前言

未知攻，焉知防。

防守方的工作我粗略分为三个阶段，战前准备阶段、演练开始阶段、复盘总结阶段，从目标导向来看，攻击方的工作重心更偏向于演练开始阶段，而防守的工作重心更多的偏向于战前准备阶段。本文以防守方视角出发对战前准备阶段工作进行梳理。

tips : 工具包在底部

防守方工作思路

前期准备工作我将之分为以下几个模块，下文会针对性选择几个模块作为重点讲解：

• • 启动会议
• • 内网基础安全自查
• • 互联网资产暴露面自查
• • 攻防预演练
• • 安全意识宣贯
• • 业务系统临时策略
• • 保障应急预演练
• • 蜜罐部署
• • 业务系统备份

一、启动会议

1. 会议目的：

• • 参加人员：安全、业务、开发、运维关键人员
• • 明确重保工作的范围和目标
• • 布置工作计划
• • 确定重保相关资产范围，网络区域，网络边界需要做哪些安全检查项目，执行检查计划、系统加固和漏洞修复计划
• • 是否有计划中的重要变更/上线，及相关安排
• • 确定关键业务的监控手段和页面篡改的监控手段
• • 确定是否要进行应急演练
• • 确定到重保结束前的应用和数据备份计划
• • 确定沟通计划

2.小组工作职责

保障总指挥建议由各单位领导层人员负责整体防守指挥。包括 从上而下的统一协调调度，推动建立防守保障机制，推动防守工作的执行、进行防守资源的申请。

简述部分小组的工作范围

红队总指挥工作：

建立合理的安全组织架构，明确工作职责，建立具体的工作小组，同时结合工作小组的责任和内容，有针对性地制定工作计划、技术方案、相关方协同机制及工作内容，责任到人、明确到位，按照工作实施计划进行进度和质量把控，确保管理工作落实到位，技术工作有效执行

建立有效的工作沟通机制，通过安全可信的即时通讯工具建立实战工作指挥群，及时发布工作通知，共享信息数据，了解工作情况，实现快速、有效的工作沟通和信息传递。

资源准备组需要整理并更新企业的相关网络资产清单，包括互联网资产、办公资产等

监控分析组对威胁行为进行阻断，对不好判定的风险行为进行分析判定是否误报或漏报。有相关的人员针对企业自身资产进行 7*24 监测预警，针对高风险威胁告警进行分析，研判、处置并上报。

应急处置组第一时间配合查找、提取目标服务器或应用的相关日志，配合排查异常行为账号，审计堡垒机相关操作记录，并保障业务系统的正常运行

安全加固组负责组织与协调开发工程师加固、 修复系统代码层面发现的问题，确保事件发生后可及时修 补漏洞，避免安全事件再次发生。

联络协调小组: 必须有监管小组在护网前准备工作和护网中进行监管，确定有无攻击地址，要求各小组汇报当日情兄。督促所有工作当日完成，查看各组汇报数据。对未处理问题进行跟进，协调相关小组处理。

二、安全自查工作

通过基础安全自查工作、互联网暴漏面自查工作确定防护的范围，攻击面分析，在演练开始前完成系统加固、边界防护和漏洞修复，通过攻防演练及应急演练查漏补缺，在发现事件时可以从容应对。

排查目的：

对自身目标系统及关联资产梳理，形成资 产清单。资产清单应包括 IP 地址、操作系统、中间件、应用软件、域名、端口、服务、责任人、联系方式等，便于快速的进行资产定位、风险处置、应急等工作的开展。

1. 互联网资产暴露面自查

确定业务的网络边界和边界的访问控制策略，取消访问的取消，能限制范围的内部系统的限制访问。进行网络架构梳理，目标系统网络连接情况梳理,避免双网卡连接互联网和内网环境。

攻击队首先会通过各种渠道收集目标单位的各种信息，收集的情报越详细，攻击则越便捷。攻击队往往不会正面攻击防护较好的系统，而是找一些可能连防守者自己都不知道的薄弱环节下手。这就要求防守者一定要充分了解自己暴露在互联网的系统、端口、后台管理系统、与外单位互联的网络路径等信息，也方便快速定位攻击位置。

从外部入手，比如从企查查、爱企查等，查询目标企业的组织架构，一级单位、全资子公司等目标资产。

• • 互联网暴露敏感信息梳理，包括对文档信息、代码（github）、人员信息等进行发现、清理或删除。
• • 要由各系统开发人员汇报统计近期存在0day或nday的系统框架及应用，例如: 泛微云桥e-Bridge、Apache Commons、GitLab、泛微OA、通达OA、Apache Shiro、用友U8-OA、FastJson、致远A8 、禅道、蓝凌OA、万户OA 、拓尔思等近期存在漏洞的系统
• • 加强域名管理，缩减应用，尽量缩小攻击面
• • 根据单位组织架构，收集目标的一级域名进行子域名爆破等操作，此步骤详细说明在防守方工具包中有，不在此一一详解
• • 测试系统和临时关停下线的系统， 无法做到有效防护应做好访问控制或下线
• • 关闭映射到互联网的高危服务端口，如数据库、中间件等高危端口，具体见工具包高危服务端口（参考）

2. 内网基础安全自查

1.渗透测试：除核心业务外，对非核心业务也要进行渗透测试工作。对发现的漏洞形成漏洞跟踪表进行跟踪修复。

2.配置核查：检查设备弱口令，尤其是核心网络设备及安全设备等口令，是防护的 3.策略调优：主要针对安全设备及访问控制设备，对安全设备的入侵防范规则进行调优，对访问控制列表进行白名单的调整。

内网中服务器、数据库、Web应用等密码不要带有规律或者使用同一密码。

内网资产：梳理重保范围的业务直接相关资产，包括服务器、网络设备、安全设备，包括运维区域的资产。不光是由各业务系统提交的资产，应该使用内网的资产扫描确认所有存活的IP地址。

个人办公电脑的登记审核。一是包括 IP、MAC 地址、 操作系统、是否安装防毒软件、二是对新增办公电脑要做 好准入要求，对安全补丁、防病毒、密码强度等进行检查。

包括交换机、路由器、网关、 防火墙等，要做好相关梳理，确认密码， 并核查相关安全策略。

网络安全产品登记审核。包括 WAF、IDS、IPS、 HIDS、EDR、邮件网关、杀毒软件、网页防篡改等，密码是否修改，并确认其安全补丁是否更新，安全策略及日志留存是否开启。

关闭系统：确定风险很大，但是来不及修复的非核心业务系统；内部自建使用的辅助系统；版本很老，无法维护的系统

针对必要暴露的资产进行全面的安全评估，开展渗透测试、漏洞扫描、配置核查、策略调优等安全检测工作，针对发现的问题进行整改。

三、安全意识宣贯

目前攻防演练攻击方正面无法达到预期目标时，会选择使用迂回战术，而钓鱼邮件是最经常被使用的攻击战术之一。

常常会首先通过信息收集或爆破邮箱等手段获取相关目标邮箱账号，再通过获取的邮箱，向该单位有选择的发送钓鱼邮件，骗取账号密码或投放木马程序。

由于钓鱼邮件来自内部邮箱及邮件内容经过精心伪造，所以会导致人很容易被诱骗点开邮件中的钓鱼链接或木马附件，进而导致关键终端被控，甚至整个网络沦陷。

其次是攻击方冒充客户进行虚假投诉，也是一种常用的社工手法，攻击方通过在线客服平台、社交软件平台等，向客户人员进行虚假的问题反馈或投诉,设局诱使或迫使客服人员接受经过精心设计的带毒文件或带毒压缩包，若不慎打开，则成为攻击方一个很好的入口点。

除以上社工方外，而WiFi 这些入口往往会被安全人员忽略， 这往往是攻击队最喜欢突破口，所以可以参考以下策略，根据实际情况进行人员安全意识宣贯：

• • 禁止个人终端设备存放客户任何口令类
• • 电子文件、网络拓扑、系统源码等敏感文件
• • 禁止点击来路不明邮件中的链接或打开附件，
• • 发现疑似钓鱼行为，及时上报
• • 禁止开启远程协助类工具，如TeamViewer、
• • 向日葵、Todesk等工具
• • 禁止使用非工作邮箱代收工作邮件
• • 下班离开办公室前关闭终端计算机
• • 禁止工作电脑插入不明来源设备
• • 禁止个人终端裸奔现象
• • 禁止接入不明来源无线网络
• • 禁止在办公网络及其他内网中搭建无线热点
• • 禁止未经审批开放内部系统的互联网出口
• • 禁止将系统设计文档、网络拓扑、网站或系统代码等文件传播到互联网。

四、保障应急预演练

开展应急演练，目的是验证应急预案的适用性，找出应急预案存在的问题， 完善应急准备。保证发现的攻击安全事件能够得到及时有效的应急响应处理，提高对安全事件的处置能力和效率，以便迅速有效地开展应急处置工作，降低攻击所带来的危害，从而保障工作的有效开展。

应急预案内容包含：

组织指挥体系及职责、预警和预防机制、应急响应和保障措施。

应急预案应明确：

各小组职责和处置流转流程机制，并由总体和防护组进行统一的管理和协调。

处置案例：

口令破解事件:

安全运营人员发现安全设备出现事件告警，如某 IP 对网站进行口令暴破，立即上报应急委员会，并进行初步 评估。

应急工程师或安全应急服务商对事件诊断并进行现场 处理，口令爆破具有以下特征：

1、攻击者使用单个用户名 在一定时间段内，使用不同的有规律的密码进行登录尝试；

2、或者攻击者使用单个密码在一定时间段内，使用不同的有规律的用户名进行登录尝试。

为了防止口令爆破攻击，可通过系统日志尽快识别梳 理爆破 IP，添加黑名单，并修改或提醒用户修改使用的密码。密码策略可强制使用位数较长、无规律、大小写数字符号混杂的密码，并采取双因子认证。

事件现场处置工作结束后，记录事件上报模板，并由相关小组分享攻击信息，上报事件。

木马事件

监控分析小组发现安全设备出现事件告警，如某内网服务器被植入 webshell 后门，立即上报应急处置小组，并进行初步评估。 应急工程师或安全应急服务商对事件诊断并进行现场 处理，如果攻击者正在实施网页挂马攻击，攻击未成功， 则要求运维人员在网络边界防火墙、入侵防御系统上过滤 攻击源地址和操作行为，即封堵攻击 IP；将被攻击的机器 进行网络隔离后，处理后门木马攻击事件。排查 webshell、 木马后门、其他恶意程序、图片、文字等内容，并在服务器上安装恶意程序查杀工具进行全面检查。可以根据文件修改时间进行排查清除工作。通过日志，分析事件发生的原因，进行封堵修复。如果是通过漏洞攻击，可使用漏洞工具全面检查服务器漏洞， 并更新系统补丁。对后门木马攻击事件关联机器修复后， 进行测试无问题，经过指挥部办公室批准后可重新上线。

小结

后期正式演练开始是对防守方前期准备工作的一个检验的过程。

1.正式演练开始前建立重保方案、应急响应方案、安全设备防护策略等 ，重保工作最好形成标准化的文档和执行程序体系，在人员变动和系统、业务变动后及时进行更新，作为常态化工作去面对。

2.提前研究护网规则做好功课，避免低级问题出现，保障事件上报流程顺畅，保障防守路径日志及防护手段完善

3.在预演练完成后全面总结本次预攻防演习各阶段的工作情况,攻击情况、防守情况、安全防护措施、监测手段、响应和协同处置等，形成总结报告，针对预演习结果，如在演习过程中还存在的脆弱点，开展整改工作，进一步提高目标系统的安全防护能力。

防守方工具包

攻防演练临近，整合了部分防守方常用的工具、文档及一些思路技巧，获取链接如下： 防守方工具包。