青藤云安全 2022攻防演练蓝队防守指南在线下载,免费下载

2022 攻防演练蓝队防守指南 h t i g b u m o c . 5 2022 攻防演练蓝队防守指南目录背景 .............................................................................................. 1 概述 .............................................................................................. 2 第一章红队演练篇 .......................................................................... 4 1.1 什么是红队演练？ ................................................................... 5 1.2 为什么需要红队演练？ ........................................................... 5 1.3 如何开展红队演练？ ............................................................... 6 1.4 渗透测试和红队演练有什么区别？ ....................................... 8 m o c . 5 1.5 国内红队演练最佳实践剖析 ................................................... 9 第二章风险收敛加固篇................................................................. 10 2.1 风险收敛加固是攻防演练前序阶段最重要的环节之一...... 10 2.2 如何进行风险收敛加固？ ..................................................... 11 b u 2.2.1 资产评估 ...................................................................... 11 2.2.2 安全策略检查 .............................................................. 11 h t i g 2.2.3 安全防线加固 .............................................................. 12 2.3 风险收敛加固面临的挑战 ..................................................... 12 2.4 最佳实践：青藤风险收敛加固服务 ..................................... 13 第三章安全监控篇 ........................................................................ 14 3.1 什么是网络安全监控？ ......................................................... 14 3.2 为什么需要安全监控？ ......................................................... 15 3.3 实施安全监控的 4 大要点 ..................................................... 16 3.4 攻防演练中安全监控最佳实践 ............................................. 17 第四章攻击研判篇 ........................................................................ 18 4.1 攻击研判的定义及重要性 ..................................................... 18 4.2 攻击研判中的团队角色分类 ................................................. 19 4.3 攻击研判的 6 个步骤 ............................................................. 21 4.4 基于网络安全“黑匣子”的攻击研判服务新模式.............. 24 2022 攻防演练蓝队防守指南背景网络安全攻防演练自 2016 年首次开展以来，经过 6 年的发展，已经成为检验网络安全防御能力最重要的手段之一，也是当下检验对关键信息系统基础设施网络安全防护工作的重要组成部分。在攻防演练中，红队通常以实际运行的信息系统为攻击目标，在既定规则下最大限度地模拟真实网络攻击，以此来检验目标系统的安全防护能力。随着数字化与信息化进程的不断加快，网络安全逐步走入大众视野，并引起各行各业的重视。网络安全攻防演练逐渐发展成为涉及多个行业、多家单位的大型事件。从 2016 年至今，攻 m o c . 5 防演练的参演单位数量和覆盖的行业数量都大幅提升。此外，除了国家级的攻防演练，各省市、各行业的监管机构，也会在各自管辖范围内筹备和组织实战演习。时间长、规模大并不能说明这一活动发展得足够成熟，尤其是对蓝队来说，任何人或产品都 b u 不能保证绝对的网络安全，它只能通过一次次的攻防对抗来不断完善自身的防护能力，从而 h t i g 更好地防御蓝队攻击。这是一个以攻促防的过程。青藤云安全编写本指南的主要目的在于以蓝队的视角，阐述攻防演练中防守工作的注意事项，并针对如何提高防守效率给蓝队提出了相应的建议。本文默认蓝队为防守方，红队为攻击方。 1 2022 攻防演练蓝队防守指南概述在实战环境中，无论是面对常态化的一般网络攻击，还是面对组织化、规模化的高级攻击，蓝队都需要按照事前准备、事中实战、事后收尾三个阶段来开展安全防护工作。图 1 攻防演练的三个阶段 m o c . 5 b u 一、事前准备——查漏补缺，做好战前准备 h t i g 在攻防演练开始之前，蓝队首先应当充分地了解自身安全防护状况与存在的不足，找出自身的脆弱点并及时进行加固，为后续工作提供能力支撑。这就是准备阶段的主要工作。在攻防演练中，前期的准备工作包括安全团队组建、演练流程制定，以及未知资产排查、安全设备 0day 排查、系统漏洞排查、系统弱口令排查、系统配置缺陷排查、内网集权系统排查、协助安全加固等技术性工作。二、事中实战——监控处置，对抗安全攻击红蓝两队在实战阶段展开正面对抗。蓝队需要集中人力、物力，力求达到系统不破，数据不失。在实战阶段，从技术角度看，应重点做好以下三点： ➢ 监控全面、持续。在资产细粒度清点的基础上，从多个路径持续、全面、透彻地发现潜在风险及安全薄弱点，包括弱密码、安全补丁、应用风险等，对网络、主机侧的动态进行持续监测，以发现是否有入侵行为。 2 2022 攻防演练蓝队防守指南 ➢ 研判快速、准确。在攻防演练中，分析研判上承攻击行为的确认、分析及溯源，下接安全人员对攻击行为的响应处置，是整个防护流程技术含量最高的一步，也是对速度、准确度要求最高的环节之一。 ➢ 响应及时、有效。确认安全事件后，最重要的是在最短时间内采取技术手段遏制攻击的影响范围，并消除攻击发生的所有要素，确保攻击者无法进一步攻击。三、事后收尾——总结复盘，提升安全能力演练的结束也是防护工作改进的开始。在实战工作完成后，应对各个阶段的工作进行充分、 m o c . 5 全面的复盘分析，总结经验、教训。并针对复盘中暴露出的不足之处，立即着手整改，修复或加固安全漏洞及隐患，完善安全防护措施，优化安全策略，提高安全人员技术能力，最大程度提升整体网络安全防护水平。 b u 对于蓝队来说，想要达到高水平的防护效果，需要从“知己”和“知彼”两个方面同时着手。 h t i g 既要了解自身的安全脆弱点，也要了解红队的思路与打法，这样才能结合自身实际网络环境、运营管理情况，制定相应的防御措施和响应机制，以在防守过程中争取到更大的主动权。在攻防演练实战中，蓝队的主要工作包括红队演练、风险收敛加固、安全监控，以及攻击研判等。这些工作模块并不是彼此孤立的，而是各部分协同工作，形成一条完整的防守工作链。 3 2022 攻防演练蓝队防守指南图 2 蓝队的主要工作模块 m o c . 5 b u 第一章红队演练篇 h t i g 在网络犯罪分子不断更新网络攻击技术和工具的时代，安全人员必须不断完善防御战略，以跟上不断变化的威胁形势，加强检测和响应能力，争取领先攻击方一步。对于大多数企业组织而言，真正的纵深防御战略应该包括红队演练这个环节。这些企业组织只有经过不断的红蓝对抗演练，形成漏洞发现、修复闭环，才能构建强有力的安全防御体系。图 3 红蓝对抗的流程闭环 4 2022 攻防演练蓝队防守指南 1.1 什么是红队演练？红队演练是测试企业对网络攻击检测和响应能力的最终方法。它专注于攻击模拟，通过采用与真实攻击相同的各种策略、技术和程序 (TTP) 来评估企业在整个攻击生命周期中每个阶段的防护能力。红队演练服务为安全运营团队提供了一种安全的方式来测试其威胁检测和事件响应能力。红队演练的目的在于通过攻击模拟揭示公司安全中的漏洞，发现网络安全防御中的暴露面及盲点，帮助企业深入了解自身安全体系的状态以及安全技术、流程和人员的有效性，并确定 m o c . 5 需要改进的领域。通过红队评估，用户可以测试以下内容： 1. 攻击面的大小； b u 2. 威胁检测技术的有效性； 3. 响应过程的效率； 4. 内部人员的安全意识。 h t i g 1.2 为什么需要红队演练？网络安全不是一个短暂的事件，而是一个持续的过程。网络攻击技术和工具不断进化、企业的攻击面不断扩大、企业并购带来的新用户和新政策……所有这些变化都会产生新的安全问题。解决这些安全问题意味着需要进行定期的安全评估和持续的侦察活动，而红队演练就是最好的安全评估方式之一。它的主要价值在