网络安全学习笔记——红队实战攻防（上）

目录

红队及发展趋势 

        基本概念 

        发展趋势

防守阶段

        备战阶段

        临战阶段

        实战阶段

        战后整顿

---

                                                如果错过互联网,与你擦肩而过的不仅仅是机会,而是整整一个时代。

红队及发展趋势 

        基本概念 

        红队一般指实战攻防的防守方。

        红队主要复盘总结现有防护系统的不足之处，为后续常态化网络安全防护措施提供优化依据。在日常运维上以实战思想进一步加强安全防护措施，提高整体防守能力。红队组成成分较为复杂，一般由以下部分组成：

• 目标系统运维单位：负责指挥，组织和协调。
• 安全运营团队：整体防护和监视攻击。
• 安全厂商及软件开发商：对自身系统安全进行加固，监控和配合攻防专家发现的问题进行整改。
• 网络运维团队：配合安全专家对网络架构安全，出口整体优化，网络监控，溯源等工作。
• 云提供商：对自身云系统安全加固，对云上系统安全性进行监控，同时协助攻防专家对发现问题进行整改。
• 其他成员：视情况而定是否需要及具体工作安排。

        发展趋势

         防守重心扩大 ： 之前的攻防演练攻击队得分主要是拿下靶标系统和路径中的关键集权系统，服务器等权限，非靶标系统得分很少，故防守队中心也在于此。而对于参与过攻防演练的单位来说，需要的是对系统更全面的风险发现，所以防守队的中心也扩大到了所有重要的业务系统，重要设备，资产和相关的上下级单位。

        持续加强监测防护 ： 随着攻防技术的不断演进，对主流攻击的检测和防护能力日渐成熟，但对钓鱼攻击，供应链攻击等还没有有效的防护产品。不过随着在实战中的快速打磨，相应产品也会迅速成熟并广泛应用。

        被动防守到主动对抗 ： 之前的防守队过于被动，只是在等待攻击队的一次次攻击，而后封堵IP，下线系统，修复漏洞，等着下一波攻击。现在则加强了溯源和反制能力，跟攻击队展开了正面对抗。正面对抗需要对攻击快速响应，准确溯源，精准反制。

防守阶段

        备战阶段

        在演练开始之前，应当充分了解自身系统的不足之处，对系统进行安全评估，确定自身系统的防护能力及工作协同的默契程度。开始之前，红队应当在以下几个方面进行准备和改进：

1. 技术方面 ：对自身系统的安全性，部署位置，覆盖面进行评估；尽量部署全流量威胁检测，网络分析系统，主机检测等安全防护设备，提高监控工作的有效性，时效性，准确性；检测人员要熟悉安全产品，优化产品规则。
2. 管理方面 ：建立合理的组织架构，责任到人，有针对性地制定工作计划并做好质量把关，确保工作落到实处；建立良好的沟通机制，通过安全可靠的即时通讯工具建立工作群，及时发布工作通知，共享信息数据，快速有效的沟通。
3. 运营方面 ：成立防护工作组，落实技术检查，安全检测，整改检测等工作，加强防护能力建立完善的预警处置机制，提高处置效率。全流量安全检测是重中之重，必须以此为核心，有效开展工作。

        临战阶段

        召开动员会，统一思想。进行任务分工，说明工作职责，固化每日流程，做好前期检测，中期研判和后期处置工作。组织战前培训，由大佬分享经验，制定不同情景下的防护方案。 

        实战阶段

        实战阶段要做好以下四点：

1. 全面检测，及时处置    全面检测系统情况，以及攻击队攻击时间，确保监控可以实时发现，不漏报，为处置工作提供准确信息。
2. 全局性分析研判    分析研判人员应具备攻防能力，熟悉网络和业务。对威胁情报进行分析确认，处置确认的攻击。
3. 提高时间处置效率及结果    确定攻击后要在最短的时间内采取技术手段进行遏制，防止蔓延。
4. 追踪溯源，全面反制    根据攻击信息结合各种情报系统追踪溯源，条件允许时，可通过部署诱捕系统反制攻击队。

        战后整顿

         通过复盘找出工作的疏漏，总结输出技术和管理方面的整改措施计划。通过此次经验的积累，沿用好的经验做法，真实有效的提高防护能力。

                                                                                                本文参考《奇安信红蓝紫对抗手册》