HVV技战法 | 红蓝对抗中的攻防策略

在网络安全防护演习中，红队和蓝队的较量是一场充满智慧与技术的对抗。红队利用企业泄露的敏感信息或暴露的资产进行攻击，而蓝队则通过情报收缩攻击面，化解危机。本文将介绍几种典型的情报技战法，揭示红蓝对抗中的攻防策略。

技战法1：情报收缩攻击面

背景与目的：

红队通常通过暴露的服务端口和资产漏洞获取内网权限，或通过爬虫、Google Hacking、暗网等手段收集企业的敏感信息，然后利用钓鱼邮件、钓鱼网站、身份仿冒等社会工程学手段直接感染内网主机。蓝队则利用外部威胁情报监控，识别企业暴露的服务端口和泄露的敏感信息，指导企业收缩资产暴露面，提前加固整改。

思路谋略：

将企业相关的IP、域名资产与威胁情报基础信息（pDNS）关联，可以扩展出企业尚未掌握的资产。通过威胁情报监控体系，企业可以识别互联网上和暗网上泄露的邮箱、账号、密码等信息，从而收缩暴露的攻击面，提升安全性。

攻防对抗过程：

在网络安全防护演习前，通过威胁情报平台识别开放服务端口和敏感信息，及时关闭非必要服务端口，进行秘密加固和重点监控。红队进行性扫描踩点时，大量敏感数据和暴露端口已被清除或加固，极大降低了被攻破的几率。

应用效果：

通过全面收缩攻击面，蓝队大大降低了网络安全防护演习中被攻破的几率，增加了攻击者的难度，达到了“运筹帷幄、防患于未然”的效果。

技战法2：钓鱼邮件溯源加分

背景与目的：

红队利用钓鱼邮件向企业员工发送木马，诱导点击链接或附件，从而感染控制内网主机。蓝队则通过对钓鱼邮件的恶意样本进行分析，提取远控域名情报，识别内网被感染的主机，进行溯源加分。

思路谋略：

提取钓鱼邮件或恶意样本，结合沙箱对样本进行动态分析，提取远程控制通信的域名或IP地址，通过内部主机对外访问日志，发现内网被感染的主机，实现溯源加分。

攻防对抗过程：

在演习中，安全工程师通过沙箱分析钓鱼邮件恶意样本，提取远控IP，并在全集团进行情报共享，指导企业进行防火墙封禁。通过比对上网行为管理日志，发现内网被控主机，并进行封禁和清除工作。

应用效果：

利用样本分析和情报提取技术，企业可以快速定位内网被控主机，清除感染源头，获得清除和溯源加分，增强了对钓鱼邮件的防护能力。

技战法3：精准封禁与溯源

背景与目的：

在网络安全防护演习中，蓝队普遍将共享的演习IP进行封禁作为基本防护手段，但面临大量IP时，如何精准筛选并溯源成为难题。该技战法通过威胁情报上下文丰富字段，搭建IP验证与溯源研判自动化工具，筛选出值得溯源的IP。

思路谋略：

结合情报白名单、IP关联签名及相关属性，加权计算高可信演习IP，并进行封禁。对IP是否关联域名、域名是否具备注册信息等进行溯源价值研判分析，帮助企业聚焦高价值溯源IP。

攻防对抗过程：

利用情报共享平台或第三方威胁情报厂商获取演习IP，并导入自动化研判验证工具，关联情报上下文信息，去除带有CDN、移动基站、网关等IP，进行封禁。对筛选出的高价值IP进行进一步溯源分析。

应用效果：

避免盲目封禁导致误拦或防火墙过载，通过情报研判工具快速识别高价值溯源IP，指导溯源人员进行有效溯源分析，提升了防护和溯源的效率。

原文始发于微信公众号（紫队安全研究）：HVV技战法 | 红蓝对抗中的攻防策略