红蓝对抗：蓝队经验总结

 

 

今天划水摸鱼的时候想起自己也参与了很多次护网攻防演练的蓝队了，但是一直没有对此做一个知识总结，所以本文旨在分享自己的蓝队经验以及记录自己对应急响应的一些理解，话不多说，上正文。

 

---

Tips - 本文主要以外援角度看待护网相关事项

 

 

0x01 护网攻防演练简介

网传的HW指的就是护网，从2020年起，就被广大师傅们传成HVV。护网是当前国家、重要机关单位和企业组织用来检验网络安全防御能力的重要手段之一，是当下检验对关键信息系统基础设施网络安全保护工作的重要组成部分。

护网攻防演练这个概念是从2016年开始有的，在国家相关网络安全监管机构的推动下，网络安全演习工作日益得到重视，从而分出红队和蓝队，由红队担任攻击方、蓝队担任防守方，通过一定规则限制下进行实战网络攻防演练，即红蓝对抗。而本文主要以蓝队角色为中心视觉，下面介绍护网蓝队工作组划分。

 

 

0x02 护网的三个阶段

 

• 预演阶段（10 days）

预演阶段也叫准备阶段，对于甲方来说，这个准备时间可能是1~3个月不等，甚至更长，每家企业的准备时间都不一样。对于兼职外援来说，这个时间通常为期10天较多，具体看甲方需求。

这里只针对兼职外援，描述其在预演阶段时的大致工作内容，如下：

    1. 资产梳理

Tips - 资产梳理的工作主要分为业务系统资产、设备资产、外包或第三方服务资产，通常这项工作都是由甲方运维人员主要负责，而兼职外援通常需要协助甲方运维人员一起进行梳理。

    2. 主机基线扫描

    3. 主机系统加固

    4. 私设资产收集

    5. 安全渗透测试

 

Tips - 实际上，预演阶段的工作内容都说不准，毕竟部分企业预演阶段的时候就已经开始模拟红蓝对抗了，所以会在蓝队当中挑选人员组织成红队进行模拟演练，这种情况下，就会模拟正式阶段按分组进行工作，就无需进行资产梳理、基线扫描、系统加固、渗透测试等工作。

• 正式阶段（15 days）

在正式防护阶段中，重点加强防护过程中的安全保障工作，各组人员各司其职，从攻击监测、攻击分析、攻击阻断、漏洞修复和追踪溯源等方面全面加强演习过程的安全防护效果。

Tips - 正式阶段各组的工作内容如下文的第三点（0x03） ↓↓↓

 

• 复盘阶段（1 days）

Tips - 在正式阶段结束后，会进入为期1~2天的复盘阶段，具体事项为总结本次护网攻防演练的工作成果并在会上进行汇报，红蓝两队双方的领队负责汇报情况。

 

0x03 护网蓝队工作组划分

护网蓝队通常分为5个组,，分别是：

监控组、研判组、处置组、溯源组、反制组

 

 

监控组：负责实时汇报监控平台上的高危告警

Tips - 监控组人员需要懂得使用各种厂商的安全设备，如360天眼、知道创宇云图等，还要懂得分析流量，毕竟不是一发现监控平台上存在告警就立马汇报的，一些很明显是误报的告警是无需汇报的，在反馈给研判组之前，其监控组人员本身要对此告警进行一次分析，分析后无法确定，再汇报至工作群当中，由研判组进行研判。

 

<监控组反馈模板>

上图为参考，每个工作单位的汇报模板都有一定差异，主要根据现场指挥中心的要求去汇报

研判组：负责实时研究判断监控组反馈的高危告警是否为误报

Tips - 研判组人员需要实时响应监控组反馈的高危告警事件，判断高危告警事件是否属于安全设备的误报行为，无论是否属于误报行为都要将针对此告警事件的结果回馈给监控组以及指挥中心。若判断为误报行为，则无需升级事态，向工作群回馈即可。若判断为攻击者行为，则需要分析具体攻击事件情况并反馈至指挥中心。

<研判组反馈模板>

上图为参考，每个工作单位的汇报模板都有一定差异，主要根据现场指挥中心的要求去汇报

处置组：负责应急处置研判组反馈的真实攻击告警事件

Tips - 研判组反馈后，如果为攻击事件，则处置组以及溯源组的人员需要等待指挥中心的安排，随时准备应急处置。通常处置组人员要多和甲方企业的相关运维人员进行沟通，因为有部分企业只允许自己的运维人员上机操作，所以如果处置组人员无法上机操作的时候，就没办法处置，只能将当前事件情况和处置方法反馈给甲方企业的相关运维人员。

溯源组：负责溯源攻击告警事件以及攻击者相关信息

Tips - 在研判组确认攻击事件后，溯源组同样处于一个应急响应状态，需要等待指挥中心的安排，随时进行攻击事件的溯源。关于溯源的思路，后面会对此进行总结。那么溯源组人员在没有需要溯源的事件的时候，就主要负责溯源攻击者相关信息，通常会通过监控平台的攻击者指纹信息功能进行查看，再结合相关溯源攻击者身份的手段进行溯源。（当然不排除闲余时间在各大安全群摸鱼 ）

反制组：负责反制钓鱼邮件中的钓鱼网站或者通过社工的方法反制红队

Tips - 反制组和溯源组都能够得分，基本上蓝队的得分都由这两组负责，关于蓝队得分规则，下文会提及到。关于蓝队如何进行反制，后面会对此进行总结。

 

---

除了上面的5个分组，还有一个领队，专门负责安排每个组的工作并统筹每个组的工作内容，当然具体负责的事项肯定不止这些，还有各种与甲方企业项目负责人、领导之间的沟通汇报，预演阶段的各项工作安排，复盘阶段的工作汇总、文档撰写等等，我有幸担任过一次领队，那工作量真的挺大的，经常睡梦正浓的时候被电话惊醒 ，基本上一有问题第一时间就会找上你，吐槽一万字<省略>

 

 

0x04 护网蓝队指挥中心

 

通常蓝队指挥中心由甲方企业管理层组织并任命专人负责领导，主要负责组织和统筹整个演习活动中蓝队防守方的人员培训教育、统一调度工作、建立沟通机制，以及对演习活动中各类突发事件进行决策。

Tips - 这里对此不赘述太多，不是外援需要深入了解的东西，知道有这东西存在即可。

0x05 护网蓝队得分规则

 

下图为2020年网络攻防演习评分规则（防守方）

图片摘自：小迪师傅博客

http://www.xiaodi8.com/?id=216

<得分规则>

Tips - 针对以上得分规则，我这里罗列出一些比较好得分的点

1. 溯源攻击者真实身份信息

2. 反控攻击方服务器（通常只能反控到攻击方用于钓鱼的跳板机）

3. 发现恶意邮件

4. 发现webshell、木马、账号异常（较少，难度较大，攻击方进入内网后会隐匿好自己，避免触发告警，这需要监控人员对全流量日志分析的足够仔细）

0x06 护网蓝队应急响应

 

关于应急响应，很多人以为一上来就是各种查系统日志、查WEB日志、分析流量信息。然而，这种做法是错误的。通常应急响应的都是安全监控平台上出现的高危告警事件，借助平台上的流量监控功能，可以有效确定攻击事件的时间和攻击事件的类型，再不者也可以缩小攻击时间范围。当我们确定了攻击事件的时间/时间段以及攻击事件的类型，那么再开始进行系统分析，这样才能最高效的进行应急响应工作。

 

所以，当应急响应工作展开时，这两点非常重要：

1. 确定攻击事件的时间/时间段

2. 确定攻击事件的类型
   

 

在这两点确定之后，就可以进行系统分析了，关于系统分析，整体思路如下：

<系统分析>

 

Tips - 以上都是系统分析需要的检查项，后面会对此进行总结。

 

应急响应包括应急处置和应急溯源，所以在HW中，当研判组研判此告警事件为成功攻击告警事件时，处置组和溯源组是要同时应急响应起来的。这里要对应急处置特别说明一下，应急处置分临时处置和完全处置。举个例子，假如告警事件为Webshell上传成功，那么完全处置当然是将Webshell进行删除并将漏洞入口封堵起来（即漏洞修复），但是完全处置花费的时间较长，所以就需要做临时处置的处理。

 

 

0x06 总结

 

在HW阶段，工作时间通常为7*8（三班倒）或者7*12（两班倒），周末不停歇，持续进行15天。当然如果是两班倒，真的够呛。

 

 

当然，如果红队大佬一天把目标拉下马，那蓝队的外援就纯当旅游一趟吧 

 

 

 

 

原文始发于微信公众号（Snaker独行者）：红蓝对抗：蓝队经验总结