攻防演练防守方注意要点

要点一：安全设备拦截

虽然目前大多数企业都非常重视信息安全，但是在攻防演练初期，大部分攻击者会使用扫描工具来收集资产及漏洞信息，攻击告警量会大幅度增加，对应的防守人员无法逐个处理所有攻击告警。因此各企业需要部署带有拦截功能的安全设备，比如防火墙、Web应用防护系统、入侵防御系统等，以便在演练前做好兼容性测试及告警拦截策略优化，提升处置效率。

要点二：攻击源封堵

在攻防演练前，应收集威胁源IP及恶意域名进行封堵，然后在演练中对安全设备的高危告警IP进行封堵，进一步降低告警数量，避免防守人员监控精力的消耗，将重心放在真实攻击的研判分析上。

要点三：应急响应和追踪溯源

在攻防演练中，当主机被夺取权限，会造成防守方阵地沦陷。因此需要实时监控异常流量及告警信息，及时对失陷主机或被攻击成功的系统启动响应处置流程：检测阶段、系统隔离、问题定位、调查取证、木马清除、主机修复及恢复。根据应急响应过程中取证的数据，结合威胁情报、蜜罐等工具，利用社工等多种手段进行追踪溯源，从而实现为防守方有效加分。

要点四：漏洞修复

当安全监控人员发现因漏洞导致的攻击事件时，必须及时进行漏洞修复，以防止问题进一步扩大。漏洞修复的主要流程为：封堵攻击IP以及非正常请求的IP，监控被攻击的流量数据，制定漏洞修复方案，评估和测试方案的可行性，完成漏洞修复。

要点五：补丁修复

补丁修复也是关乎防守效果的重要环节，即使系统、应用的补丁在演练前完成修复，在演练中仍可能会出现“高危0day漏洞”或“官方补丁”。由于防守方既要保证生产系统的稳定又要保证安全，存在不能及时更新版本的问题，攻击者有可能利用老版本的漏洞进行攻击。因此在演练过程中应成立安全专家组，专门负责评估、测试和修复此类型的问题，完善该类系统的应急预案。