溯源電腦，不連內(nèi)網(wǎng)）（原因：藍(lán)隊(duì)現(xiàn)場(chǎng)同事直接參與溯源，若掉入紅隊(duì)陷阱，會(huì)影響藍(lán)隊(duì)客戶現(xiàn)場(chǎng)網(wǎng)絡(luò)安全）

2、建議注冊(cè)幾個(gè)公用的社交帳號(hào)，供溯源人員進(jìn)一步社工溯源操作，比如類似通過社交工具加別人好友，然后進(jìn)行社工操作，一定程度上用來保護(hù)溯源人員安全

不足之處

1、獲取信息說服力度不足，無確切證據(jù)表明為某某攻擊隊(duì)進(jìn)行攻擊，需要研究如何坐實(shí)證據(jù)。

2、溯源工作量大，需要專人專職進(jìn)行溯源，攻擊IP可能存在垃圾IP、黑產(chǎn)惡意IP等與護(hù)網(wǎng)無關(guān)IP進(jìn)行干擾，需要專職人員進(jìn)行處理篩選

3、溯源往往溯源到社工庫提供的人就停止了，無法定位該人員所屬公司、所屬攻擊隊(duì)，從而無法得分

4、很多攻擊IP為跳板機(jī)，很多情況溯源出的人也是受害者，需要更深一步的溯源

5、溯源可能會(huì)涉及到反滲透部分，屬于未授權(quán)測(cè)試，可能會(huì)觸碰一些法律法規(guī)

6、溯源準(zhǔn)備需要進(jìn)行沉淀積累，并做好提前準(zhǔn)備

數(shù)據(jù)上報(bào)

事件信息（事件類型、發(fā)生時(shí)間、影響目標(biāo)、攻擊結(jié)果）、處置方式、存在的問題、處理意見

【網(wǎng)安學(xué)習(xí)攻略】

總結(jié)

以上是生活随笔為你收集整理的【攻防演练】蓝方值守阶段经验技巧的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。