在网络安全防护演习中,红队和蓝队的较量是一场充满智慧与技术的对抗。红队利用企业泄露的敏感信息或暴露的资产进行攻击,而蓝队则通过情报收缩攻击面,化解危机。本文将介绍几种典型的情报技战法,揭示红蓝对抗中的攻防策略。
技战法1:情报收缩攻击面
背景与目的:
红队通常通过暴露的服务端口和资产漏洞获取内网权限,或通过爬虫、Google Hacking、暗网等手段收集企业的敏感信息,然后利用钓鱼邮件、钓鱼网站、身份仿冒等社会工程学手段直接感染内网主机。蓝队则利用外部威胁情报监控,识别企业暴露的服务端口和泄露的敏感信息,指导企业收缩资产暴露面,提前加固整改。
思路谋略:
将企业相关的IP、域名资产与威胁情报基础信息(pDNS)关联,可以扩展出企业尚未掌握的资产。通过威胁情报监控体系,企业可以识别互联网上和暗网上泄露的邮箱、账号、密码等信息,从而收缩暴露的攻击面,提升安全性。
攻防对抗过程:
在网络安全防护演习前,通过威胁情报平台识别开放服务端口和敏感信息,及时关闭非必要服务端口,进行秘密加固和重点监控。红队进行性扫描踩点时,大量敏感数据和暴露端口已被清除或加固,极大降低了被攻破的几率。
应用效果:
通过全面收缩攻击面,蓝队大大降低了网络安全防护演习中被攻破的几率,增加了攻击者的难度,达到了“运筹帷幄、防患于未然”的效果。
技战法2:钓鱼邮件溯源加分
背景与目的:
红队利用钓鱼邮件向企业员工发送木马,诱导点击链接或附件,从而感染控制内网主机。蓝队则通过对钓鱼邮件的恶意样本进行分析,提取远控域名情报,识别内网被感染的主机,进行溯源加分。
思路谋略:
提取钓鱼邮件或恶意样本,结合沙箱对样本进行动态分析,提取远程控制通信的域名或IP地址,通过内部主机对外访问日志,发现内网被感染的主机,实现溯源加分。
攻防对抗过程:
在演习中,安全工程师通过沙箱分析钓鱼邮件恶意样本,提取远控IP,并在全集团进行情报共享,指导企业进行防火墙封禁。通过比对上网行为管理日志,发现内网被控主机,并进行封禁和清除工作。
应用效果:
利用样本分析和情报提取技术,企业可以快速定位内网被控主机,清除感染源头,获得清除和溯源加分,增强了对钓鱼邮件的防护能力。
技战法3:精准封禁与溯源
背景与目的:
在网络安全防护演习中,蓝队普遍将共享的演习IP进行封禁作为基本防护手段,但面临大量IP时,如何精准筛选并溯源成为难题。该技战法通过威胁情报上下文丰富字段,搭建IP验证与溯源研判自动化工具,筛选出值得溯源的IP。
思路谋略:
结合情报白名单、IP关联签名及相关属性,加权计算高可信演习IP,并进行封禁。对IP是否关联域名、域名是否具备注册信息等进行溯源价值研判分析,帮助企业聚焦高价值溯源IP。
攻防对抗过程:
利用情报共享平台或第三方威胁情报厂商获取演习IP,并导入自动化研判验证工具,关联情报上下文信息,去除带有CDN、移动基站、网关等IP,进行封禁。对筛选出的高价值IP进行进一步溯源分析。
应用效果:
避免盲目封禁导致误拦或防火墙过载,通过情报研判工具快速识别高价值溯源IP,指导溯源人员进行有效溯源分析,提升了防护和溯源的效率。
原文始发于微信公众号(紫队安全研究):HVV技战法 | 红蓝对抗中的攻防策略
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论