2022攻防演练蓝队防守指南(1).docxVIP

2022攻防演练蓝队防守指南

2022攻防演练蓝队防守指南

2022攻防演练蓝队防守指南

2022攻防演练蓝队防守指南

目 录背 景 1

目 录

概 述 2

第一章红队演练篇 4

什么是红队演练？ 5

为什么需要红队演练？ 5

如何开展红队演练？ 6

渗透测试和红队演练有什么区别？ 8

国内红队演练最佳实践剖析 9

第二章风险收敛加固篇 10

风险收敛加固是攻防演练前序阶段最重要的环节之一 10

如何进行风险收敛加固？ 11

资产评估 11

安全策略检查 11

安全防线加固 12

风险收敛加固面临的挑战 12

最佳实践：青藤风险收敛加固服务 13

第三章安全监控篇 14

什么是网络安全监控？ 14

为什么需要安全监控？ 15

实施安全监控的4大要点 16

攻防演练中安全监控最佳实践 17

第四章攻击研判篇 18

攻击研判的定义及重要性 18

攻击研判中的团队角色分类 19

攻击研判的6个步骤 21

基于网络安全“黑匣子”的攻击研判服务新模式 24

2022攻防演练蓝队防守指南

2022攻防演练蓝队防守指南

PAGE

PAGE10

背 景

网络安全攻防演练自2016年首次开展以来，经过6年的发展，已经成为检验网络安全防御能力最重要的手段之一，也是当下检验对关键信息系统基础设施网络安全防护工作的重要组成部分。在攻防演练中，红队通常以实际运行的信息系统为攻击目标，在既定规则下最大限度地模拟真实网络攻击，以此来检验目标系统的安全防护能力。

随着数字化与信息化进程的不断加快，网络安全逐步走入大众视野，并引起各行各业的重视。网络安全攻防演练逐渐发展成为涉及多个行业、多家单位的大型事件。从2016年至今，攻防演练的参演单位数量和覆盖的行业数量都大幅提升。此外，除了国家级的攻防演练，各省市、各行业的监管机构，也会在各自管辖范围内筹备和组织实战演习。

时间长、规模大并不能说明这一活动发展得足够成熟，尤其是对蓝队来说，任何人或产品都不能保证绝对的网络安全，它只能通过一次次的攻防对抗来不断完善自身的防护能力，从而更好地防御蓝队攻击。这是一个以攻促防的过程。

青藤云安全编写本指南的主要目的在于以蓝队的视角，阐述攻防演练中防守工作的注意事项，并针对如何提高防守效率给蓝队提出了相应的建议。本文默认蓝队为防守方，红队为攻击方。

概 述

在实战环境中，无论是面对常态化的一般网络攻击，还是面对组织化、规模化的高级攻击，蓝队都需要按照事前准备、事中实战、事后收尾三个阶段来开展安全防护工作。

图1攻防演练的三个阶段

一、事前准备——查漏补缺，做好战前准备

在攻防演练开始之前，蓝队首先应当充分地了解自身安全防护状况与存在的不足，找出自身的脆弱点并及时进行加固，为后续工作提供能力支撑。这就是准备阶段的主要工作。

在攻防演练中，前期的准备工作包括安全团队组建、演练流程制定，以及未知资产排查、安全设备0day排查、系统漏洞排查、系统弱口令排查、系统配置缺陷排查、内网集权系统排查、协助安全加固等技术性工作。

二、事中实战——监控处置，对抗安全攻击

红蓝两队在实战阶段展开正面对抗。蓝队需要集中人力、物力，力求达到系统不破，数据不失。在实战阶段，从技术角度看，应重点做好以下三点：

监控全面、持续。在资产细粒度清点的基础上，从多个路径持续、全面、透彻地发现潜在风险及安全薄弱点，包括弱密码、安全补丁、应用风险等，对网络、主机侧的动态进行持续监测，以发现是否有入侵行为。

研判快速、准确。在攻防演练中，分析研判上承攻击行为的确认、分析及溯源，下接安全人员对攻击行为的响应处置，是整个防护流程技术含量最高的一步，也是对速度、准确度要求最高的环节之一。

响应及时、有效。确认安全事件后，最重要的是在最短时间内采取技术手段遏制攻击的影响范围，并消除攻击发生的所有要素，确保攻击者无法进一步攻击。

三、事后收尾——总结复盘，提升安全能力

演练的结束也是防护工作改进的开始。在实战工作完成后，应对各个阶段的工作进行充分、全面的复盘分析，总结经验、教训。并针对复盘中暴露出的不足之处，立即着手整改，修复或加固安全漏洞及隐患，完善安全防护措施，优化安全策略，提高安全人员技术能力，最大程度提升整体网络安全防护水平。

对于蓝队来说，想要达到高水平的防护效果，需要从“知己”和“知彼”两个方面同时着手。既要了解自身的安全脆弱点，也要了解红队的思路与打法，这样才能结合自身实际网络环境、运营管理情况，制定相应的防御措施和响应机制，以在防