网络攻防实战演习之蓝队指南（一）

首先呢，先给大家说声抱歉，由于重保来临，时间紧急，停更了一段时间，让大家等着急啦！今天就来给大家分享下网络攻防实战演习之蓝队指南！

战前准备阶段

    组织架构

企业蓝队的组建需要企业管理层自顶向下进行推进，由企业管理人员负责领导建立团队。通常，在筹备网络攻防演习活动前需要成立包括蓝队指挥中心、实时监测小组、快速反应小组、应急保障小组等。

蓝队指挥中心：由企业管理层组织并任命专人负责领导，主要负责组织、统筹整个演习活动中蓝队防守方的人员培训教育、统一调度工作、建立沟通机制，以及对演习活动中各类突发事件进行决策。

实时监测小组：由企业运维人员组成，通过7*24小时实时监控流量、日志平台等工具，及时发现并报告可以的攻击行为，对攻击IP进行封堵或采取限制策略。

快速反应小组：由企业安全人员组成，负责辅助实时监控小组对上报攻击事件进行分析，研判攻击行为的真实性与威胁程度，发现业务系统潜在风险点，及时提出安全处置建议。

应急保障小组：由企业安全人员和业务系统人员组成，应对各类演习活动中的突发事件、影响业务系统正常运行的各类事件，进行及时处置和恢复。

   资产梳理

在网络攻防实战演习中，在成立蓝队工作小组后指挥中心应统一进行企业组织的资产梳理工作，主要分为业务系统资产、设备资产、外包或第三方服务资产。还要提前准备IT网络拓扑图、逻辑结构图、系统调用关系、应急响应计划、业务连续性计划等等。

业务系统资产的梳理工作主要针对对外提供服务的业务系统，通过企业对外提供服务业务系统摸排清点工作，蓝队工作组需要对现有各类Web、App、小程序等业务系统进行登记备案，明确各业务系统的服务器类型及版本、业务系统功能、域名、IP地址、服务端口、开发框架、中间件类型及版本号、服务器部署位置、业务系统责任人联系信息、维护人员联系信息，以及业务系统间的关联性。

业务系统资产登记表
业务系统名称：业务系统名称 责任人：联系方式
业务系统类型：Web/APP… 维护人员：
服务器类型：Win/Linux 版本号
域名/IP地址：
服务端口：
中间件、版本：
系统部署位置：
开发框架：
数据库：
设备资产梳理目标是在企业IT运维人员的配合下，对企业所有IT资产进行清点，梳理所有服务器、网络设备、安全设备等进行记录。

记录设备的名称、授权书期限、设备厂商联系方式、运维管理人员、责任人、系统版本、特征库（规则库）、部署区域等信息。

设备资产登记表
设备名称：责任人：
IP地址：维护人员：
设备版本号：厂商联系方式：
特征库版本：
授权有效期：
部署位置：
外包资产的梳理重点在于涵盖业务系统设计、开发、实施运维的各个阶段。对外包业务资产进行有效清点，登记系统名称、类型（接口、服务、app等）、在网络攻防实战演习准备期间，企业应提前通知第三方合作伙伴演习的开始和截止时间，签署责任相关协议，明确外包联系人员和值班安排。

第三方资产登记表
系统名称：责任人：
系统类型：维护人员：
IP/URL地址：厂商联系方式：
是否签署责任协议：
第三方值班人员：
IP/URL地址：
部署位置：
风险梳理

网络攻防演习活动中风险梳理是非常重要的步骤，通过全面的风险排查能够有效的降低在演习过程中被红队攻击成功的可能性。

风险梳理工作主要分为基础设施风险、帐号权限梳理、互联网风险排查。

基础设施风险

通过资产梳理阶段进行收集的设备资产清单，对服务器、网络设备、安全设备等检查是否运行正常，安全设备特征库、规则库是否已更新到当前最新版本，授权是否有效。

对所有服务器、安全设备、网络设备执行安全扫描，针对扫描报告中暴露出的高、中危风险，进行修复工作。

帐号权限梳理

通过资产梳理阶段进行收集的业务系统资产登记表、设备资产登记表、第三方资产登记表的记录，审核授权用户仅能访问特定业务目的的系统、设备。禁止共享账号行为，对具有管理权限的帐号应收归各系统责任人统一管理和使用审批。在帐号权限梳理阶段，对所有帐号应重点关注三类情况：弱口令、共享账号、闲置帐号。帐号口令应符合强密码复杂度，杜绝弱口令的出现。

同时，各系统责任人应重新审核帐号管理权限的授予与使用记录，以确保符合最小授权原则。

互联网风险排查

通过资产梳理阶段进行收集的业务系统资产登记表，重点筛查是否存在冗余资产，冗余资产指企业未能正式投入使用，但仍然占用系统资源运行的系统。通常包括旧版本的系统、旧数据库、测试环境等，由于冗余系统缺少人员的管理和维护，导致存在许多潜在安全风险，包括但不限于版本漏洞、弱口令、功能逻辑漏洞等。扫描并修复所有互联网业务系统及服务器的高、中危风险。

通过互联网风险排查，对外开发端口进行登记梳理，对于非业务需要的服务端口进行关闭。另外，对于所有业务系统使用到的API接口等进行重点防护。

收敛攻击面

经过资产梳理和风险梳理两个阶段之后，下一步应该根据资产列表和风险梳理结果进行攻击面收敛工作。以下列举部分减少攻击面的活动，以供参考：

（一）通过与各个业务系统负责人沟通，对于非核心关键业务系统进行关闭；

（二）关闭非必要端口，仅保留核心关键业务服务；

（三）关闭暴露在互联网上的业务系统管理后台、各类中间件管理后台和其他各类管理后台登录页面；

（四）关闭不必要的VPN服务或停用帐号；

（五）关闭不必要的WIFI热点，严控非法网络接入；

（六）企业安保人员严格监控人员进出登记；

安全教育

有数据统计表明，影响企业网络安全状态的威胁因素其中70%由企业内部人员引起。对于在网络攻防演练活动前，应对企业各级管理人员、普通员工等安排适当的信息安全意识培训工作，让员工了解到各类不同类型的攻击案例以及社会工程学方面的内容是一项非常重要的工作。促进企业员工识别邮件钓鱼、人员仿冒、捕鲸攻击、战争驾驶、虚假WiFi等常见社会工程学攻击手段的能力，提高人员安全防范意识。

*参考来源：网络

关于我们：

北京路劲科技有限公司(Beijing Lujin Technology Co. , Ltd.)成立于2019年1月4日，是一家提供全面系统集成与信息安全解决方案的专业IT技术服务公司。公司秉承“为网络安全保驾护航”的企业愿景及“提升国家整体安全”的使命，依据风险评估模型和等级保护标准，采用大数据等技术手段，开展网络安全相关业务。公司致力于为各个行业的业务信息化提供软件和通用解决方案、系统架构，系统管理和数据安全服务、以及IT咨询规划、系统集成与系统服务等专业化服务。公司立足北京，走向全国，始终坚持“换位、细节、感恩”的核心价值观，以“共赢、共享、共成长”的经营理念为出发点，集合了一批敢于创新、充满活力、热衷于为IT行业服务的优秀人才，致力于成为您身边的网络安全专家。

 

关注路劲科技，关注网络安全！

公司：北京路劲科技有限公司

地址：北京市昌平区南邵镇双营西路78号院2号楼5层504

PS：如果觉得本篇文章对您有所帮助，欢迎关注！帮忙点个赞，转发一下 分享出去吧！