蓝队反入侵工作经验分享

点击图片查看指南

何为反入侵？那就要先知道什么是入侵行为，这里的入侵主要指通过各种方式进入企业公司内部，获取权限，盗取数据的行为，也就是咱们通常所说的红队的成功的入侵行为，而反入侵的存在就是为了防止红队成员成功获得内部权限、盗取敏感数据，或者说在被成功获得内部权限和敏感数据之前或者过程中及时发现，并及时止损，最后进行溯源发现入侵者，通过法律或者其他的方式对其进行惩治。

对于反入侵而言，必须要了解攻击者的入侵是怎么做的才能做好反入侵的工作，业界知名的 ATT&CK 框架将攻击者的整个链条进行拆解，很多商业的 APT 防护产品也在对照其进行技术研究，开发针对性的检测能力，关于框架内容可以参考官方内容，也可以看我之前整理的《聊一聊我对红蓝对抗的理解》，基于此，我做了个简单的拆分：

了解红队的看到上面的内容，应该也知道说的是什么，基于这个，站在防御者的角度，思考如何进行防御，如何反入侵，如图：

基于攻击者的整个流程，我们可以参照业界的一个防御流程图 NIST 的 SCF（The Fundamentals of a Strong Cybersecurity Framework-强大的网络安全框架基础）：

1、识别阶段

在攻击者实施攻击之前，我们要对所要保护系统进行风险梳理，识别那些显而易见的漏洞或者弱点，比如边界应用的漏洞、VPN 和 wifi 是否有强认证、主机服务器是否做了加固、内部各类系统服务是否存在弱口令等

2、保护阶段

在识别完风险之后，基于已知风险，排列优先级，然后针对性的设计防护方案，对相应的系统进行加固和处置，比如：服务器主机的安全加固、wifi 或者 vpn 设备的二次认证、堡垒机的使用、内部的网络域隔离等，通过保护阶段，消除已知重大风险，提前预防攻击者的攻击，提升攻击成本

3、检测阶段

在攻击的过程中，我们要提升入侵检测的能力，能够及时发现入侵行为，对于入侵检测，主要从三个方面，网络、系统和日志层面。

网络上可以使用商业的 NIDS 设备，镜像网络流量进行审计，也可以使用开源的免费解决方案，比如  Suricata ；

系统方面可以使用一些商业的 HIDS ，比如长亭的牧云、青藤的万象，开源的比如 wazuh、ossec 等；

日志层面就需要采集各类日志，通过大数据分析的手段来识别入侵行为，常用的日志分析工具比如商业的 splunk、日志易等，开源比如 elk 架构，无论使用什么工具，最重要的是针对日志的分析能力加规则引擎，需要专业的安全人才来自定义检测规则，对规则进行优化，提升入侵检测能力。

业界对于入侵检测的评价有个标准叫 MTTD（平均检测时间）用来评价安全人员的工作效果。也是评价一个安全团队安全成熟度的一个标准。

4、响应阶段

在发现入侵事件之后，就要开启应急响应的流程，及时定位问题所在，及时止损，排查相关日志和告警信息，找出问题的根源，应急响应的时效性决定了你在这场攻防对抗中是否处于主导地位，拖得时间越久，攻击者扎根扎的越深，将攻击者赶出内网的难度越大。

防御者在对抗中往往处于被动，所以应急时效是防御者化被动为主动的关键因素，所以业界对于应急响应的评价有个标准叫 MTTR（平均响应时间），也是评价安全人员工作的一种方式。

5、恢复阶段

在完成止损之后，要对被攻击的系统进行恢复处置，经过时间的复盘之后，找出曾被控制的主机或者设备，清理攻击者留下的后门文件，对被攻击者利用的弱点系统进行加固或者下线处置，然后举一反三，一一消除。

反入侵的工作也就是针对这几个阶段不断进行优化迭代，形成闭环，持续缩小 MTTD 和 MTTR，让攻击者有来无回。

以上是我对于反入侵工作的认识和理解，希望能引起大家的思考，下期见。

点击图片查看训练营详情

本文始发于微信公众号（信安之路）：蓝队反入侵工作经验分享