前言

零食已经吃完了，只剩下一些水和可乐，手里拿着最后一罐八宝粥。补给再不来我可就要饿死在这里了。HW不能没有食物，就像3D区不能没有蒂法。得想个办法提醒一下甲方。开着泰式的界面，拿手机水着微步，突然看到泰式有一条CS的连接，身为HW工程师的我瞬间警觉了起来（推了推眼镜），看了一下IP，咦？这不是隔壁甲方王部长的办公室吗？哦~ 懂了，人嘛，总是要摸鱼的，上班打打CS很正常，懂的都懂，理解，理解。我随手给它加了个白名单，相信王部长看到我这么懂事，他也一定会懂事吧。

不一会，王部长急匆匆地找到我，说他鼠标自己动了，让我赶快过去看看。来到王部长的办公桌前，果然鼠标在动，鼠标打开我的电脑，浏览着一些目录。王部长催促着我，让我赶快解决。wc，这我哪会啊，我就是个吃零食的。管不了这么多了，只能硬着头皮上了。我的脑袋在飞速旋转着：“现在黑客控制了电脑的鼠标……所以我只要把鼠标拔掉黑客就控制不了了，哈哈！我真是个小天才！”——然而实际上并没有什么L用。没办法了，看来只能使出那招了！我把电脑强制关机，插上我的U盘，重装了个系统。王部长急切地问我：“怎么样了？怎么样了？”，我摇了摇头，沉重地说：“我尽力了，但黑客把你电脑里的东西都删掉了，我已经尽力去阻止了，可惜还是晚了一步……不过您放心，木马已经清除了。” 王部长看着我有些自责，安慰着说道：“没事，你已经尽力了，既然木马已经清除了，那就没事了。”我回到我的工位上，松了一口气。懂事的甲方也拿来了物资，看来我这“五年渗透老师傅”的身份是保住了。

一、聊聊主防在HW期间做的安全策略

减少互联网资产暴露面

HW期间大家懂得都懂，直接暴露在互联网上的通常都是官网或者一些重要的业务网站。

如果被红队通过WEB打进去，该网络资产的管理员、企业安全负责人都会被追责，少说绩效奖金都没了。所以在HW期间，应该对暴露在互联网的资产实行白名单策略。仅允许通过内部渗透测试，并且由该资产部门负责人签责任书确认后才允许被外网访问。

梳理内网资产和安全加固

HW之前，应该对内网资产的归属、存在漏洞情况的资产进行了一次全面检查。资产梳理的工作主要分为业务系统资产、设备资产、外包或第三方服务资产，通常这项工作都是由甲方运维人员主要负责，而兼职外援通常需要协助甲方运维人员一起进行梳理。HW期间应对内网存在安全漏洞的资产进行全部关停处理，HW期间存在漏洞的设备不打补丁不允许开机。

部署网络监控设备和防护设备

监控设备有全流量监控和日志分析设备，如微步TDP、深信服SIP、天擎终端安全、青藤主机安全、青藤服务器安全、邮件审计、数据库审计、日志审计系统等系统。

防护设备还有下一代防火墙、WAF、IPS等设备。

安全产品基本上覆盖了内网的用户终端、业务服务器、数据库、网络设备，能联网的设备基本都在监控中。

这些监控平台是蓝队主要的工作内容，没有人可以拿个笔记本就把活干了。设备一定要提前调好，确保全流量设备能审计到所有流量。

部署蜜罐设备

修改DNS解析，通过同一域名访问，从外网访问是蜜罐，从内网访问是真实业务蜜罐页面和真实业务页面1：1复刻蜜罐也使用WAF进行防御，从而迷惑红队

对员工进行安全意识培训

通过培训告诉员工，近期要进行XX行动，必须保护好公司的机密信息。并且告知员工泄露机密信息者、被钓鱼成功者，按照公司规章制度处理等等。简单来说就是通过威逼的方式告知员工这次XX行动的重要性，要是出问题后果很严重。

VPN策略

白名单策略，用户需要告知自己的公网IP并申请才能获取VPN权限。（防VPN设备0day）

夜间安全

一个策略是安排值班人员值守，另一个策略是一到晚上9点就拔网线。拔网线是为了防止被0day打穿，如网传某恒堡垒机任意用户登录、某某服VPN存在远程缓冲区溢出漏洞（非web端口）等等。

小结

评价一下就是，外网除非用0day，不然打不进来，用了0day还有被设备捕获的可能。内网风吹草动都会有告警，而且安排了大量安服人员对设备进行监控。个人觉得能打进内网只能靠钓鱼或者近源了。

二、聊聊钓鱼被上线的应急响应

钓鱼案例1：被钓鱼对象为HR，钓鱼样本做了免杀，但是发生异常端口反连（或者其他C2流量特征）还是被流量设备告警，于是主防马上到AC上找到了该员工，并且联系员工并物理接管电脑。之后就是常规的样本分析、备份、重装系统等操作。从设备告警到设备断网，在5~10分钟内完成。

钓鱼案例2：被钓鱼对象为某主管，钓鱼样本做了免杀，并且使用了域前置进行隐蔽信道通信，全流量设备无告警。但是该客户电脑在内网发出异常流量，设备发出了告警。从告警出现到设备断网，在10分钟内完成。

今年红队大多喜欢使用钓鱼战术，主题大多为，求职简历、工资变更通知、疫情防控通知、休假通知等，这也是生活中大家最感兴趣或者经常看到的。既然无法杜绝员工被钓鱼，那就只能减少员工被钓鱼的可能，比如进行安全培训，安装终端安全产品、邮件网关等。

就算红队钓鱼成功了，也还要担心在内网做出破坏行为被发现从而失去跳板。如果发生少量钓鱼成功事件，处理起来还是不费力的。

三、总结

如果以蓝队初级或者蓝队中级的身份参加护网，那做好本职工作（监控、研判、溯源、写报告）就好了，在做好本职工作的情况下，能不能被打穿还得看甲方平时做的安全建设。上班期间能摸鱼是最好的，水水群，吃吃零食。天天盯着几个破设备看十几个小时人得崩溃的。摸鱼的前提一定是在完成好本职工作的前提下，甲方给几千块钱一天不是让人来摸鱼的。

附：HW期间常用的网站

威胁情报

微步 https://x.threatbook.com/天际友盟 https://redqueen.tj-un.com/IntelHome.html360 https://ti.360.net/#/homepage奇安信 https://ti.qianxin.com/启明星辰 https://www.venuseye.com.cn/绿盟 https://ti.nsfocus.com/安恒 https://ti.dbappsecurity.com.cn/安天 https://www.antiycloud.com/#/antiy/index深信服 https://wiki.sec.sangfor.com.cn/index/abroadru

沙箱分析

微步沙箱 https://s.threatbook.com/Virustotal https://www.virustotal.com/gui/home/upload360沙箱 https://ata.360.net/腾讯哈勃 https://habo.qq.com/

其他

查询注册过的网站：https://www.reg007.com/

IP138：https://site.ip138.com/IPIP：https://tools.ipip.net/ipdomain.php爱站：https://dns.aizhan.com/yougetsignal：https://www.yougetsignal.com/tools/web-sites-on-web-server/

站长之家：https://stool.chinaz.com/samewebscan：https://www.webscan.cc/yougetsignal：https://www.yougetsignal.com/tools/web-sites-on-web-server/私建：https://chapangzhan.com

安装安全产品目的是保证企业的数据安全，防止网络安全事件的发生。

- End -

原文始发于微信公众号（NS Demon团队）：2022国HW防守心得