藍方值守階段經驗技巧

隨著國家對網絡安全的建設不斷加強，各地組織的攻防演練行動會越來越多。今天來分享藍方在正式防護階段時，需要重點加強防護過程中的安全保障工作，從攻擊監測、攻擊分析、攻擊阻斷、漏洞修復和追蹤溯源等方面全面加強演習過程的安全防護效果。

全面監控

安全事件實時監測

借助安全設備（全流量分析設備、Web防火墻、IDS、 IPS、 數據庫審計等）開展安全事件實時監測，對發現的攻擊行為進行確認，詳細記錄攻擊相關數據，為后續處置工作開展提供信息。

綜合研判

安全事件綜合研判

確認方式：攻擊方式確認、攻擊路徑確認、攻擊范圍確認、攻擊結果確認。

以找到攻擊者的源IP地址、攻擊服務器IP地址、郵件地址等信息，并對攻擊方法、攻擊方式、攻擊路徑和工具等進行分析研判。

基于全面監控提供監控數據，配合研判依據數據提供有效支撐，完成發生安全攻擊事件上報。

基于全流量的數據分析

結合數據分析技術和安全攻防技術可以對已經發生的攻擊行為進行多角度、全方位、可反復回溯的深度檢測，從而更容易檢測出潛在的入侵行為，內網重點關注以上攻擊行為。

口令爆破：常見的重點口令的爆破、ssh、rdp、smb等

命令執行：系統命令（dir、ipconfig、whoami）；端口反彈（lcx、powershell、 nc等）

高危漏洞：Web層（Sq|注入、反序列化、Struts2等）；系統層（ms17-010.破殼漏洞）

基于服務器的數據分析

軟件不需要安裝到服務器,只需要將服務器相關日志、注冊表導出到本地進行分析

1、注冊表分析：對啟動項、環境變量、系統啟動shell、Office宏、映像劫持、計劃任務、TeamView使用等做分析

2、系統日志分析：對Windows、Linux服務器的系統日志進行包括入侵時間、入侵主機、入侵方式做初步溯源

3、中間件日志分析：主要對主流中間件如IIS、Tomcat、Apache、Weblogic等通過日志分析入侵途徑、入侵手段

4、Linux分析：作為補充，對手工檢測提供參考

基于重點日志分析

在護網中，VPN、域控、堡壘機是攻擊的重點對象，同時也是監控薄弱環節，天融信服務團隊主動開展針對重點系統的日志分析。

重點關注的事件類型：異常時間登錄、境外IP登錄、異地登錄、暴力破解（1個賬號多次登錄失敗10次以上）、撞庫攻擊（1個IP多次登錄失敗10次以上）、共享賬號（1個IP多個用戶登錄）、威脅情報檢測（對異常IP進行檢測）、日志質量（對無法登陸的IP檢查是否為正常情況）

應急溯源

系統賬號，日志，歷史命令，可疑文件，端口、進程，Webshell、后門，啟動項，病毒

實際操作中的經驗

1、研判確定為攻擊地址，且有明確攻擊行為證據再進行溯源，減少溯源工作量。

2、發現溯源攻擊地址為移動動態ip、CDN地址，就沒必要繼續追查了，減少溯源工作量。

3、溯源可多方面進行，網站注冊人、郵箱、聯系電話等信息，必要時可對攻擊IP進行反滲透。

4、流量中ID信息不要放過，可利用社工庫對其進行反查，能夠獲取大量信息。

5、釣魚郵件中惡意文件可放于沙箱中進行動態監測,反查郵件，定位攻擊IP。

6、惡意程序可用沙箱監測，定位反鏈,從而獲取攻擊者信息。

7、社工庫要利用起來，多方面收集信息，去除垃圾信息，從而定位精確信息。

8、情報共享平臺要利用起來，如微步等情報平臺多關注，多利用。

9、凡是有溯源結果的，可交于客戶進行上報，無論加分成功與否，都可促進客戶滿意度。

10、定位到手機號。可以添加到手機通訊錄中，利用釘釘等辦公軟件查找該人員所屬公司。

11、利用人脈詢問也是個是個好的辦法。

需要注意的問題

1、建議組建專門的溯源團隊進行溯源工作開展，藍隊現場同事可進行支撐（專職溯源電腦，不連內網）（原因：藍隊現場同事直接參與溯源，若掉入紅隊陷阱，會影響藍隊客戶現場網絡安全）

2、建議注冊幾個公用的社交帳號，供溯源人員進一步社工溯源操作，比如類似通過社交工具加別人好友，然后進行社工操作，一定程度上用來保護溯源人員安全

不足之處

1、獲取信息說服力度不足，無確切證據表明為某某攻擊隊進行攻擊，需要研究如何坐實證據。

2、溯源工作量大，需要專人專職進行溯源，攻擊IP可能存在垃圾IP、黑產惡意IP等與護網無關IP進行干擾，需要專職人員進行處理篩選

3、溯源往往溯源到社工庫提供的人就停止了，無法定位該人員所屬公司、所屬攻擊隊，從而無法得分

4、很多攻擊IP為跳板機，很多情況溯源出的人也是受害者，需要更深一步的溯源

5、溯源可能會涉及到反滲透部分，屬于未授權測試，可能會觸碰一些法律法規

6、溯源準備需要進行沉淀積累，并做好提前準備

數據上報

事件信息（事件類型、發生時間、影響目標、攻擊結果）、處置方式、存在的問題、處理意見。