国家HVV攻防比赛蓝队防守经验总结

外网入口建议采用 WAF 异构部署，以提升整体防护的健壮性，避免单一产品被特定绕过方式突破。如果异构 WAF 确实对业务产生影响，可将其中一台 WAF 作为旁路 IPS 使用，部署在监听模式下进行流量分析与告警。但需注意，旁路设备无法阻断攻击流量，因此必须安排专人进行实时监控与研判，确保一旦发现异常可迅速联动响应。应定期统计主机安全防护覆盖率与 WAF 部署覆盖率，确保关键业务系统、重点主机和各类出入口流量均被有效纳入安全防护体系，从而识别防护盲区，及时补齐短板，提升整体安全防护能力。

针对区域性业务系统，可通过限制 IP 地址访问范围来强化安全控制，例如限定仅允许A省内访问的业务，结合近一个月的访问日志分析，确认所有访问确实来自A省区域，有助于提前发现异常行为。然而，仍需注意一种常见规避手法：部分攻击队会在子公司附近蹲守，通过连接附近 WiFi 获取真实内网 IP，从而实现“伪装成合法访问”，造成真假 IP 混杂，难以区分。对此，应结合设备指纹、访问行为特征和登录频率等多维度判断异常。同时，对于来自国外的 IP 应一律默认封禁，避免被利用进行外部远程控制、漏洞探测或建立 C2 通道，这也是大多数攻击队不会使用境外 IP 的原因之一。

部分安全设备由于架构或性能限制，往往无法捕获完整的数据包，在还原攻击链或深度分析时存在盲点。因此，部署全流量监控设备具有重要价值，它能够完整保留原始通信内容，在出现安全告警时，提供可溯源、可回放的关键证据，对事件定位与研判尤为关键。

在实际防守过程中，现场部署的各类设备所暴露的 API 接口也需引起高度重视。很多 API 接口中可能包含明文传输的用户名、密码，甚至涉及用户的敏感信息，如身份证号、姓名、手机号等关键数据。一旦攻击者获取某一个存在漏洞的接口，便可能通过遍历 ID 或参数方式，批量获取百万甚至千万级别的用户数据，带来的影响极其严重，足以造成大额扣分或直接被判“失守”。一些传统的强队倾向于依赖 0day 打点突破边界，不屑于挖掘业务层面的漏洞；也有部分队伍的0day资源没那么多，他们会专注于业务逻辑漏洞的分析与利用，通过精细化构造请求或参数绕过，从而实现大规模的数据泄露。一旦未能妥善防护此类接口，哪怕一个微小的疏忽，也可能导致上千万级别的数据泄露，造成严重后果。

在资产梳理过程中，小程序和移动端 App 常被忽视，但很多时候会有意想不到的收获。木桶理论告诉我们，攻击永远优先指向最薄弱的点。在一次实战中，我们对目标单位的 App 进行了收集与脱壳分析，最终在混淆后的 Java 代码中提取到了 VPN 账号密码，直接导致其内网被攻破。对于加壳（如“三代壳”或“三代半壳”）的 App，也应提前在网上检索是否存在未加壳的历史版本可供分析。尽管大多数攻击队不会将 App 作为首选目标，但一旦进入分析阶段，往往会聚焦其服务端接口、通信 IP 与 Web 管理端，进行重点测试。因此，App 的客户端与服务端同样需要纳入完整的防护体系中。

当前已有多起案例显示，部分攻击队通过篡改供应商的补丁下发系统，在补丁包中植入后门程序，导致旗下数十家单位集体沦陷。因此，在比赛期间必须严格限制远程维护操作，以防攻击者借助“供应商通道”实现突破。如确需维护，必须通过堡垒机接入，确保全程审计与监控，防止出现未授权操作或其他违规行为。通过严格的访问控制和可回溯机制，有效防止供应链成为攻击入口，保障防守单位系统安全。一些供应商会搭建一些测试网站，里面往往有很多甲方的客户数据，一定要及时下线相关系统。

为了降低攻击面，外网中无用的资产应尽快下线，这一措施能够有效减少暴露的风险点。在前期红队评估工作中，重点关注那些曾被攻击队攻陷的系统或获取源码的系统。因为红队人员可能已经掌握了这些系统的关键上传接口或 Java 反序列化入口等信息，这些都可能成为下一次比赛中的突破口。此外，对于外网允许直接注册账号的系统，也需加强关注，这类系统在用户登录后可能暴露较多的后台业务功能，其存在漏洞的风险相对更高。

在防守工作中，全面梳理所有流量出口至关重要，其实也就是梳理出了攻击者所有的可能入口。每一个对外通信的出口都必须部署流量监控设备，必要时要接入威胁情报系统用于实时封禁已知恶意IP，从而实现第一时间的告警与联动封锁，防止攻击者建立稳定通道或外传数据。同时，构建一份完整、准确的资产清单也是防守的基础。很多攻击场景下，蓝队人员无法第一时间还原攻击路径，往往是由于对甲方系统资产缺乏全局认知，导致错失最佳阻断时机。因此只有掌握清晰的资产拓扑，才能有效还原入侵路径、评估风险点、快速响应处置。

以银行系统为例，外联区、专网、测试区均可能成为红队的突破口，因此作为现场蓝队人员必须熟悉这些区域的架构与访问策略。红队人员一般不会把重点放在外联区上，因为路径复杂、收益不高，耗时耗力；除非外联区单位本身是攻防演练目标之一，才会考虑从外联区作为切入点，一举打通多个目标系统。此外，测试区往往是防护薄弱环节。在以往的实战案例中，有几家银行单位在攻防中测试区被突破，从而导致业务系统源代码泄露。一旦源代码落入红队代码审计组手中，便会被用于定向分析，挖掘未公开的 0day 漏洞，风险也很高。

Java 反序列化漏洞目前是红队攻防比赛中最常见的0day攻击手段之一，尤其在金融、银行等以 Java 为主的业务系统中尤为突出，危害极大。由于Java反序列化漏洞的特性，攻击者可以构造各种加密混淆的payload绕过流量检测，甚至实现无文件落地、直接植入内存马，这使得传统的防护手段难以奏效。在去年的主防过程中，我首次真正体会到 RASP在应对这类攻击中的关键作用。原本认为 EDR、HIDS 等主机防护系统已经是最后一道防线，然而事实证明，只有深入到应用层的 RASP 才能在反序列化漏洞利用环节发挥“兜底式”防御的关键作用，可能是当前应对此类攻击的最后一道屏障了。所以在实际布防中，一定要提升RASP的覆盖率，包括内网环境中的java应用也要覆盖RASP，因为部分外网接口实际上是通过代理或转发调用内网 Java 应用，防守方往往难以及时掌握完整调用链。

RASP也不是万能的，也有固有的缺陷，因此需要多种防御手段结合，需要用其他方法解决：其中之一就是会有一些误报，ABC_123在作为高级蓝队时，处理RASP的误报成了我的工作之一，包括SQL注入误报、内存马误报、低版本的log4j2 jar包、shiro低版本等误报，但还好工作量在能接受之内。笔者在实战防御过程中，发现很多中间件底层的jar包中的class会被误报为Java内存马，我对告警文件也分析过，确实特别像冰蝎内存马的样式，但是经过分析，发现是正常业务功能，但这也为具备java漏洞分析能力的蓝队人员提供了价值发挥的空间，就需要懂java反序列化及内存马原理的高级蓝队专家进行研判；另一个问题就是RASP有时候会影响业务运行，在某些场景下可能对业务流程产生干扰，因此必须在上线前于测试环境中充分验证和适配。在我们实际布防中，除了个人网银和企业网银未启用RASP之外，其他子公司和业务系统基本实现了全覆盖，并没有出现太大问题。最终仅邮件系统出现了一些兼容性问题，具体表现为邮件附件打开出现乱码。经过与研发团队的协同排查与调优，成功解决了该问题，实现了稳定运行。所以不能一杆子打死，RASP影响到一两个应用就放弃部署了，不能非对即错。客户当时就是逐步在一些不太重要的业务系统上部署RASP，有了经验之后，再去对重要业务系统部署。

在每次红队攻击中，攻击队用的最多的漏洞大致是Java反序列化漏洞。该类型的漏洞可以直接打内存马，而且无文件落地，通信流量可以经过多层加密，往往能够成为安全设备的检测盲区。由于java反序列化漏洞的这些特性，使得其成为攻击者重点研究的技术。对于java反序列化漏洞，攻击者在探测漏洞是否存在的前期阶段，通常会借助DNSlog来判断。因此可以提前整理一份dnslog黑名单域名列表，将其加入各个安全设备的策略中。

同时对主要的java应用开启了RASP防护。经验证明，RASP防护可能是在实战防护中，防护0day漏洞及java内存马真正有效的方法，也是最后一道屏障。缺点是很多RASP告警不可避免是正常的Java业务功能，现场需要高级蓝队人员对RASP的告警进行代码层面的分析与研判，如果蓝队人员的java代码功底不足，达不到对其的研判。

注意，我说的服务端异构，不是客户端异构。在当前的攻防实战中，建议对 HIDS 与 EDR 的服务端实施异构部署，以降低因 0day 漏洞导致服务端被拿下权限，进而导致核心防护系统被“一锅端”的风险。从近年来的攻防趋势来看，许多红队采用的战术基本形成了固定套路：首先利用外网暴露系统的 0day 漏洞打穿边界防线，迅速植入内存马或代理工具，建立稳定的 C2 通道；随后深入内网，以集权系统（如集中管理的 AD、堡垒机、日志平台、终端防护服务端等）为目标发起横向渗透。一旦红队识别出内网所使用的终端防护产品（HIDS/EDR），便可能借助手中的相关 0day 漏洞精准打击其服务端，达成“擒贼先擒王”的目标。一旦防护中心失守，整个防御体系将迅速失效，导致单位在攻防演练中直接出局。

攻击队为了拿到更好的名次，会在比赛前期屯一些0day漏洞。根据以往的经验，在攻防比赛前一个月，都会有各种关于0day漏洞的传闻，这时候要仔细甄别，多方打听求证，很多都是以讹传讹的假消息。而我们作为防守方，在打听漏洞信息的时候，应该重点关心自己的系统是否存在0day漏洞、0day漏洞消息是否属实，而不是非得一味地去追问漏洞细节详情，这无疑给对方送为难，而且还可能得到一个虚假消息回复。

在前期收到有关某终端EDR存在0day漏洞的消息后，经过多方核实确认了消息是真的。针对该0day漏洞的防御，我们决定采取异构防护的方式。这里所指的异构防护并非针对EDR终端，而是针对EDR服务端，原因是0day漏洞是针对EDR的服务端的。在内网中几个EDR服务端上，我们额外安装了一种不同的品牌防护软件，以增强整体安全性。此外，我们还从攻击队得知，某视频会议系统存在0day漏洞。由于该系统在公司内部被广泛使用且无法立即下线，我们针对其几台负载服务器进行了加固。在Java应用上部署了RASP防护，并对该系统实施了重点监控。最终，在攻防比赛中，该视频会议系统经过一段时间的攻击流量峰值后，未被成功攻破。

不得不说，现在的红队及攻防比赛越来越难打了，前几年经常可以看到一个人可以打一个团队甚至一个公司，现在越来越少见了。对于0day漏洞的挖掘，国内几家高水平的红队已经开始深挖系统底层（系统内核、虚拟化、网络协议栈等底层组件）的漏洞，比较出名的案例有各种浏览器级别的远程溢出0day漏洞、虚拟机逃逸0day、某VPN的某端口缓冲区溢出0day等等。对于浏览器级别的溢出漏洞，类似于传统的网马，对方发送一个URL链接，只要企业内部人员点开即可中招。对于这种0day攻击，我们没办法预知这些0day细节，因为这种级别的0day资源稀缺危害很大单价又太高，最好的解决办法还是保证不出网，从防御角度看，阻断内网出网是当前对抗此类 0day 攻击的最有效手段之一，“建议连 DNS 查询也实施严格出网控制，防止通过 DNS 隧道建立隐蔽通道。

高强度封禁IP是蓝队防守工作中最有效的措施之一。攻击者的时间和精力也是相对有限的，在有限的几周时间内，迫使攻击队放弃当前高频度封禁IP的目标，转而攻击其它更容易突破的“软柿子”。尽管攻击队可能会用代理池，但是商用代理池价格昂贵，而且多线程扫描时易出现不稳定的情况导致漏洞的误报或者漏报。

同时还可以在外网放置一些蜜罐设备，或者在外网可以放置一个VPN设备作为蜜罐，任何尝试访问的IP都会被立即封禁。但需要注意的是，在外网部署蜜罐一定要注意配置好隔离策略，避免因蜜罐防护不足而被攻击者利用，从而突破边界导致单位被打穿出局，以往也有单位因为外网蜜罐配置问题被攻破的案例。

此外，对封禁IP的安全设备进行定期测试至关重要。一些安全设备会在内部维护一个黑名单IP列表，超过一定数量或者IP数量达到上限，可能会导致部分黑名单 IP不明原因放行。因此，需定期验证封禁效果，确保设备封禁IP功能符合预期。

如果防守目标是省级单位或地方的微信公众号、小程序等，可以分析其近一两个月的访问 IP 分布。若访问集中在本地用户，完全可以封禁该省以外的 IP 地址，从而进一步减少外部攻击的可能性。

在当前攻防环境中，禁止内网机器出网依然是防范社工钓鱼攻击非常有效的手段。这也是为何银行等金融行业中，红队评估时越来越难以通过社工钓鱼实现突破的核心原因——网络出入口被严格管控，即便攻击者成功诱导员工执行恶意附件，但由于严格的出网控制，回连通道难以建立，从而有效阻断了攻击链的后续阶段。为增强终端用户的防钓鱼意识，可通过每日的上午、下午定时电脑右下角弹窗提醒。

应定期组织钓鱼邮件演练，全面提升员工的防钓鱼意识。员工需警惕陌生人微信好友请求、可疑邮件链接与附件，尤其要防范以“招聘”、“投诉威胁”、“业务咨询”、“调查问卷”、“好友申请”、“业务咨询”为诱饵的社交钓鱼行为，如添加好友、填写问卷、扫描二维码等。严格要求不得使用非工作邮箱处理业务邮件，防止信息泄露。通过多次实战演练，大家的安全意识会极大地提升。

对于服务器中新建文件中包含敏感关键词（如‘薪酬’）或高危后缀（如 .exe）的行为，应配置重点告警策略；同时还需监控邮件客户端的异常行为，如同一 IP 登录多个账号等。借助 EDR 等终端监控系统实现即时发现与响应。收到疑似钓鱼邮件时，终端用户应第一时间上报，严禁私自打开查看，以确保风险事件得到及时处置。在策略层面不断优化检测规则并减少误报，才能在真实攻防中做到精准发现与有效拦截。

所有安全设备的日志必须统一汇聚到 SOC 平台，这是实现高效联动与统一监控的基础。在一次实际事件中，现场出现疑似业务安全异常，在原本需逐一排查各类安全设备日志的情况下，借助 SOC 平台的集中日志检索能力，快速定位了告警源并确认属误报，有效提升了响应效率，凸显了 SOC 在统一监控与分析中的核心价值。

在外网边界部署威胁情报类安全设备，可实现对恶意 IP 的实时识别与连接前阻断，在 TCP 三次握手阶段（如接收到 SYN 包后）即拦截可疑连接。这不仅能够构建第一道有效防线，拦截大量已知恶意源地址，也大大减轻了后端 WAF、IPS 等设备的处理压力，提升整体防护效率与性能表现。

这里面就引出来了威胁狩猎的理念了。需重点关注 .js、.css 等静态资源路径的每日访问流量变化，尤其是对于这些页面的POST请求尤为关注，因为这些路径常被攻击者用于隐藏内存马或搭建隐蔽通信通道。若出现异常访问频率、非正常时间段的大量请求或访问来源异常，应立即引起警觉并进行深入排查，以防止内存马等隐藏攻击行为在静态资源中落地并长时间潜伏未被发现。

夜间通常是攻击活动的低峰期，因此更应重点关注这一时段是否存在异常邮件往来、非正常流量峰值或敏感端口通信行为。如在深夜时段检测到突发的流量激增、可疑邮件发送或外联行为，往往意味着攻击者试图规避正常监控时段进行操作，应立即触发分析与响应流程。

关注集权系统：在资产梳理与重点防护过程中，需特别关注以下几类核心系统，它们一旦失守，极易成为红队横向移动与权限提升的跳板，并直接导致该防守单位迅速出局。如基础运维与虚拟化平台：WiFi、VPN、Zabbix、Puppet、Cloudboot、OpenStack、Libvirt；身份与认证类系统：统一认证平台、身份认证管理系统、员工数字化协作与渠道整合平台；终端与主机安全系统：终端安全管理、防病毒管理、主机威胁检测平台；数据与服务平台：DCOS、灾备平台、数据脱敏系统、数据库服务管理平台；运维安全系统：4A 统一账号平台、运维自动化平台、配置管理应用。上述系统往往集中了权限、敏感数据或管控能力，是攻击者在内网中高价值优先打击的目标。

每一个对外流量出口必须部署流量监控设备，以实现对进出边界的数据实时可视与行为分析。同时，内网中各隔离网段之间也应部署东西向流量检测设备，如内网型 WAF、IDS 或流量探针，防止攻击者在成功入侵后通过横向移动实现跨网段渗透而未被察觉。只有对南北向与东西向流量同时建立可观测性，才能构建真正闭环的内网防御体系。

此类公司与总公司之间的网络联通必须部署流量监控与告警机制，一旦出现异常访问或数据交互，应能及时预警。总公司与各子公司之间在应用系统、信息网络、数据及账号体系等层面应实行严格隔离，构建纵深防御体系，防止安全事件在多个单位间蔓延，避免“火烧连营”式的连锁风险。

部分设备具备微隔离功能，这一特性在实际防守中非常有价值。遇到异常行为时，可先对目标资产进行隔离处置，切断其横向传播路径，待分析确认后再进行恢复，既确保了安全，又最大程度减少对业务的影响。

在防守现场，有一个值得借鉴的经验：通过投屏的方式，将关键的安全设备的实时监控画面投放出来，方便现场所有工作人员查看最新的攻击动态、流量情况和告警信息。如果投放画面中出现流量峰值，可以迅速引起大家的注意。如果攻击流量集中在少数几个域名或IP地址上，通常表明这些资产是外网的薄弱环节，已成为攻击者重点关注的目标。此时，可安排现场经验丰富的高级蓝队人员（最好有过红队经验）登录相关服务器，检查其中的应用安全状况，重点排查是否存在压缩包备份文件、敏感目录等可能暴露给外网的高风险问题，如果目标站是对外提供各种功能服务的java站、php站、.net站，就需要进行重点关注。

在一次防守过程中，我们发现某个外网域名突然出现流量峰值，而该站点是必须开放的业务，没有办法下线。随即蓝队技术人员登录服务器及负载站排查，发现是一个对外提供下载服务的站点，站点内容主要为HTML和静态JS文件，安全风险较低。攻击流量持续半天之后，流量逐步恢复正常，说明攻击者放弃攻击尝试，没有找到漏洞利用点。

此外，可以安排专人每日对高危域名的流量进行详细审查，并使用专用设备对可能隐藏内存马的静态资源文件（如 .css、.js、.png、.ico 等）进行重点监控，统计它们的访问量是否异常增加。为了确保所有流量出口都在监控范围内，需要对流量监控设备进行了全面配置，确保能够抓取所有出口流量，并在前期通过测试及时发现和补充可能的监控盲区。

在演习期间，应将红队渗透、钓鱼演练与防守工作同步推进，保持高警惕状态，随时检查安全设备是否具备有效的攻击阻断能力，例如是否成功封堵恶意 IP 并触发告警机制，封堵了攻击IP，防止因配置疏漏或设备异常导致安全事件发生却无法上报。同时，若发现设备封 IP 过于激进，可考虑为攻击队配置合理的白名单，避免其将资源浪费在绕过防护而非漏洞利用本身。在正式比赛开始前，我们也曾通过预检手段，意外发现某一安全设备存在 IP 黑名单容量限制，当达到上限后将自动轮换，造成黑名单策略的实际有效期仅为约 3 天。

进入 HW 实战阶段后，往往出现乙方具备应急响应能力，而甲方数据库或设备运维人员响应能力不足的情况。因此，防守团队应主动建立运维组、分析组、研判组、应急处置组之间的协作机制，并积极与甲方数据库运维、网络设备管理员等关键岗位人员建立沟通联动，确保响应闭环。在客户授权下，适当开展如 webshell 上传、Java 反序列化等模拟攻击，可用于锻炼防守团队各小组在监控、分析、研判、响应流程中的实战熟练度。

最后，演习结束后需要对每一次问题进行准确定性分析，识别是哪个环节（如告警监测、日志分析、权限控制、响应联动等）出现了短板，便于为领导提供明确的整改方向，推动整体安全体系优化。