攻防是一门艺术

---

准备阶段

---

编制HW工作方案

根据用户现场实际情况编制工作方案，包括组织架构、工作分工与职责、工作计划、工作任务等

1.人员的信息 1小明 2小白 3小黑
 
2.值班时间表 根据项目的开始-结束时间来调整
常规是5x12 就是一周上五天 一天上12小时

3.人员对应的工作内容 ：小明负责安全监测 小白负责分析研判

4.工作任务 小明监测xxx设备 小白负责分析小明提供的恶意数据流量

5.工作计划 小明按时编写报告 小白按时汇报数据量

6.组织架构 一支队伍的架构 可以分配为 1个应急 2个研判 3个监测 具体根据现场情况来分配

---

召开启动会

安全处与网络处、应用处、业务司局、第三方厂商达成统一共识

公司的安全部门、运维部门、开发部门、业务部门同时同步并协调工作
与对应的安全厂商或是应用系统开发厂商及时沟通并说明情况

---

确定目标系统

定目标系统建议：区域单一、业务连续性较低、单独物理机、上报数量

目标关键链路、是否定级、安全检查、渗透测试，同区域、同网段业务系统等

目标系统资产，分析得知可能的攻击路径

需要单位公司自己内部的安全部门及运维部门配合确认

---

全网资产梳理

网络设备、主机系统（操作系统、数据库、中间件等梳理）、应用系统（访问地址、IP地址、开发语言）、集权类系统（OA、邮件、堡垒机）

这里可以公司内部的人员配合安全厂商的人员同时进行
目的也是为了保障公司网络安全 尤其是一些OA系统版本
或是邮件系统存在弱口令 及时修复 

---

安全设备了解

目前所有安全设备：防火墙、WAF、IPS、IDS等

当然这里也不排除有一些新型设备 根据实际情况采购使用

防火墙是重要的网络防护设备 功能:防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。

WAF其实和防火墙来说大差不差 功能都是对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。

IPS入侵检测系统是对防病毒软件和防火墙的补充

这里推荐给公司内部的员工做一个网络安全培训 讲解相关事宜

---

安全厂商沟通

安全设备是否有厂家维护，HW期间是否现场支持

了解安全策略、访问控制如何做的，网络之间隔离措施

这个就需要密切关注了
现场支持参杂的因素太多了 例如支持的时间及人员等相关信息

安全策略和访问控制就关系到不同级别的单位了 
如果一家公司有一级单位和二级单位 这里不做任何限制及隔离
当二级单位被攻击队拿下后 可能会顺势攻向一级单位 从而就形成了一个巨大的弱点 非常致命 需要运维及开发人员对内部网络及相关工作进行协调处理

---

部署流量监测设备

了解网络拓扑大体结构，知道目标系统拓扑位置
同时也能够监测攻击者的一举一动

---

部署WAF

部署完成，确认旁路活串联，是否开启防护策略，全部或局部防护
主要是拦截攻击者的攻击操作及相关流量 加固网络安全

---

部署蜜罐

发布相关系统，迷惑攻击方，发现攻击IP

这里着重说一下
在攻防演练中 蜜罐的部署及数量是有要求的需要根据情况来
蜜罐的作用性是非常大的 例如把蜜罐部署到一个区域 当攻击者去攻击时就能及时知道攻击者现在已经到达什么攻击区域了

---

部署主机加固

针对目标系统进行主机加固，提高防护和监测能力

这里的话就是一些弱口令的漏洞进行加固
或是低版本的应用系统 或是OA 进行升级 并及时打补丁

---

内部集权系统梳理

邮件、域控、运维管理（ITSM、堡垒机）、运维

终端（安全、网络、研发）

搜集内部IP地址，进行分析查看与集权系统

通信的IP地址是否正常

这个需要统计公司旗下的所有资产 一般是由内部的运维人员统计 上报 
并配置设备相关白名单 及一些资产标记 对IP进行梳理测试 不影响正常业务

---

防守队伍沟通

建立即时通讯工作群，确定好监测、研判、封禁、配合整改、应急处置分组和具体责任人，包括用户谁负责牵头。客户、安全厂商、应用厂商等

这个都是必备的事项 如遇到突发事件可以及时沟通处理
每天如果有相关的情报也可以及时共享
根据具体情况来定

---

网络空间风云涌 安全战略立如松

---

自查和整改阶段

---

应用系统梳理

根据前期准备工作形成资产清单，网络、安全设备、应用系统（系统名称、URL、内部地址（负载IP）、联系人等）

这个阶段可以由安全厂商委派的人员来进行测试
对一些平时没注意的资产 对一些不常用的系统 及高风险系统
进行检查 不疏忽每一个漏点
排查联系人是防止离职的人员账号还能利用 
如果账号被窃取 其没有相关信息 容易出现安全隐患

---

开展安全检查

互联网资产扫描 发现未知资产和风险端口

互联网暴露信息 搜索引擎 、代码托管 、网盘、漏洞平台

安全基线检查 网络、安全、主机、应用等安全基线检查

安全扫描 主机、应用安全漏洞扫描+验证

渗透测试 漏洞验证、督促整改

其他安全检查 运维终端安全检查、日志审计、备份有效性

安全意识培训 关键岗位运维人员、管理人员安全意识

安全加固针对发现的安全漏洞、安全隐患及时跟进、验证修复情况 安全风险检查弱口令、管理后台外部访问权限、内部访问IP范围、补丁更新、上传目录权限等

这些涉及的方面就比较广了 建议安全厂商和内部运维开发人员一起配合检查 将每一个资产梳理到位 培训员工安全意识 防范钓鱼攻击 使用工具进行漏测 例如AWVS NESSUS

---

完善安全设备

设备完善 部署与测试WAF、IPS、IDS、蜜罐、主机加固等

检查 流量采集、规则更新、使用情况等

将设备调节至最佳状态 不出现大批量误报等影响判断的信息

---

其他安全措施

在攻防演习前，梳理业务连续性较低的、存在安全问题的系统下线或HW期间临时关停

HW期间是否可以每天定期修改关键应用、主机口令

攻防演习前，对防守目标系统进行一次日志分析和失陷检测

弱口令也是巨大的隐患风险 
临时关停排查风险 等风险问题解除再重新上线业务
人员安全意识风险也是问题之一

---

攻防较量显智勇 红蓝对抗筑长城

---

攻防预演习阶段

---

通过预演习工作，发现安全漏洞隐患，验证防守方案可执行性，进一步完善

预演习工作确认与用户确认攻击方式、时间、提交物，申请授权，确认攻击队

资源与开始时间、攻击IP，提供应用系统列表

预演习工作开展：按照方案开展攻击和防守工作，模拟正式HW工作，安全监测、分析、处置

攻防预演习总结：与各方沟通总结不足，进行完善

需要前期的排查 对资产进行梳理

---

攻与防 始于心 践于行 成于恒

---

正式演习阶段

---

分组工作职责

领导小组：总体监督、协调、把控

事件检测组

安全厂家监控各自安全设备，发现疑似攻击行为

立即验证或上报

威胁分析组 确认漏洞存在，通知相应资源处置

事件处置组

安全工程师上机溯源分析、应用运维人员删除

Webshell或下线系统，开发人员进行代码整改

其他分组：邮件安全组、应急处突组、后勤保障

组、外部资源协调组

攻防演练平台上报 专人或兼职负责防守成果报告上报演练平台

---

安全设备监测

进行安全监测，发现后通知研判组进行验证

判断流量数据
分析攻击者的攻击是不是恶意攻击
分析是不是设备误报

---

封禁IP

出口防火墙、CDN、云WAF

这里一般都是由分析研判来作封禁
需要判断是否为内网IP地址 资产IP 用户IP 
同时需要找内部人员核对信息

---

失陷检测

每天针对目标系统进行Web日志检测，是否存在Webshell

对设备进行查看 每天的结束或交班时间对设备进行检测

---

日志、存储目录检查

应用系统进行日志查看、文件存储目录检查

查询是否被攻击
查询是否被恶意爆破
查询是否被匿名登录或是异常登录

---

谋士以身入局 举棋胜天半子

---

注意事项

保密、个人安全、值守要求、关键行为、风险上报、工作要求、时间要求、漏洞上报

保密是关键！！！
演练期间 不允许拍照发布朋友圈等相关社交媒体

个人安全 是作用于自己携带的设备 笔记本电脑 U盘等
推荐使用前进行一遍完整杀毒 防止对现场环境造成影响

值守要求 不玩手机 不打游戏 不做与工作无关的事情 

工作要求 拿不准的事情往上报 不要当机立断！！！