蓝队应对攻击的常用策略一

知己知彼，百战不殆。政企安全部门只有在多次经历实战攻防的洗礼，通过实战对攻击队的攻击手法不断深入了解，才能不断发现自身安全防护能力的缺失，防护手段应随着攻击手段的变化升级而进行相应的改变和提升，将是未来的主流防护思想。

攻击者一般会在前期搜集情报，寻找突破口、建立突破据点；中期横向移动打内网，尽可能多地控制服务器或直接打击目标系统；后期会删日志、清工具、写后门、建立持久控制权限。针对攻击队的常用套路，蓝队应对攻击的常用策略可总结为收缩战线、纵深防御、守护核心、协同作战、主动防御、应急处突和溯源反制等。

一、 收缩战线：缩小攻击暴露面

攻击队首先会通过各种渠道收集目标单位的各种信息，收集的情报越详细，攻击则会越隐蔽，越快速。此外，攻击队往往不会正面攻击防护较好的系统，而是找一些可能连防守者自己都不知道的薄弱环节下手。这就要求防守者一定要充分了解自己暴露在互联网的系统、端口、后台管理系统、与外单位互联的网络路径等信息。哪方面考虑不到位、哪方面往往就是被攻陷的点。互联网暴露面越多，越容易被攻击队“声东击西”，最终导致防守者顾此失彼，眼看着被攻击却无能为力。结合多年的防守经验，可从如下几方面收敛暴露面。

 

1） 敏感信息收集

攻击队会采用社工、工具等多种技术手段，对目标单位可能暴露在互联网上的敏感信息进行搜集，为后期攻击做充分准备。防守队除了定期对全员进行安全意识培训，不准将带有敏感信息的文件上传至公共信息平台外，针对漏网之鱼还可以通过定期开展敏感信息泄露搜集服务，能够及时发现在互联网上已暴露的本单位敏感信息，提前采取应对措施，降低本单位敏感信息暴露的风险，增加攻击队搜集敏感信息的时间成本，为后续攻击抬高难度。

2） 攻击路径梳理

知晓攻击队有可能从哪些地方攻击进来，对防守力量如何部署起关键作用。由于政企机构的网络不断变化、系统不断增加，往往会增加新的系统和产生新的网络边界。防守队一定要定期梳理没每个业务系统的网络访问路径，包括对互联网开放的系统、内部访问系统（含测试系统），尤其是内部系统全国联网的单位更要注重此项梳理工作。

3） 互联网攻击面收敛

一些系统维护者为了方便，往往会把维护的后台、测试系统和高危端口私自开放在互联网上，方便维护的同时也方便了攻击队。攻击队最喜欢攻击的Web服务就是网站后台，以及安全状况比较差的测试系统。蓝队可通过开展互联网资产发现服务，对本单位开放在互联网上的管理后台、测试系统、无人维护的僵尸系统（含域名）、拟下线未下线的系统、高危服务端口、疏漏的未纳入防护范围的互联网开放系统以及其他重要资产信息（中间件、数据库等）进行发现和梳理，提前进行整改处理，不断降低互联网侧攻击入手的暴露。

4） 外部接入网络梳理

如果正面攻击不成，攻击队往往会选择攻击供应商、下级单位、业务合作单位等与目标单位有业务连接的其他单位，通过这些单位直接绕到目标系统内网。防守队应对这些外部的接入网络进行梳理，尤其是未经过安全防护设备就直接连进来的单位，应先连接防护设备，再接入内网。防守队还应建立起本单位内部网络与其他单位进行对接的联络沟通机制，发现从其他单位过来的网络行为异常时，能及时反馈到其他单位，协同排查，尽快查明原因，以便后续协同处置。

5） 隐蔽入口梳理

由于API接口、VPN、WiFi这些入口往往会被安全人员忽略，这往往是攻击队最喜欢突破口，一旦搞定则畅通无阻。安全人员一定要梳理Web服务的API隐藏接口、不用的VPN、WiFi账号等，便于重点防守。

 

二、 纵深防御：立体防渗透

收缩战线工作完成后，针对实战攻击，防守队应对自身安全状态开展全面体检，此时可结合战争中的纵深防御理论来审视当前网络安全防护能力。从互联网端防护、内外部访问控制（安全域间甚至每台机器之间）、主机层防护、供应链安全甚至物理层近源攻击的防护，都要考虑进去。通过层层防护，尽量拖慢攻击队扩大战果的时间，将损失降至最小。

1） 资产动态梳理

清晰地信息资产是防守工作的基石，对整个防守工作是否顺利开展起决定作用。防守队应该通过开展资产梳理工作，形成信息资产列表，至少包括单位环境中所有的业务系统、框架结构、IP地址（公网、内网）、数据库、应用组件、网路设备、安全设备、归属信息、业务系统接口调用信息等，结合收缩战线工作的成果，最终形成准确清晰地资产列表，并定期动态梳理，不断更新，确保资产信息的准确性，为正式防守工作奠定基础。

2） 互联网端防护

互联网作为防护单位最外部的接口，是重点防护区域。互联网端的防护工作可通过接入第三方云防护平台、部署网络安全防护设备和进行攻击检测两方面开展。需部署的网络安全防护设备包括：下一代防火墙、防病毒网关、全流量分析设备、防垃圾邮件网关、WAF、IPS等。攻击检测方面，如果有条件，可以事先对互联网系统进行一次完整的渗透测试，检测互联网系统安全状况，查找存在的漏洞。

3） 访问策略梳理

访问控制策略的严格与否，与防守工作至关重要。从实战经验来看，严格的访问控制策略，对攻击队都能产生极大地阻碍。防守队应通过访问控制策略梳理工作，重新厘清不同安全域的访问策略，包括互联网边界、业务系统（含主机）之间、办公环境、运维环境、集权系统的访问以及内部与外部单位对接访问、无线网络策略等访问控制措施。

防守队应按照“最小原则”，只给必须使用的用户开放访问权限。按此原则梳理访问控制策略，禁止私自开放服务或者内部全通情况出现。这样，无论是阻止攻击队撕破边界打点，还是增加进入内部后开展横向渗透的难度，都是非常简单有效的手段。通过严格的访问控制措施尽可能地为攻击队制造障碍。

4） 主机加固防护

当攻击队从突破点进入内网后，首先做的就是攻击同网段主机。主机防护强度直接决定了攻击队内网攻击成果的大小。防守队应从以下几个方面对主机进行防护：对主机进行漏洞扫描，基线加固；最小化软件安装，关闭不必要的服务；杜绝主机弱口令，结合堡垒机开启双因子认证登录；高危漏洞必须打补丁（包括装在系统上的软件高危漏洞）；开启日志审计功能。部署主机防护软件对服务进程、重要文件等进行监控，条件允许的情况下，还可开启防护软件的“软蜜罐”功能，进行攻击行为诱捕。

5） 供应链安全

攻击队擅长对各行业中广泛使用的软件、框架或设备进行研究储备，发现其中的安全漏洞，在攻防对抗中进行有的放矢，突破防守队网络边界，甚至拿下目标系统权限。

政企机构在安全运营工作中，应重视与供应链厂商建立安全应对机制，要求供应链厂商建立起自身网络环境（如搭建带有客户业务的测试环境，还对互联网提供开放）、产品的安全保障机制（包括源码、管理工具、技术文档、漏洞补丁等方面的管理），一旦暴露出安全问题，应及时给政企机构提供修复方案或处置措施。

同时，供应链厂商也应建立内部情报渠道，提高产品的安全性，为政企机构提供更可靠，更安全的产品和服务。

 

本文始发于微信公众号（盾山实验室）：蓝队应对攻击的常用策略一