攻防演练之蓝队安全防护体系建设

攻防演练简介及蓝队安全防护现状

攻防演练整体防守思路

站在防守角度来看，蓝队面对攻防演练期间高强度的攻击，落实整体安全防护能力乃重中之重。一般来说，蓝队防守工作开展时间轴可分为四大阶段，分别为准备阶段、预演阶段、实战阶段、总结阶段。蓝队从技术、管理、制度、人员等多角度出发提前规划，查漏补缺，形成预防、监测、响应、溯源立体纵深防护体系，提升蓝队网络安全防御水平，增加红队攻击成本，让红队知难而退。

在夯实整体安全防护能力过程中，完备的防守作战武器是制胜法宝，新华三在经过多年攻防演练安全服务工作经验的积累及实战检验，以“敢战，能战、可赢”为目标，为客户打造了一系列利策、利保、利剑等攻防演练单兵作战装备，为客户的网络安全保驾护航。

建设立体纵深式防护体系

■ 优化作战体系，组建防守团队

防守过程中，首先，蓝队应落实网络安全“一把手”责任制，责任落实到人，确保在人力、资源等方面获得有力支撑，可引入外部安全服务厂家作为技术支持单位。其次，蓝队内部形成统一的作战体系，明确职责划分，保障对接流程顺畅。在这一过程中，明确防守组织架构是关键，如下图为常见的防守组织架构图。

领导小组：牵头负责攻防演练期间的组织及重大事项决策协调工作；

作战工作组：统筹演练保障组、专家顾问组、各阶段工作小组工作；

演练保障组：负责演练期间的后勤保障、资源调配等工作；

专家顾问组：对总体工作部署等提出整改建议；

各阶段工作小组：听候作战工作组指挥，实施具体防守工作。

■ 明确防守流程与应急预案

防守过程中涉及多团队协同作战，为实现快速反应、高效配合，构建一个可落地实施的防守流程及应急预案显得尤为重要。防守流程作为防守工作中监测、分析、处置的“指示灯”，应明确规定各防守小组的执行过程及运作机制，确保防守工作“上通下达”。在防守流程的框架下，针对不同类型的安全事件，制定专项应急预案快速对安全事件进行匹配。一言以蔽之，从细处着手，减少沟通成本，做到快速反应、有序处置。

上图为实战中安全事件监测、分析及处置常规流程，监测告警组需借助有效的全网流量监测、分析安全设备，如新华三“利剑”工具箱进行实时安全威胁检测，并对发现的安全事件进行确认，提交处置或进一步研判。分析研判组多产品联动分析攻击事件，明确攻击源和攻击方式，进一步溯源分析。应急处置组根据分析结果，在保证重要业务正常运行的前提下，本着“先处置再分析”的原则，采取相应处置措施。

■ 常态化资产管理，做好资产梳理

常言道“知己知彼，方能百战不殆”，所以蓝队在攻防演练前，应摸清家底，全面掌握资产现状，做好动态、周期性的资产监测工作，常态化资产管理。蓝队基于掌握的资产清单，梳理资产部署、业务属性及应用上下游关系，提前排查并认清风险，推动安全加固整改工作，如，收敛互联网暴露面，关闭或下线老旧及“无主”资产，避免因资产排查存在遗漏，责任人不明确，导致存在监测“盲区”，被红队利用作为跳板发起深度攻击。

■ 全面开展安全排查与安全加固

1）攻击面收敛

大多数情况下，蓝队对于自己的资产情况掌握不全，导致资产未能全部纳入有效监测、防护范围，存在明显地防护薄弱点。一般情况下，红队在进攻前，会先收集该单位暴露在互联网的资产，而这些防护薄弱的资产，将成为攻击者攻入关键业务区的跳板。所以，提前发现在互联网中暴露的资产变得尤为重要，关闭“老旧”、“无主”、“无用”资产，对于用户较少但存在一定业务需求的系统迁入内网，收敛对外暴露攻击面。

2）风险点排查

俗话说“不打无准备之仗”，对于防守工作也是同样道理，开展风险点及隐患排查，提前“补短板”。一般风险点的排查，可从安全漏洞扫描、渗透测试、安全基线检查、敏感信息梳理、弱口令检查等着手，新华三“利保”工具箱具备漏扫、渗透、资产挖掘等多项能力，可提供一键式风险点排查功能。

3）安全策略检查

开展IPS、IDS、WAF、流量分析系统、防病毒软件、主机防护等安全产品的特征库进行版本检查，检查特征库版本是否为最新。并对本单位的防火墙安全策略进行梳理，最小化授权，但该动作会面临着安全策略混乱、梳理周期长的问题，可通过引入安全策略管理工具实现自动化管理提升效率，新华三“利策”安全策略管理设备可有效解决该痛点。

4）攻击路径梳理

红队为了控制攻击成本，从防护薄弱点下手，一旦获得进入内网的“据点”，一般优先攻击高权限账号、终端以及集权系统、基础设施等，作为蓝队需提前梳理红队可能的攻击路径，明确关键布防点。

5）安全加固推进

跟进攻击面收敛、漏洞修复、安全策略优化及安全防线加固等工作，做好风险闭环。

■ 安全防护能力落地

整体安全防线的建设，不仅依托于完善的管理、制度及流程建立，安全产品部署及整体防护能力加强也是必不可少的环节。首先，应开展全面网络架构评估，明确网络安全域划分，梳理整体访问控制关系，从实战来看，网络层的访问控制非常有必要，红队很难绕过，且绕过的时间成本较高。做好网络层隔离，是有效对抗攻击的方式，也可以说是整个安全防护的基础。其次，评估攻击面及入侵防护情况，明确防护重点（如靶标系统、VPN、集权系统、邮件系统等），建立全面、立体纵深式的监测、防护体系。

■ 安全意识宣贯与提升

近年来，随着攻防手段不断升级，攻击方式不再拘泥于WEB端，邮件钓鱼、社工、近源等方式也逐渐频繁。显然，面对此类攻击，仅靠技术还不能效解决，它牵扯到每个员工的安全意识防范，故开展安全意识培训及贯宣愈发重要。

安全意识培训：面向全体员工，定期开展网络安全意识培训；

模拟社工攻击：蓝队内部不定期举行邮件钓鱼、近源攻击等演习活动，提升全员防范意识；

常态化网络安全意识贯宣：通过海报、视频、邮件等形式定期宣贯，强化每名员工的安全意识。

■ 组织内部攻防预演

攻防预演工作的开展，主要是检验前期的安全加固成效、防护能力、保障能力、应急响应流程、管理制度等是否到位，针对该阶段发现的安全风险及管理问题等进行优化，提前进行防守队伍的磨合。

■ 建立威胁情报共享机制

蓝队可通过拉通内、外部的威胁情报共享，打破信息交换壁垒，掌握防守主动权。首先，建立外部威胁情报共享机制，可联合专业的安全情报厂商获取最新威胁情报，如0day、C2地址等，尽早进行漏洞修复或策略封堵。其次，防守工作组同步协调上下级、兄弟单位组建内部情报共享机制，如恶意 IP实时同步，并通知值守人员在安全设备进行封堵。

■ 溯源与反制

随着攻防双方对抗力量的升级，蓝队不能坐以待毙，需化“被动”为“主动”，主动出击，可采取部署蜜罐系统作为诱饵来诱敌深入，增加攻击时间及成本，并通过捕获的信息有效追踪攻击者，最终溯源反制获得加分。

总结

总的来说，蓝队的安全防护体系的建设是一个“路漫漫其修远兮”的大工程，仅靠攻防演练期间临时组建团队，堆人、堆设备，虽能达到一定成效，但未从实质上解决问题。而是，需要蓝队把安全防护体系建设工作常态化，落实“一把手”责任制，自上而下推进，本着“专业的人干专业的事”原则，引入专业的安全服务，推进整体工作部署及开展，将工作前置并提前防范与加固，方可打造固若金汤的网络安全防线。