影子资产梳理、溯源反制、hvv三十六计 | FreeBuf甲方群攻防演练经验合集

FreeBuf甲方交流分享群

纯甲方：囊括金融、政府、运营商、医疗、互联网企业等多行业甲方安全从业人员，具备严格的入群审核机制，非甲方安全从业人员拒绝进群

真实有料：从甲方企业CSO到安全工程师，从安全方案应用到产品技术应用，社群定期组织相关主题话题讨论，共同交流最真实有趣有料的甲方安全建设经验

专属权益：一旦认证成为FreeBuf甲方会员，即可享受FreeBuf报告在线免费阅读权益，同时参与社群话题讨论便有机会获得FVIP月卡奖励。更多权益，期待解锁ing~

关键词：攻防演练经验合集

@FreeBuf

近年来，攻防演练越来越受到企业安全团队的重视，通过演练的形式快速找到企业防御能力的缺陷和防守视角的缺失，以此提升网络安全能力和实战对抗能力。本期话题聚焦于以下三个维度，欢迎大家来聊。

讨论1：从蓝队的视角，你认为企业防守团队在演练前期准备阶段应该从哪些方面着重进行风险排查？

1、第一步，先把手里有啥东西搞清楚：例如准确的资产识别、梳理资产。第二步，才是看看脆弱点，加策略、加防护、重点关照加整改…如果有时间的话。第三补充一个点，在明确资产的基础上，明确和强化事件汇报和处理流程、明确责任人，确保出现异常的时候，直接人员知道找谁，知道怎么找。

2、着重排查员工弱口令，服务器端口监测有没有未知端口开放、及时排查关闭；检查是否有对外未知服务开放，进行及时排查关闭；排查安全设备、网络设备安全策略是否失效，增强策略；安全意识培训和强调、不点开未知邮件、不打开未知链接、不打开未知文件；所有服务器基线扫描、及时修复；所有主机、Web资产漏洞扫描，紧急修复；VPN统一上MFA。

3、供应链攻击也需要注意，现在护网会找集团的分子公司以及与公司相关的上下游企业，找突破口。——是的，供应链上下游管理也是难点，去年供应链打的美滋滋。

4、提一下防守团队的内部问题吧，一定要提前安排好防守团队的组织分工，确定监控/研判/处置/溯源组之间的联动方式，各部门/系统干系人联络表等等，统一信息渠道，不然真打起来遇到情况就是一锅粥。——对，明确接口人，避免多头汇报，多人指挥。

5、补充一句，如果要保业务的话，还需要准备好或复盘下业务系统的应急方案，避免业务因为异常挂掉。

6、分享一个点需要注意的，去年演练发现的核心问题是外网某系统弱口令，然后就是本地保存密码被内存读取，此外还有0day。

7、说个特别点的，提前准备好红牛、被褥、眼药。

延伸讨论：

@楼主：问题来了，如何排查影子资产？

1、我们现在遇到最大问题，就是部分单位偷偷开了阿里云，部署了垃圾业务，不上报。所以只能买互联网服务来追踪互联网资产。

2、影子IT 之前我候遇到好多，下面单位总是搞一堆各类系统，然后我们被通报。

3、前几天通报了一个JD云的开发环境，用了集团Logo，但一个月了还没查到是哪个外包开发在搞...

4、我这边遇到未知资产都是统一归属安全部门接管。

5、分享下我司之前主要几个做法：

（1）流量识别。

（2）搜索引擎。

（3）从财务流程下手，所有和IT有关的申报全部要走IT部门审批。

（4）然后公司内部系统和互联网的权限收紧，就算新弄了系统也没法和内部系统对接。

讨论2：工欲善其事必先利其器，在攻防演练中，有哪些值得推荐的蓝队实战工具/产品？

1、蓝队得分只能靠溯源，行之有效的方法就是蜜罐or安服溯源。

2、我这推荐一下，斗象的VMS漏洞追踪管理平台，可以盯修复。青藤的HIDS+威胁狩猎平台，可以盯主机安全，可以复原攻击路径，态势的好帮手。安芯网盾的内存马检测基于内存+CPU命令集检测，发现问题就可以拔网线了。

3、分享下去年演练的发现的问题吧，用的WAF和IPS有大问题，某回溯分析产品也有点问题，因为全量业务加密传输能拦截能检测的东西太少了。我们还发现业务增加了传输加密并不代表更安全，这点挺出乎我们的意料。后续我们可能会在出口增加一层SSL卸载，把加密扔外边去。

4、反向溯源，把红队打出局——之前还真有成功的案例的，直接查出攻击者的姓名发邮件的。

5、我补充一个去年遇到的难点，红队用手机热点IP进行扫描，然后不停地换IP，然后封IP导致大量用户手机端无法使用业务，只能解开——对C端用户的系统封IP需谨慎了。

6、攻防不对等啊，红队可以肆无忌惮的玩耍，蓝队束手束脚——防守方还得考虑业务持续性，否则没那么容易被红队得手。

7、我们这边逻辑很简单，没有绝对安全的业务系统，防守方要有一个清晰的自我认知，承认与攻击方相比，防守方技术水平较低。在这种情况下，我们做的主要工作就是提高攻击方在我单位业务系统的相对成本，通过消耗攻击方的机会和时间成本，迫使攻击方选择其他目标。

8、我们采用龟缩战术，放了大量蜜罐，然后蜜罐里明白表示进来的都是蜜罐，有红军看不懂明示，下载了我们的木马后被反制了。

3、在红蓝军对抗过程中，美人计、声东击西等“计谋”层出不穷，你经历过哪些攻防演练“三十六计”，欢迎分享避雷。

1、你说的这几种倒是没遇到过，不过红队用的比较多的是用大量扫描器制造海量日志，增加分析难度，然后在里面夹杂针对性的攻击。

2、还有从段子里面听过，红队创建虚假的“蓝队交流群”，然后在里面收集信息，发布和污染蓝队的信息。

3、演练前一个月花钱找人去应聘面试的一大把。

4、总结一些蓝队溯源反制小技巧：

-最好的蓝队溯源——微信群：xxx你们谁认识？

-我们是直接找对应的接口销售，登录他们的内部通信软件，比如钉钉，直接搜姓名，然后去匹配简历啥的，命中率极高——这种也算社会工程学溯源。

-再讲一个溯源点，我们反制了攻击队后，通过系统读了序列号出来，然后找联想接口查谁买的——硬件序列号=订单号=采购厂家。

FreeBuf甲方群进群方式

扫码填写申请表单，通过审核后即可入群：

信息源于:freebuf-wiki