蓝队防守的四个阶段

在实战环境下的防护工作，无论是面对常态化的一般网络攻击，还是面对有组织、有规模的高级攻击，对于防护单位而言，都是对其网络安全防御体系的直接挑战。在实战环境中，蓝队需要按照备战、临战、实战和战后三个阶段来开展安全防护工作。

 

一、 备战阶段——不打无准备之仗

在实战攻防工作开始之前，首先应当充分地了解自身安全防护状况与存在的不足，从管理组织架构、技术防护措施、安全运维处置等各方面能进行安全评估，确定自身的安全防护能力和工作协作默契程度，为后续工作提供能力支撑。这就是备战阶段的主要工作。

在实战攻防环境中，我们往往会面临技术、管理和运营等多方面限制。技术方面：基础能力薄弱、安全策略不当和安全措施不完善、产品部署位置不当、防护产品自身安全有问题、监控手段不熟悉、监控手段单一等问题普遍存在；管理方面：制度缺失，职责不明，应急响应机制不完善等问题也很常见；运营方面：资产梳理不清晰、业务架构不了解、漏洞整改不彻底、安全监测分析与处置能力不足等问题随处可见。这些不足往往会导致整体防护能力存在短板，对安全事件的监测、预警、分析和处置效率低下。

针对上述情况，蓝队在演习之前，需要从以下几个方面进行准备与改进。

1） 技术方面

为了及时发现安全隐患和薄弱环节，需要有针对性地开展自查工作，并进行安全整改加固，内容包括系统资产梳理、应用组件梳理、交互协议梳理、安全基线检查、网络安全策略检查、Web安全检测、关键网络安全风险检查、安全措施梳理和完善、公开情报收集、应急预案完善与演练等。

为了检验监控措施的有效性，还需对安全产品自身的安全性、部署位置、覆盖面进行评估；为了更快的发现问题，尽量部署全流量威胁监测、网络分析系统、蜜罐、主机监测等安全防护设备，提高监控工作的有效性、时效性、准确性；监测人员还需对安全产品熟练掌握、优化安全产品规则。

2） 管理方面

一是建立合理的安全组织架构，明确工作职责，建立具体的工作小组，同时结合工作小组的责任和内容，有针对性地制定工作计划、技术方案、相关方协同机制及工作内容，责任到人、明确到位，按照工作实施计划进行进度和质量把控，确保管理工作落实到位，技术工作有效执行。

二是建立有效的工作沟通机制，通过安全可信的即时通讯工具建立实战工作指挥群，及时发布工作通知，共享信息数据，了解工作情况，实现快速、有效的工作沟通和信息传递。

3） 运营方面

成立防护工作组并明确工作职责，责任到人，开展并落实技术检查、整改和安全监测、预警、分析、验证和处置等运营工作，加强安全技术防护能力。完善安全监测、预警和分析措施，增强监测手段多元化，建立完善的安全事件应急处置机构和可落地的流程机制，提高事件的处置效率。

同时，所有的防护工作包括预警、分析、验证、处置和后续的整改加固都必须以监测发现安全威胁、漏洞隐患为前提才能开展。其中，全流量安全威胁监测分析系统是防护工作的重要关键节点，并以此为核心，有效地开展相关防护工作。

 

二、 临战阶段——战前动员鼓舞士气

经历了备战阶段的查缺补漏、城防加固等工作，安全防护能力在技术方面、管理方面和运营方面上都有了较大的提升。为了能更多的协同配合，高效的应对实战阶段的攻击，减少分析处置事件的时间，提高防守的效果，还需要做好临战阶段的动员工作。

做好临战阶段的工作建议从三个方面开展。

1） 召开战前动员会

战前动员会主要进行三部分的工作：一是实战演习开始前，通过召开现场战前动员会的形式，进行战前动员，统一思想，统一战术、提高斗志，达成共识。二是强调防护工作中注意的事项，攻击手段多种多样，为防止防守人员被攻击利用，要严格遵守记录红线、做到令行禁止。三是提高大家的攻防意识，对攻击过程进行剖析，对常见的攻击手段部署针对性的防守要点，做到有的放矢。

2） 贯彻工作流程

贯彻工作流程的目的一是对参与防守工作的人员进行任务分工，说明工作职责、各司其职。二是固化每日工作流程、各岗位协同配合，做好攻击事件前期的监测、中期的研判和后期的处置工作。三是贯彻制定的工作排班计划、交接班要求等。通过工作流程做到防守工作有序有效，提升防守的效果。

3） 组织战术培训

战术培训会主要工作内容有两项：一是由安全专家分享其他单位的网络安全实战攻防演练相关经验，协助防守队制定不同攻击场景的防守战术。二是安全专家对演练评分规则的详细解读，提高参演人员对演练的认知。

 

三、 实战阶段——全面监测及时处置

攻守双方在实战阶段正式展开全面对抗。防护方须依据备战明确的组织和职责，集中精力和兵力，做到监测及时、分析准确、处置高效，力求系统不破，数据不失。

在实战阶段，从技术角度总结应重点做好以下四点。

1） 全面开展安全监测预警

实战阶段监测人员需具备基本的安全数据分析能力，根据监测数据，情报信息能基本判断攻击有效性，如存疑应立即协同专业分析人员协助分析，确保监控可以实时发现，不漏报，为处置工作提供准确信息，同时监测工作应覆盖整个攻击队攻击时间。

2） 全局性分析研判工作

在实战防护中，分析研判应作为核心环节，分析研判人员要具备攻防技术能力，熟悉网络和业务。分析研判人员作为整个防护工作的大脑，应充分发挥专家和指挥棒的作用。向前，对监测人员发现的攻击预警、威胁情报进行分析确认，向后，指导协助事件处置人员对确认的攻击进行处置。

3） 提高事件处置效率效果

确定攻击时间成功后，最重要的是在最短时间内采取技术手段遏制攻击、防止蔓延。事件处置环节，应联合网络、主机、应用和安全等多个岗位人员协同处置。

4） 追踪溯源，全面反制

在发现攻击事件后，防守队伍可根据安全防护设备、安全监测设备产生的告警信息、样本信息等，结合各种情报系统追踪溯源。条件允许时，可通过部署诱捕系统反制攻击队攻击终端，做到追踪溯源、防守反制。

 

四、 战后整顿——实战之后的改进

演习的结束也是防护工作改进的开始。在实战工作完成后应进行充分、全面复盘分析，总结经验、教训。有两方面工作需要开展。

一是通过复盘会找出攻防演习备战阶段、临战阶段、实战阶段中的工作方案、组织管理、工作启动会、系统资产梳理、安全自查及优化、基础安全监测与防护设备的部署、安全意识、应急预案及演练、注意事项、队伍协同、情报共享和使用等过程还存在哪些纰漏和不足，输出技术和管理两方面问题整改措施计划。同时，各单位还需立即总结攻防演习防守策略，如情报技术、反制战术、防守作战指挥策略等，为演习队伍在下一次保障提供防守技术指导。

二是网络攻防演练活动不是一次性保障活动，其最终目的是单位通过演习发现网络安全建设存在的不足，改进和提升整体安全防御能力，通过相对独立的安全运营思路，以数据为中心建立整体网络安全防护体系，进而发挥出最有效的安全能力。因此单位通过网络攻防演练积累的经验，沿用演习期间形成的安全运营机制、安全监测技术和应急响应策略等，在日常安全工作中提供持续安全运营能力，使网络安全防护措施持续发挥成效，进而真实有效地提升安全防护的能力。同时，单位还需加快整改演习发现的网络安全体系建设的不足，以替代演习后保障队伍力量缩减，而导致的整体安全防御降低的能力。

最后，单位参与和自我组织网络攻防演练活动，充分积累演练活动经验，锻炼安全保障队伍，不断完善整体网络安全体系和持续提高安全运营能力。

本文始发于微信公众号（盾山实验室）：蓝队防守的四个阶段