攻防演练之给蓝队防守方的11个忠告

一、攻防演练概述

自2016年开展首届HW行动以来，越来越多的企业、单位加入到HW行动中来，网络攻防演练越来越贴近实际情况，越来越考验其实际安全能力。HW行动对于我国网络安全行业发展有着巨大的促进作用。假若没有HW行动，大多数企业的安全防护体系建设还停留在预算审批阶段，在没有出现大的安全事件和触碰合规红线之前，企业对于安全方面的投入极为克制。HW失败，一年白干，这虽然是业界的一个段子，但是某些时候还是很有道理的。对于所有网络安全人员来说，这是一次年度大考，攻防演练的成败直接决定了他们本年度的绩效。对于提供驻场服务的安全厂商来说同样十分关键，第二年的攻防演练订单能不能续上就看今年驻场人员的表现。

由于HW行动的所有参与单位，最终根据其所获得的分数进行排名，随意排名靠后的单位就会非常被动。虽然不会面临直接处罚，但是会直接影响其评优等多项工作，重要性毋庸置疑。例如2022年，业界疯传某个金融单位因为在网络攻防演练中表现过于糟糕（系统被打穿），直接导致该单位二把手被撤职，下边安全人员和厂商驻场人员都讨不了好。

在攻防演练中，攻守双方分别是红队和蓝队，红队大多数都是由“国家队”、厂商渗透技术人员组成，其中“国家队”的占比大概是60%左右，负责对目标单位发起实战式网络攻击，以此检验其防护体系的实际安全能力。而蓝队基本基本是由企业/单位安全人员、厂商驻场安全服务人员组成，他们不仅要对抗红队持续发起的各种网络攻击，还要在溯源中固定证据，反制红队人员。

二、给蓝队防守方的11个忠告

1、运气第一，实力第二（手动狗头保命）

哪怕实力不强，运气好没被打破，轻轻松松取得令人羡慕的成绩；运气差，哪怕实力再强也有可能因为一个小错误而崩盘。有时候运气这种东西真的没办法吐槽，大家尽力就好。

2、攻防演练再怎么重视也不为过

攻防演练是检验安全体系建设有效性的关键指标之一，就像前文说的“这是一次安全人员的大考”，因此在攻防演练考试之前安全部门需充分向上管理，强调“攻防演练”的重要性，借此尽可能多申请资源，包括应急演练大屏、防守方专用电脑、部署监控视频等。

不论是驻场人员还是内部福利，有多少搞多少，这样才能更好滴提振士气；同时也要做好向下管理，提前给安全人员打好预防针，使得内部在行动指挥上形成统一。据说2023年HW行动刚刚开始，四川某运营商就已经被打穿，这一消息在网安圈内疯狂传播，不论是出于舆情考虑还是站在攻防演练的重要性上（ZZRW），该运营商的领导层都处于一个十分被动的位置，对于安全人员来说也是一个非常糟糕的消息。

3、神队友还是猪队友决定了攻防演练的成败

对于大多数公司/单位来说，蓝队防守方仅仅依靠公司内部安全人员是万万不行的（类似于电信行业大佬不在统计中），所以必须要找外援。说的再直白一点，攻防演练和篮球足球比赛差不多，在某些时候外援才是决定胜负的关键。如果遇上厉害的大佬，直接躺着就把分拿了。

至于怎么找到靠谱的白帽渗透人员，除了已有的资源外平时可以多参加一些相关会议，积累一些人脉。还有个不太文明的方法，如果有心仪的白帽可以将压力给到合作的厂商，利用他们的白帽资源来完成招募的目标。

不论是新队伍还是老队伍，面试环节都需要严肃对待，防止滥竽充数的混子影响战斗力，包括对人员进行技术能力、背景等方面的审核，确定防守方负责人并构建防守方组织架构，与第三方人员签署保密协议，向防守人员宣贯防守规则及演练相关要求。

4、能不能写好技战法也是一大关键

一篇合格的技战法可以起到锦上添花的作用，让我们的成绩更加明显，也能让错误变的不那么明显，简单来说就是多得分，少掉分。自2016年开展HW行动以来，攻防演练双方的专业水平已经逐渐提升，防守方越来越多地通过设备联动、纵深防御、应急响应、溯源反制来抵挡攻击方专业的网络攻击。因此防守方技战法撰写的四大核心点分别是设备（体系）联动、纵深防御、应急响应、溯源反制。这四大核心点又可以进一步拆分成多个小点，围绕其中某一个点写深写透，凸显我方在攻防演练中的努力与成绩。

5、资产盘点是攻防演练前的准备

大多教情况下，蓝队对于自己的资产情况把控不够，导致部分资产未能纳入有效监测、防护范围，这就成为了防护体系中的暴露面。红队在发起进攻前，会先收集这些薄弱点，并以此为跳板攻入企业关键系统。

资产是安全运营的基础支撑能力，合格的安全管理是建立在对于资产全面且精准掌握的基础之上，动态、周期性的资产监测以及及时的变更预警是非常必要的，保持对于资产部署分析、业务属性及应用上下游关系等清晰的认知，才能够将企业在互联网的暴漏面进行持续收敛。

公网资产评估:通过收集企业暴露在公网的资产信息和敏感信息，分析存在的未知公网资产、以及业务系统源码、账号密码暴露等安全风险，协助企业在攻击者发起信息收集前收敛外部攻击面，提升企业对自身资产的掌握程度以及应对突发安全事件的能力。

内网资产评估:从内网安全维度对主机安全产品核心功能模块的检测结果进行详细分析，从而发现操作系统、业务系统存在的风险隐患为客户解读并持续跟进风险整改期间各类技术问题，协助企业提升操作系统、业务系统本身的健壮性，进而提高内网横向攻击门槛。

6、溯源与反制是防守方的得分神器

由于攻守双方天然处于不对等地位，因此在攻防演练中防守方如果能够通过主动式欺骗措施（例如高级蜜罐）来诱敌深入，收集信息并固定证据，最终对攻击方进行有效杀伤，将会获得非常多的加分。

溯源反制比较关键的是有效还原攻击链：

攻击者是通过“哪个系统”+“哪个漏洞”打进来的，确认攻击IP有哪些。
攻击者打到内网后做了什么操作，例如“流量代理”+“内网穿透”。
最后总结哪些互联网和内网系统被拿下了，并且通过安全流量设备等方式证明攻击者的攻击动作。

在溯源反制中，攻击源捕获是至关重要的步骤，在网络攻击发生时防守方需要通过各种方法获取攻击者的信息，比如说攻击者开始攻击的时间、攻击的手法、利用的漏洞、入口点是什么、有没有在服务器里留下后门、攻击者的IP地址是什么，被攻击的主机有哪些等。

7、布置好蜜罐

蜜罐是溯源与反制中最关键的技术。在攻防演练中，攻击者常利用的突破口多为对外开放的站点、服务上存在的漏洞、未经严格控制而开放的测试站点等。防守方应当提前分析自身网络特性，找到攻击者最可能“光顾”的区域，加强防护的同时，在相应区域内的关键信息节点部署蜜罐，使攻击者在信息收集阶段受到干扰，进而诱导攻击者对蜜罐发动攻击。

另外，目前不少蜜罐都能够监控和记录攻击者进入蜜罐后的所有动作进行，Web类的蜜罐还可识别和记录攻击者使用的攻击方法和攻击载荷，可作为判断攻击者意图的重要依据。防守方将由蜜罐收集的信息汇总至欺骗伪装平台，由平台进行统一分析，根据攻击者的攻击意图战略调整监控防御节点，做到因“敌“制宜。

最后还可以化被动为主动，充分使用主动诱捕战术。主动诱捕主要作用于演练活动启动前2-3天内，此时攻击方正广泛收集目标资产信息，防守方的目标是污染攻击方掌握的资产情报，并诱导攻击者优先访问伪装探针节点。

8、十二分防范钓鱼邮件

随着攻防演练变的越来越规范，除了使用0Day漏洞等大杀器外，攻击方其实很难对防守方的防护体系进行有效突破。这时候攻击方最常用的打点方式就是网络钓鱼攻击。

一般来说，一个制作精良的钓鱼邮件基本都有以下特征。首先是绕过防火墙等查杀手段，目前有多种免杀技术可供攻击方选择，例如使用分离加载的方法，通过C++编写的加载器，并使用MSF作为C2很容易制作一封免杀的钓鱼邮件。

其次，钓鱼邮件都有极强的针对性，里面包含了大量的社会工程学，是对目标用户发起针对性钓鱼，中招的概率并不低。2020年某集团企业副总就曾被钓鱼，直接导致攻防演练被打穿，该副总也因此被开除。因此，在攻防演练期间，企业所有员工必须高度重视钓鱼邮件，提高警惕性，不乱点击附件、网址等，一旦发现可疑邮件立即向安全部门报告。

最后，防守方成员也是攻击方钓鱼的重点目标。这几天各种0Day漏洞的消息满天飞，不少攻击队趁机利用这些漏洞进行钓鱼，大家切勿上当受骗。

9、安全意识培训很有必要

第8条提到钓鱼邮件，那么就不得不提及安全意识培训，尤其是在攻防演练期间很有必要对全员进行安全意识强化培训。以上文提及的钓鱼邮件为例，安全部门可列举常见的钓鱼邮件，深入分析其各项特征。这里分享一个方法，即在攻防演练之前预先发起一次钓鱼邮件攻击测试，对于中招的员工进行专门的培训，提高其安全意识。

钓鱼邮件只是其中之一，还有诸如弱口令、随意连WiFi、随意插U盘都会带来相应的安全问题，企业若能打出一套漂亮的安全意识提升组合拳，定可以大大减少因此带来的安全风险。因此在培训方面也要下一些功夫，这里建议安全部门可以联合行政、人事或市场人员共同参与，制作高质量的安全意识培训内容，而不是像上课一样照本宣科。在进行安全意识培训时可重点关注四大要素：游戏化、个性化、多样性和高质量内容，力争培训内容新颖有意思，千万不能为了培训而培训。

10、加大近源攻击防备力度

这两年近源攻击开始越来越流行，并且被认为是突破企业安全防线的有力突击技术。不同于通过有线网络进行安全性检测的传统方式，近源渗透测试是指测试人员靠近或位于测试目标建筑内部，利用各类无线通信技术、物理接口和智能设备进行渗透测试。近源渗透涉及到的测试对象非常多，包括WiFi、蓝牙、RFID、ZigBee、蜂窝、Ethernet等各类物联网通信技术，甚至包括智能设备的嵌入式安全。

分享部分近年来近源攻击中攻击队常用的工具，防守方可以有的放矢。

无线网卡：外接无线网卡主要是用来配合kali破解无线密码的，现在一般是通过抓握手包然后跑包来破解。还有其他的方式可以通过伪造SSID钓鱼等等。

WIFI 大菠萝：大菠萝不是吃的那个玩意，可以说是一个钓鱼WiFi。最新版本的大菠萝功能更强大，其实可以替代上面的外接无线网卡了。大菠萝可以捕获握手包并模仿目标AP，甚至可以完全模仿首选网络，从而实现中间人攻击。

EMP干扰器：当前电子设备和电路的工作频率不断提高，而工作电压却逐渐降低，因此对电磁脉冲（EMP）的敏感性和易损性也不断增加。同时，电子系统中的集成电路对电磁脉冲比较敏感，往往一个较大的电磁脉冲，就会使集成块产生误码、甚至电子元器件失效或烧毁等。

变色龙：变色龙主要有三种使用方法，第一种是随机化UID进行模糊测试、第二种是支持IC卡的仿真、第三种是存储多张虚拟化卡。

11、利用情报提升威胁感知能力

在攻防演练场景，威胁情报可以作用于防护的多个环节。威胁情报的作用多在于与所有防护产品融合带来的能力加成，它与检测阻断类产品如防火墙、IPS、WAF等联动可以提升检测准确率，与蜜罐类产品联动可有效助益对攻击者的溯源与反制，威胁情报的价值在于样本量及准确性，从更高维度的视角打通不同安全产品、不同防护阶段、不同防护位置信息交换的壁垒，掌握单点攻击全网可知的防守主动权。

如果企业缺乏相应的费用投入，那么在攻防演练期间也应掌握一些免费的威胁情报资源。斗象科技、微步在线等发力攻防演练的厂商，每年都会在攻防演练前发布一些列的漏洞合集，可供参考。例如斗象科技在7月底发布《2023攻防演练必修高危漏洞集合》，整合了近两年在攻防演练被红队利用最频繁且对企业危害较高的漏洞，包含了详细的漏洞基础信息、检测规则和修复方案，对于防守方来说有一定的参考价值。

三、总结

攻防的路径千千万万，于攻击方而言，一个路径上攻击失败，不代表整体攻击失败；一个路径上防守成功，也不代表整体防守成功。安全的木桶效应始终存在，只要有一条路径上的短板、脆弱点被攻击方利用，没能及时防守，可能就是全面的溃败。

1、大型机构/企业的总部的互联网边界越来越难攻陷。原因是通常总部边界的资产梳理清晰，暴露面控制得较好、高危漏洞修复及时，边界安全设备(VPN/SDP等）收缩办公业务，同时分析检测、蜜罐诱捕等能力建设齐全能快速发现攻击尝试

2、钓鱼(邮件、HR应聘等）成为重要手段，而且难以避免。安全中最脆弱的就是人，包括我们看到诈骗电话极难控制，就是因为人的脆弱性。多数情况下，钓鱼成功率，通常超过20%（100个邮件阅读者中，有20个人点击恶意附件）。在实际案例中，甚至能高达70%

3、通过泄漏/暴破账号登录业务系统，再分析登录后的业务系统漏洞，成功率高，成为惯用手段。受限于各业务系统的普遍性安全开发水平，多数业务的登录后业务接口，发现漏洞并不困难，文件上传、SQL注入等。

4、分子公司/供应商成为关键脆弱点，迂回攻击成功率大幅提升。分子公司、供应商的安全建设参差不齐，容易被发现脆弱点，从而迂回突破到总部。不少非总部单元，有n-day高危漏洞补丁没有打全，被攻击者轻易突破也是时有发生的事情。

5、0day/1day成为关键致胜手段。由于演练时间有限，所以积累、挖掘0day，并在演练期间通过0day/1day进行快速突破，成为关键致胜手段。

本文作者：爱吃炸鸡，转载请注明来自FreeBuf.COM