攻防演练中蓝队网络安全监测工作探讨

1.企业网络安全监测产品分类

        子曰：“工欲善其事，必先利其器”。目前，企业网络安全监测工作还是十分依赖网络安全监测设备的。充分了解和灵活使用网络安全监测设备是做好网络安全监测工作的必要条件。下面根据网络安全监测设备的监测对象进行简单分类，这使我们能根据拥有不同维度来监测到网络中的异常。

1)流量监测类

        流量监测类安全产品是使用最广泛的一类网络安全监测产品，如WAF、IPS、IDS以及一切威胁溯源，APT检测和全流量监测产品，作者都划分到这一类。这类产品的输入是流量，输出是告警。告警规则有的是自动更新，有的是手动更新。这类产品大多数是旁路部署，部署灵活，但告警需要进一步研判，有的流量监测产品误报率很高。

2)日志收集类

        日志收集类产品包括企业自建的SIEM类平台，SOC平台或者态势感知平台等。这类产品收集日志范围根据企业需求而不同。这类产品或者平台提供给网络安全监测团队不同的视角，包括主机和服务器运行状态和告警信息，攻击IP的统计信息和攻击态势强弱等信息。

3)行为监测类

       这类安全监测产品关注网络内异常用户的攻击行为，主要包括蜜罐和基于流量的网络行为系统。这类产品一般部署在网络中，而非网络边界，目的是能够发现入侵者入网后横向移动阶段的行为，这一点很重要。因为如果攻击者使用0day漏洞穿越边界，流量监测类安全产品不会报警，而攻击者产生的日志目前还淹没在海量日志中，而这时攻击者只要有攻击行为，我们是能够从这类监测设备告警中识别到，这是对流量监测类安全产品很好的补充。

        除了根据安全监测设备的监测对象进行分类意外，也可以根据安全设备的反馈机制分为主动监测设备和被动监测设备，显然大多数网络安全监测设备为主动监测设备，而蜜罐类安全产品为被动监测设备。

        还可以根据监测的位置进行分类，分为边界监测类、区域类和全流量监测。这样分类能够很容易找到监测盲区和监测薄弱的区域。一般一个安全域至少2个安全监测设备，这样能够有对照，形成互补。

        总之，不管使用什么方式对安全监测产品进行分类，都是企业安全运营团队认识众多网络安全监测产品的维度和方式，方便推荐网络安全监测工作。

2.攻防演练中企业网络安全监测工作的开展

2.1准备阶段

1、评估网络安全监测的范围和工作量

       网络安全监测工作的范围和工作量主要由两个因素决定，即外网的暴露面和内网的通联复杂性。

        外网暴露面一般指互联网暴露面，是红队进攻的第一个主战场。梳理互联网暴露面的颗粒度越小越好，最好精确到端口。在梳理互联网暴露面的过程中，应在相关网络设备上进行确认，以免遗漏域名或者IP。

        内网通联复杂度是指企业网络间，总部和二级单位间的通联情况以及企业使用VPN拨入内网的情况。梳理内网通联情况对研判红队攻击路径至关重要，尤其是VPN拨入内网的情况。在梳理内网通联情况的时候，需要标注其他单位进入企业内网的边界和VPN进入内网的边界，这些位置应重点监控。这样的边界越多，内网通联性越复杂。

        梳理好外网暴露面和内网通联复杂度后，网络安全监测对象可以进行量化。可以设计如下表格进行记录。

外网			内网
IP地址	端口	监测设备	单位边界	监测设备

网络安全监测工作量评估表

2、安全设备策略调优

       在攻防演练期间，网络安全设备应以“策略从严，突出攻击告警”的原则进行优化，针对级别较低的、并平时经过研判的告警可以不作为重点监测内容。

3、重点资产情况

     重点资产包括靶标系统、重点数据服务器和高权重服务器。包括且不限于网闸、CA、域控、堡垒机等。建议对重点监测资产进行监测优先级排序，这样能够将有限的资源用在重点资产监测上。

4、驻场监测人员培训

      此培训重点介绍此次攻防演练网络安全监测团队任务，目标等情况，网络安全技术方面可以不作为重点。此培训主要帮助驻场的网络安全监测人员更快、更好的融入网络安全监测环境，并且能够深刻了解自己的监测对象在整体监测中的作用。此培训内容包括但不限于监测对象概况、数据流方向的确认，数据流加密情况、安全监测设备情况、确定人员监测内容和使用网络安全监测的设备分工，确定网络安全监测频次以及相关报告的编写等。

5、攻击路径研判

       结合已经做好的网络安全监测范围和工作量和企业历史网络安全事件，根据网络安全工程师的经验，应对红队攻击路径做好预判，重点标记出可能发生的红队攻击路径，并对攻击路径的网络安全监测效果进行评估，确定重点监测的设备和环节，对可能发生的攻击事件做好监测准备。

6、模拟演练

    模拟演练是为正式攻防演练做准备，主要工作内容为演练流程，排除误报和规范异常网络事件报告的撰写，防止正式攻防演练阶段出现流程不畅、报告不规范的情况。

2.2攻防演练阶段

1、坚定执行网络安全监测要求

      攻防演练阶段的网络安全监测应做到演练时间内安全设备告警全部分析覆盖并及时通报，对重点资产流量进行全面流量分析这一要求。安全监测团队应紧紧围绕这个目标进行人员组织。

2、情报的利用

       攻防演练中的情报可以概况为红队情报、漏洞情报、态势情报。其中红队情报能够直接使用，但不能特别信任红队情报。还是应该以监测团队的监测结果为准，而且应以团队监测结果为准。而漏洞情报需要和监控资产进行对标，从而进行有效监测，必要时可以进行验证。态势情报也应与网络安全监测团队监测态势进行验证。

3、顺畅的沟通

       攻防演练阶段安全监测团队应与其他团队保持良好顺畅的沟通，资产架构情况和业务情况应为沟通重点，这些信息能够有效的排除误报或者确定异常。

4、网络安全监测方法

        除了网络安全告警和流量审计、日志告警等技术手段发现异常以外，还应从以下几个方面着手迅速发现异常。

• 利用访问控制找出异常

有些应用做了严格的访问控制，只允许固定几个IP地址访问，若有其他IP访问此应用并产生双向流量，即为异常。

• 网络内新增文件审计

新增文件审计是找到WEBSHELL的有效方法，定期对网内新增文件进行审计，能够较快发现服务器失陷的情况。

3.网络安全监测面临的挑战

        尽管网络安全监测做了如上的部署和人员培训，并对可能的攻击路径进行的研判和应急预案，但实际的网络安全监测情况还是不容乐观。实际网络安全监测工作中有如下挑战，或者问题亟需解决。

1)加密流量审计

        加密流量是网络安全监测无法逾越的“鸿沟”。但是，任然有方法判定加密流量是否为异常流量。首先，网络安全监测人员应熟悉“正常”的加密流量，即正常业务使用的加密流量。例如HTTPS协议密钥交换过程是否完整，加密数据正常大小的范围，这些应该作为网络安全监测人员进行攻防演练前的“基础知识”。其次，可以对加密流量进行一定的统计分析，如对连接时间和频次进行统计，找到异常。最后，可以针对协议的加密字段进行分析，找到异常。

2)复杂的业务数据流

        业务数据流有时从互联网直达企业内部网络，期间经过一些安全设备对数据进行加解密处理。网络安全监测人员应该能够判断这些数据在那个网络中是加密或者解密的。那段数据加密是正常或者非正常的。这些业务数据流只有非常熟悉业务才能很好的找到异常。

3)攻击向量的混淆

        攻击向量的混淆处理使网络安全监测人员不能够一眼识别恶意流量。这就要求网络安全监测人员具备一定的解密知识。一旦攻击者增加了攻击向量的混淆强度，一般会识别为“垃圾数据”。这也给溯源分析工作加大了难度。

4)访问行为异常的研判

        正常业务的访问请求有时容易造成行为异常的现象。如漏扫、监控设备和网络安全监测人员自己的主机。这些设备应在模拟演练时重点标注。而有些访问确实为业务特殊需求，只能和业务相关人员进行确认，进行排除，这样的异常貌似只有这样排除。

5)安全设备的误报

        安全设备的误报任然是绕不开的跳不过的“坎”。由于网络安全监测设备原理机制的原因，误报在所难免。当有大量误报时，网络安全监测人员只能通过经验进行排除，难度很大。现在有很多技术来解决这个问题，但是还是不可避免的。

4.总结

       网络安全监测工作时攻防演练中比较重要的环节，“看不见”意味着“无感知”，后果十分严重。广大安全监测人员同时承受身体和心理的巨大压力。而网络安全监测工作又十分依赖网络安全监测人员的经验和知识。误报、告警、漏洞等信息无时无刻不挑战监测人员的知识边界。坚持“所见即真实”的信条，再分析研判，得出结论，是艰苦唯一的网络安全监测方法论。安全监测设备只是工具，不能让监测人员成为安全监测设备的“通报员”，只有这样，攻防演练中的网络安全监测团队才能发挥应有的作用。