蓝队攻防

蓝队攻防

1.什么是蓝队

蓝队一般是以参演单位现有的网络安全防护体系为

基础，在实战攻防演习期间组建的防守队伍。蓝队的

主要工作包括前期安全检查、整改与加固，演习期间

进行网络安全监测、预警、分析、验证、处置，后期

复盘总结现有防护工作中的不足之处，为后续常态化

的网络安全防护措施提供优化依据。

2.蓝队组成

下面是组成蓝队的各个团队在演习中的角色与分工

情况：

**目标系统运营单位：**负责蓝队整体的指挥、组织和

**安全运营团队：**负责整体防护和攻击监控工作；

**攻防专家：**负责对安全监控中发现的可疑攻击进行

分析研判，指导安全运营团队、软件开发商等相关部

门进行漏洞整改等一系列工作；

**安全厂商：**负责对自身产品的可用性、可靠性和防

护监控策略是否合理进行调整；

**软件开发商：**负责对自身系统安全加固、监控和配

合攻防专家对发现的安全问题进行整改；

**网络运维队伍：**负责配合安全专家对网络架构安

全、出口整体优化、网络监控、溯源等工作；

**云提供商（如有）：**负责对自身云系统安全加固，以

及对云上系统的安全性进行监控，同时协助攻防专家

对发现的问题进行整改。

某些情况下，还会有其他组成人员，这需要根据实

际情况具体分配工作。

防守的3个阶段

一、备战阶段

1）技术方面

为了及时发现安全隐患和薄弱环节，需要有针对

性地开展自查工作，并进行安全整改加固，内容包

括系统资产梳理、安全基线检查、网络安全策略检

查、Web安全检测、关键网络安全风险检查、安全措

施梳理和完善、应急预案完善与演练等。

2）管理方面

一是建立合理的安全组织架构，明确工作职责，

建立具体的工作小组，同时结合工作小组的责任和内

容，有针对性地制定工作计划、技术方案及工作内

容，责任到人、明确到位，按照工作实施计划进行进

度和质量把控，确保管理工作落实到位，技术工作有

效执行。

二是建立有效的工作沟通机制，通过安全可信的

即时通讯工具建立实战工作指挥群，及时发布工作通

知，共享信息数据，了解工作情况，实现快速、有效

的工作沟通和信息传递。

5实战攻防演习之

蓝队视角下的防御体系构建

3）运营方面

成立防护工作组并明确工作职责，责任到人，开展

并落实技术检查、整改和安全监测、预警、分析、验证

和处置等运营工作，加强安全技术防护能力。完善安全

监测、预警和分析措施，建立完善的安全事件应急处置

机构和可落地的流程机制，提高事件的处置效率。

二、实战阶段

1）做好全局性分析研判工作

在实战防护中，分析研判应作为核心环节，分析研

判人员要具备攻防技术能力，熟悉网络和业务。分析

研判人员作为整个防护工作的大脑，应充分发挥专家

和指挥棒的作用，向前，对监测人员发现的攻击预警

进行分析确认并溯源，向后，指导协助事件处置人员

对确认的攻击进行处置。

2）全面布局安全监测预警

安全监测须尽量做到全面覆盖，在网络边界、内网

区域、应用系统、主机系统等方面全面布局安全监测

手段，同时，除了IDS、WAF等传统安全监测手段外，

尽量多使用天眼全流量威胁检测、网络分析系统、蜜

罐、主机加固等手段，只要不影响业务，监测手段越

多元化越好。

3）提高事件处置效率效果

安全事件发生后，最重要的是在最短时间内采取技

术手段遏制攻击、防止蔓延。事件处置环节，应联合

网络、主机、应用和安全等多个岗位人员协同处置。

三、战后整顿

演习的结束也是防护工作改进的开始。在实战工

作完成后应进行充分、全面复盘分析，总结经验、教

训。应对准备、预演习、实战等阶段工作中各环节的

工作进行全面复盘，复查层面包括工作方案、组织管

理、工作启动会、系统资产梳理、安全自查及优化、

基础安全监测与防护设备的部署、安全意识、应急预

案及演练和注意事项等所有方面。

蓝队应对攻击的常用策略

一、防微杜渐：防范被踩点

攻击者首先会通过各种渠道收集目标单位的各种信

息，收集的情报越详细，攻击则会越隐蔽，越快速。

前期防踩点，首先要尽量防止本单位敏感信息泄露在

公共信息平台，加强人员安全意识，不准将带有敏感

信息的文件上传至公共信息平台。

社工也是攻击者进行信息收集和前期踩点的重要手

段，要定期对信息部门重要人员进行安全意识培训，

如：来路不明的邮件附件不要随便点开，聊天软件未

9实战攻防演习之

蓝队视角下的防御体系构建

经身份确认不要随便添加。此外，安全管理和安全意

识培训难免也会有漏网之鱼，安全运营部门应定期在

一些信息披露平台搜索本单位敏感词，查看是否存在

敏感文件泄露情况。

二、收缩战线：收敛攻击面

门用于防盗，窗户没关严也会被小偷得逞。攻击

者往往不会正面攻击防护较好的系统，而是找一些可

能连防守者自己都不知道的薄弱环节下手。这就要求

防守者一定要充分了解自己暴露在互联网的系统、

端口、后台管理系统、与外单位互联的网络路径等

信息。哪方面考虑不到位、哪方面往往就是被攻陷的

点。互联网暴露面越多，越容易被攻击者“声东击西”

，最终导致防守者顾此失彼，眼看着被攻击却无能为

力。结合多年的防守经验，可从如下几方面收敛互联

网暴露面。

1）攻击路径梳理

由于网络不断变化、系统不断增加，往往会产生新

的网络边界和新的系统。蓝队（防守单位）一定要定

期梳理自己的网络边界、可能被攻击的路径，尤其是

内部系统全国联网的单位更要注重此项梳理工作。

10实战攻防演习之

蓝队视角下的防御体系构建

2）互联网攻击面收敛

一些系统维护者为了方便，往往会把维护的后台、

测试系统和端口私自开放在互联网上，方便维护的同

时也方便了攻击者。攻击者最喜欢攻击的WEB服务就

是网站后台，以及安全状况比较差的测试系统。蓝队

须定期检测如下内容：开放在互联网的管理后台、开

放在互联网上的测试系统、无人维护的僵尸系统、拟

下线未下线的系统、疏漏的未纳入防护范围的互联网

开放系统。

3）外部接入网络梳理

如果正面攻击不成，红队或攻击者往往会选择攻击

供应商、下级单位、业务合作单位等与目标单位有业

务连接的其他单位，通过这些单位直接绕到目标系统

内网。防守单位应对这些外部的接入网络进行梳理，

尤其是未经过安全防护设备就直接连进来的单位，应

先连接防护设备，再接入内网。

4）隐蔽入口梳理

由于API接口、VPN、WiFi这些入口往往会被安全

人员忽略，这往往是攻击者最喜欢打的入口，一旦搞

定则畅通无阻。安全人员一定要梳理WEB服务的API隐

11实战攻防演习之

蓝队视角下的防御体系构建

藏接口、不用的VPN、WiFi账号等，便于重点防守。

三、纵深防御：立体防渗透

前期工作做完后，真正的防守考验来了。防守单位

在互联网上的冠名网站、接口、VPN等对外服务必然

会成为攻击者的首要目标。一旦一个点突破后，攻击

者会迅速进行横向突破，争取控制更多的主机，同时

试图建立多条隐蔽隧道，巩固成果，使防守者顾此失

彼。

此时，战争中的纵深防御理论就很适用于网络防

守。互联网端防护、内外部访问控制（安全域间甚至

每台机器之间）、主机层防护、重点集权系统防护、

无线网络防护、外部网络接入防护甚至物理层面的防

护，都需要考虑进去。通过层层防护，尽量拖慢攻击

者扩大战果的时间，将损失降至最小。

1）互联网端防护

互联网作为防护单位最外部的接口，是重点防护区

域。互联网端的防护工作可通过部署网络防护设备和

开展攻击检测两方面开展。需部署的网络防护设备包

括：下一代防火墙、防病毒网关、全流量分析设备、

防垃圾邮件网关、WAF（云WAF）、IPS等。攻击检测

12实战攻防演习之

蓝队视角下的防御体系构建

方面。如果有条件，可以事先对互联网系统进行一次

完整的渗透测试，检测互联网系统安全状况，查找存

在的漏洞。

2）访问控制措施

互联网及内部系统、网段和主机的访问控制措施，

是阻止攻击者打点、内部横向渗透的最简单有效的防

护手段。防守者应依照“必须原则”，只给必须使用的

用户开放访问权限，按此原则梳理访问控制策略，禁

止私自开放服务或者内部全通的情况出现，通过合理

的访问控制措施尽可能地为攻击者制造障碍。

3）主机防护

当攻击者从突破点进入内网后，首先做的就是攻击

同网段主机。主机防护强度直接决定了攻击者内网攻

击成果的大小。防守者应从以下几个方面对主机进行

防护：关闭没用的服务；修改主机弱口令；高危漏洞

必须打补丁（包括装在系统上的软件高危漏洞）；安

装主机和服务器安全软件；开启日志审计。

4）集权系统

集权系统是攻击者最喜欢打的内部系统，一旦被拿

下，则集权系统所控制的主机可同样视为已被拿下，

13实战攻防演习之

蓝队视角下的防御体系构建

杀伤力巨大。集权系统是内部防护的重中之重。

蓝队或防守者一般可从以下方面做好防护：集权系

统的主机安全；集权系统访问控制；集权系统配置安

全；集权系统安全测试；集权系统已知漏洞加固或打

补丁；集权系统的弱口令等。

5）无线网络

不安全的开放无线网络也有可能成为攻击者利用的

攻击点。无线开放网络与业务网络应分开。一般建议

无线网接入采用强认证和强加密。

6）外部接入网络

如果存在外部业务系统接入，建议接入的系统按照

互联网防护思路，部署安全设备，并对接入的外部业

务系统进行安全检测，确保接入系统的安全性，防止

攻击者通过这些外部业务系统进行旁路攻击。

四、守护核心：找到关键点

核心目标系统是攻击者的重点攻击目标，也应重点

防护。上述所有工作都做完后，还需要重点梳理：目

标系统和哪些业务系统有联系？目标系统的哪些服务

或接口是开放的？传输方式如何？梳理得越细越好。

14实战攻防演习之

蓝队视角下的防御体系构建

同时还须针对重点目标系统做一次交叉渗透测试，充

分检验目标系统的安全性。协调目标系统技术人员及

专职安全人员，专门对目标系统的进出流量、中间件

日志进行安全监控和分析。

五、洞若观火：全方位监控

任何攻击都会留下痕迹。攻击者会尽量隐藏痕迹、

防止被发现；而防守者恰好相反，需要尽早发现攻击

痕迹，并通过分析攻击痕迹，调整防守策略、溯源攻

击路径、甚至对可疑攻击源进行反制。建立全方位的

安全监控体系是防守者最有力的武器，总结多年实战

经验，有效的安全监控体系需在如下几方面开展：

1）全流量网络监控

任何攻击都要通过网络，并产生网络流量。攻击数

据和正常数据肯定是不同的，通过全网络流量去捕获

攻击行为是目前最有效的安全监控方式。蓝队或防守

者通过全流量安全监控设备，结合安全人员的分析，

可快速发现攻击行为，并提前做出针对性防守动作。

2）主机监控

任何攻击最终都会落到主机（服务器或终端）上。

通过部署合理的主机安全软件，结合网络全流量监控

15实战攻防演习之

蓝队视角下的防御体系构建

措施，可以更清晰、准确、快速地找到攻击者的真实

目标主机。

3）日志监控

对系统和软件的日志监控同样必不可少。日志信息

是帮助防守者分析攻击路径的一种有效手段。攻击者

攻击成功后，打扫战场的首要任务就是删除日志，或

者切断主机日志的外发，以防止防守者追踪。防守者

应建立一套独立的日志分析和存储机制，重要目标系

统可派专人对目标系统日志和中间件日志进行恶意行

为监控分析。

4）情报监控

高端攻击者会用0day或Nday漏洞来打击目标系

统、穿透所有防守和监控设备，防守者对此往往无能

为力。防守单位可通过与更专业的安全厂商合作，建

立漏洞通报机制，安全厂商应将检测到的与防守单位

信息资产相关的0day或Nday漏洞快速通报给防守单

位。防守单位根据获得的情报，参考安全厂商提供的

解决方案，迅速自查处置，将损失减到最少。