护网中安全监测工程师都需要做什么

近几年的攻防演练显示，攻击方的手段越来越隐蔽，经常通过 0Day、NDay 漏洞快速侵入靶标系统并取得控制权限。这种隐蔽性的攻击给防守方的工作带来了很大的难题。与攻击方尽量隐蔽痕迹、防止被发现的意图相反，防守方需要尽早发现攻击痕迹，并通过分析攻击痕迹，调整防守策略、溯源攻击路径甚至对可疑攻击源进行反制，而建立全方位的安全监控体系是防守方最有力的防卫武器

网络安全监测介绍

网络安全监控是持续观察用户网络中所发生事情的过程，目的在于监测潜在的网络威胁和及早发现系统被入侵的风险。安全监控可以理解为网络安全界的“吹哨人”，它在检测到网络攻击时发出报警，并在造成严重损害之前帮助用户做出响应，及时检测和管理潜在威胁，有助于保护用户的业务应用程序、数据以及整个网络
安全监控的工作通常需要包括以下几个方面：

• 收集和分析数据以识别网络变化或异常行为
• 利用威胁情报来识别最新的风险
• 确定需要注意的特定行为类型
• 在威胁成为安全事件之前采取行动
• 生成详细的网络安全报告
  网络攻防演练中，监控工作主要由安全监控和应急处置小组完成。他们一般将监控重点放在三个端上：网络端、服务器端和个人终端
  网络监控。当攻击者通过网络发动攻击，就会产生网络流量。防守方通过对企业外部与内部间的所有流量进行监控和分析，结合安全人员的深入分析，可快速发现攻击行为，并提前做好针对性防守准备
  主机监控。 通过在每台主机（服务器）上安装代理（Agent）来进行对操作系统层面的日志监控，日志信息是帮助蓝队分析攻击路径的一种有效手段。蓝队通过分析用户系统的行为和配置状态，并结合网络全流量监控措施，从而准确、快速地找到攻击者真实目标主机。
  终端监控。 除了网络与主机以外，对终端的监控同样必不可少。红队很容易从终端发起攻击，然后逐步渗透到核心服务器。因此，持续监控终端的日志和行为也是安全监控的重点之一。
  安全监控不是攻防演练的目的，它只是蓝队进行安全防护的手段之一。安全监控应该覆盖攻防演练的全流程，除了流量和日志，防守方通常还会安排专门的安全人员对互联网上新披露的漏洞进行持续监控，防止其成为红队的入侵点。

安全监控有哪些作用

不同于传统的渗透测试，攻防演练中红队完全按照攻击者的思维，发起高强度、高水平的网络攻击，专注于攻击和暴露网络安全漏洞。因此，对蓝队来说，监控是能够及时发现攻击的至关重要的一步。虽然预防性安全技术能够应对已知的基于签名的威胁，但蓝队仍需要网络安全监控来识别更复杂的威胁，它可以帮助蓝队：

缩短响应攻击的时间

网络攻击可能会在最意想不到的时候发生，用户必须在检测到威胁后立即进行控制和补救。持续的网络安全监控可以让用户在攻击造成广泛破坏之前做出响应。

检测到新的未知威胁

由于网络安全形势在不断变化，新型攻击层出不穷。因此，防守方不能仅仅依赖于对已知威胁的特征值来进行安全防护，他们需要基于对流量、主机上异常行为痕迹等监控来发现新的未知威胁，例如 0day 攻击。

限制红队攻击造成的损害

在攻防演练中，攻击方往往通过某一漏洞进入内网，继而横向移动，最终拿下靶标系统。这种情况下，通过网络安全监控，用户可以及时发现并阻止攻击者在内网的移动。安全监控会自动检测用户网络中的任何异常活动，并阻止它威胁蔓延到其他区域造成广泛破坏。

参考文献

GB/T 24363-2009 信息安全技术 信息安全应急响应计划规范
青藤云安全 2022攻防演练蓝队防守指南
微步在线2019安全应急响应年报