2024HW蓝队视角下的防御体系构建.docx

5

5

HW2024蓝队视角下的防御体系构建

目 录

第一章什么是蓝队. 1

第二章 蓝队三步走——防守的三个阶段. 4

一、备战阶段——不打无准备之仗. 4

二、实战阶段——全面监测及时处置. 6

三、战后整顿——实战之后的改进. 8

第三章 蓝队应对攻击的常用策略. 9

一、防微杜渐：防范被踩点. 9

二、收缩战线：收敛攻击面. 10

三、纵深防御：立体防渗透. 12

四、守护核心：找到关键点. 14

6五、洞若观火：全方位监控. 15

6

7第四章建立实战化的安全体系. 17

7

一、认证机制逐步向零信任架构演进. 17

二、建立面向实战的纵深防御体系. 19

三、强化行之有效的威胁监测手段. 20

四、建立闭环的安全运营模式. 21

PAGE

PAGE10

第一章 什么是蓝队

蓝队，一般是指网络实战攻防演习中的防守一方。

蓝队一般是以参演单位现有的网络安全防护体系为基础，在实战攻防演习期间组建的防守队伍。蓝队的主要工作包括前期安全检查、整改与加固，演习期间进行网络安全监测、预警、分析、验证、处置，后期复盘总结现有防护工作中的不足之处，为后续常态化的网络安全防护措施提供优化依据。

实战攻防演习时，蓝队通常会在日常安全运维工作的基础上，以实战思维进一步加强安全防护措施、提升管理组织规格、扩大威胁监控范围、完善监测与防护手段、增加安全分析频率、提高应急响应速度，提升防守能力。

特别需要说明的是：蓝队并不仅仅由实战演习中目标系统运营单位一家独立承担，而是由目标系统运营单位、攻防专家、安全厂商、软件开发商、网络运维队伍、云提供商等多方组成的防守队伍。

下面是组成蓝队的各个团队在演习中的角色与分工情况：

目标系统运营单位：负责蓝队整体的指挥、组织和协调；

安全运营团队：负责整体防护和攻击监控工作；

攻防专家：负责对安全监控中发现的可疑攻击进行分析研判，指导安全运营团队、软件开发商等相关部门进行漏洞整改等一系列工作；

安全厂商：负责对自身产品的可用性、可靠性和防护监控策略是否合理进行调整；

软件开发商：负责对自身系统安全加固、监控和配合攻防专家对发现的安全问题进行整改；

网络运维队伍：负责配合安全专家对网络架构安全、出口整体优化、网络监控、溯源等工作；

云提供商（如有）：负责对自身云系统安全加固，以及对云上系统的安全性进行监控，同时协助攻防专家对发现的问题进行整改。

某些情况下，还会有其他组成人员，这需要根据实际情况具体分配工作。

特别的，作为蓝队，了解对手（红队）非常重要。

知彼才能知己。从攻击者角度出发，了解攻击者的思路与打法，了解攻击者思维，并结合本单位实际网络环境、运营管理情况，制定相应的技术防御和响应机制，才能在防守过程中争取主动权。

第二章 蓝队三步走——防守的三个阶段

在实战环境下的防护工作，无论是面对常态化的一般网络攻击，还是面对有组织、有规模的高级攻击，对于防护单位而言，都是对其网络安全防御体系的直接挑战。在实战环境中，蓝队需要按照备战、实战和战后三个阶段来开展安全防护工作。

一、备战阶段——不打无准备之仗

在实战攻防工作开始之前，首先应当充分地了解自身安全防护状况与存在的不足，从管理组织架构、技术防护措施、安全运维处置等各方面能进行安全评估，确定自身的安全防护能力和工作协作默契程度，为后续工作提供能力支撑。这就是备战阶段的主要工作。

在实战攻防环境中，我们往往会面临技术、管理和运营等多方面限制。技术方面：基础能力薄弱、安全策略不当和安全措施不完善等问题普遍存在；管理方面：制度缺失，职责不明，应急响应机制不完善等问题也很常见；运营方面：资产梳理不清晰、漏洞整改不彻底、安全监测分析与处置能力不足等问题随处可见。这些不足往往会导致整体防护能力存在短板，对安全事件的监测、预警、分析和处置效率低下。

针对上述情况，蓝队在演习之前，需要从以下几个方面进行准备与改进：

技术方面

为了及时发现安全隐患和薄弱环节，需要有针对性地开展自查工作，并进行安全整改加固，内容包括系统资产梳理、安全基线检查、网络安全策略检查、Web安全检测、关键网络安全风险检查、安全措施梳理和完善、应急预案完善与演练等。

管理方面

一是建立合理的安全组织架构，明确工作职责，建立具体的工作小组，同时结合工作小组的责任和内容，有针对性地制定工作计划、技术方案及工作内容，责任到人、明确到位，按照工作实施计划进行进度和质量把控，确保管理工作落实到位，技术工作有效执行。

二是建立有效的工作沟通机制，通过安全可信的即时通讯工具建立实战工作指挥群，及时发布工作通知，共享信息数据，了解工作情况，实现快速、有效的工作沟通和信息传递。

运营方面

成立防护工作组并明确工作职责，责任到人，开展并落实