防守日记| 听说，攻防演练前防守队都在摸鱼？

2021年10月6日22:04:07评论112 views字数 2290阅读7分38秒阅读模式

一次大型的攻防演练有15天的实战周期，防守队却提前一周就到达了驻场，这么长的准备时间，让人忍不住地想问：“他们是不是摸鱼去了？”

今天，让我们走近攻防演练现场，看看防守队在攻防演练前都做了些什么。

一：外援加持，迅速提升应急响应能力

案例背景：本次服务的公司虽然规模不小，但是安全部只有一个人在苦守边界，被戏称为“安全部的独生子女”。由于精力有限，常常发生：废旧系统下线不及时、系统开放不严谨、系统内网漏洞多、安全检查频次低等问题。

安全部“独生子女”的日常工作主要是清理废旧资产、漏洞管理运营，也是第一次参加攻防演练，对于攻防演练的应急响应和溯源分析并不擅长，人力不足也容易出现顾此失彼的现象。此时引入外援专家协助——外聘防守队驻守支持就显得格外重要。

防守日记| 听说，攻防演练前防守队都在摸鱼？

解决方案：考虑到客户的防御体系较为薄弱且对攻防演练活动不太了解，我们协助客户建设和优化了攻防演练期间的虚拟组织架构。

防守日记| 听说，攻防演练前防守队都在摸鱼？

领导小组由甲方安全运维和本次防守队队长组成，主要负责为本次攻防演练协调各方资源、对突发事件应急预案启动进行决策、听取现场协调指挥组的汇报。

领导小组下分三个执行小组，由防守队的六名队员组成。

防守队长的个人心得：

二、系统化梳理知识点，查缺补漏是关键

案例背景：根据往年攻防演练的经验，红方攻击的起点主要是企业的边界。该大型企业的资产过多，安全运维人员也不甚明了。所谓“知己知彼方能百战百胜”，全面梳理企业资产是一个让企业成分了解自身安全状况，收敛攻击面的重要步骤。

解决方案：防守队首先告知客户公司做资产梳理的三大目的：

获取客户同意后，防守队立刻使用ARL资产侦察灯塔系统和ARS智能风险检测展开对客户资产的扫描发现。

防守队的ARL应用记录：

在策略配置中新建策略，除了默认勾选项，再勾选服务(python)识别，在PoC配置中勾选“全选”、弱口令爆破配置中勾选“全选”，在策略配置中选择资产侦查任务，输入目标和任务名称点击确定进行下发。

ARL资产侦察任务下发示意图

ARL提供以域名、标题、CNAME等维度的互联网资产梳理，借助现有网页搜索引擎、SSL证书关联、DNS 枚举、多级域名挖掘等手段，深度识别企业暴露在外的目标站点、域名信息、子域名信息、网站数、备案信息、应用组件以及关联IP等，为用户提供清晰的网络站点Sitemap。
ARL亦可提供以目标站点为维度的异动监测，实时发现现有资产变动情况，如新增端口服务更新等。