今年护网蓝队防御具体实施方案

今年的护网工作马上就要开始，作为蓝队马上就要进场为我们的甲方保驾护航，因此用半天时间梳理了一下防护的思路，希望从整体上保证企业平安度过此次护网，尽量不丢分，尽量帮企业多拿分
防御体系建设要采用最小化、纵深防御、联合防御才能在演练/日常的安全建设中立于不败之地，主要包括攻击面管理、基础安全加固、安全设备防御、安全检查与响应机制、全员的意识培训方面

缩小暴露面

对暴露在外网的网盘信息、github上企业相关信息进行删除
外网的IP和域名资产进行梳理，关闭不需要对外开放的服务端口，下线过期业务

安全加固

核心入口(VPN入口、运维备用入口、外网邮箱等)启用双因素认证
主机补丁检测及更新

删除应用的测试代码及备份代码
对于核心业务系统、权限管控的堡垒机/OA系统进行重点防护，如网络隔离只允许特定网段访问，开启双因子认证，实时访问日志监控和审计
开启自动防护功能:如根据请求自动封禁IP

设备防御

确保边界防火墙规则生效，统一入口，区域边界清晰， 默认服务器禁止访问互联网

WAF防护检测，确保所有web服务经过WAF防护

DNS安全防御与检测产品

SOC检测平台对网络流量、服务访问日志和主机登录日志进行记录和分析

主机安全HIDS监控
部署网络蜜罐设备
威胁情报检测TIP平台

检测响应

制定应急预案，主要包括应急小组各方向负责人联系方式，网络攻击行为操作步骤，主机沦陷操作步骤

全员意识培训

针对全员进行邮件通知，提供安全意识，防止被邮件钓鱼攻击,目前看进行社工钓鱼是红队攻击的重点，也是成本最低的方案，因此我们需要针对这个点进行重点防御

参考文献

相关的体系建设可以参考等级保护的相关要求，和关基相关要求，思路都是正确的，但没有给出具体的落地实施过程，需要蓝队结合企业情况 针对性的选择和落地

GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南
GB/T 28449-2018 信息安全技术 网络安全等级保护测评过程指南
GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求
等保2.0体系互联网合规实践 http://www.github5.com/view/1160