護網前藍隊要準備什么

資產梳理

隨著企業業務的不斷膨脹，越來越多的設備、系統等管理混亂，私搭亂建現象較為嚴重，安全管理分工不明確等問題依然嚴峻。在攻防實戰開始之前防守藍隊有必要進行資產梳理，其目的是為公司企業能夠做到“摸清家底”，對自己當前資產做一個詳細梳理，以便在攻防實戰期間能夠坦然應對。

• 安全設備資產

安全設備是阻擋紅隊攻擊的重要屏障。對現有安全設備進行有效清點，防守藍隊需明確每臺安全設備功能，有效期限，廠家聯系人，管理運維人員，設備責任人，運行狀態，防護區域，是否需要升級等情況進行有效梳理和檢查，并對存在的相關問題及時協商解決。如有條件企業可購進新型安全產品進行部署。

• 對外服務資產

對外服務資產是紅隊密切的關注點。針對對外服務資產進行有效清點，防守藍隊可對現有的web服務進有效分類，明確主機系統類型及版本，web系統功能，系統間關聯性，web資產域名，ip地址，端口號，開發框架，中間件類型及版本號，服務器地理方位，使用者、維護者、責任人姓名，聯系方式等。

• 外包業務資產

外包管理是“剛需”，近年來企業科技外包發展趨勢迅猛，外包涉及范圍逐漸擴大，已幾乎涵蓋了培訓、要求、設計、實施等生命周期的各個階段。部分企業由于外包問題所引發的敏感信息泄露層出不窮，外包業務作為攻防實戰中的暴露口，必須加以重視。針對外包業務資產業務進行有效清點，公司企業需提前通知攻防實戰開始及截至時間，簽署責任協議，明確外包聯系人、值班安排狀況等。

風險排查

風險排查在攻防實戰之前扮演著舉足輕重的角色。全面的風險排查，可以有效的降低實戰過程中被紅隊攻破的可能，在攻與防的競賽中處于主動狀態，進而保證藍隊人員有條不紊的持續進行。

• 基礎設施風險排查

基礎設施風險排查分為設備功能排查、安全漏洞管理、訪問權限檢查和重要信息備份。

設備功能排查：對公司企業的服務器、審計系統、防火墻、堡壘機、流量檢測設備、IPS\IDS等設備功能是否正常運行進行有效排查(廠商審核)，對重要設備有選擇性升級，更新特征庫。對于安全設備所覆蓋范圍進行有效排查，盡可能做到無死角全覆蓋。有條件的公司也可引進新型的安全設備進行部署。也可采用矩陣監控的方式，以橫向和縱向雙維度進行匹配排查設備運行狀態。

安全漏洞管理：技術漏洞管理通常用于緩解或防止系統中存在技術漏洞的利用問題。通常可包括五個關鍵步驟：計劃漏洞管理、發現已知漏洞、掃描漏洞、記錄報告、補丁修復。其中，后四步在攻防實戰前的安全排查尤為重要。

訪問權限檢查：系統訪問是限制授權用戶為特定業務目的訪問業務應用程序、移動設備、系統和網絡的能力。系統訪問一般包括三種功能：認證、授權和訪問控制。有效的訪問限制和權限管理是將攻擊者拒之門外的最后1公里。應確保不同角色的用戶具有相應的訪問權限，刪除更改或者離開組織的關聯權限。管理員應全面檢查系統、數據庫、對外服務相關權限設置，以確保最小權限原則，過期的授權應予以刪除。

重要信息備份：在大型的紅藍對抗賽中，數據備份是必不可少的重要一步。在攻防實戰之前對重要的資產數據、用戶信息等進行數據備份，可以有效防止在實戰期間紅隊的不正當操作造成數據庫損壞、系統崩潰宕機等導致數據丟失，給公司企業造成不可挽回的經濟損失。

• 互聯網暴露面排查

互聯網暴露面排查分為冗余資產排查、對外服務排查、對外開放端口、

冗余資產排查：所謂冗余資產主要指公司企業未使用卻仍占用系統資源的資產，例如：陳舊的web服務或數據庫，公司開放的測試環境等。由于公司的冗余資產往往缺乏人員管理與維護，很多系統漏洞未進行補丁升級，部分測試環境存在弱口令、未完全開發存在的邏輯漏洞等層出不窮，該部分業務非常容易遭紅隊攻擊。對于該類業務在攻防實戰之前建議關停。針對關停部分業務以后，對業務剩余存活主機的ip資產、端口開放、服務版本，內網主機ip信息、端口開放、服務版本進行精確梳理；

對外服務排查：公司的對外服務是攻擊者最近的接觸點，對外服務包括但不限于對外服務網站、微博、公眾號、郵件服務系統、api接口等。建議在攻防實戰之前對對外服務進行有效梳理和排查，關停或隱藏暴露于公網的后臺登陸界面、運營管理界面、設備管理界面等。有條件的公司企業也可統一更換服務網站、微博、公眾號、郵件系統等口令信息。

對外開放端口：在攻防實戰之前有效的端口管控是將紅隊拒之門外的前提條件。對于大中型企業的資產較多，端口管控較為困難，紅隊通過對端口發起有效入侵是最直接、最有效的途徑之一。常見的開放端口服務包括但不限于：ssh、ftp、telnet、snmp、遠程桌面、mysql、oracle、postgresql、redis、memcached、hadoop、HBase、mangodb、JAVA RMI等。

• 賬號信息排查

攻防實戰之前對賬號信息的有效排查是將攻擊者拒之門外的最后十英尺。據統計，在以往攻防演練中，百分之99.8的攻擊隊伍都會應用口令枚舉、暴力破解等方式對目標系統發起攻擊。而百分之38.9的概率能夠被紅隊攻擊成功。所以在攻防實戰之前隊賬號信息的有效排查是非常有必要的。

安全管理

此處的“安全管理”不同于企業安全架構中的安全管理中心。該處安全管理主要指在攻防實戰之前的臨時統一管控，保證在紅隊攻擊過程中能夠有效應對，各盡其職，有條不紊。其中可以包括員工安全意識培訓、建立合理的安全組織架構、建立有效的工作溝通渠道、成立防護工作組、紅隊滲透測試等。

• 對全體員工進行信息安全意識和教育培訓，包括IT員工、IT安全人員、管理人員和其他員工。所有員工都有安全責任、都必須接受適當的安全意識培訓。讓員工了解不同類型的不恰當行為，例如：郵件釣魚、人員假冒等。可以有效降低紅隊攻擊人員的社工攻擊。

• 建立合理的安全組織架構，結合工作小組的責任和內容，有針對性地制定工作計劃、技術方案及工作內容，責任到人、明確到位，按照工作實施計劃進行進度和質量把控，確保管理工作落實到位，技術工作有效執行。

• 建立有效的工作溝通渠道，通過安全可信的即時通訊工具建立實戰工作指揮群，及時發布工作通知，群內簽到，共享信息數據，了解工作情況，實現快速、有效的工作溝通和信息傳遞。

• 成立防護工作組，開展并落實技術檢查、整改和安全監測、預警、分析、驗證和處置等運營工作，例如：安全監測小組、安全處置小組、安全應急小組、安全保障小組、指揮中心等。用以完善安全監測、預警和分析措施，完善的安全事件應急處置和可落地的流程機制，提高事件的處置效率。其中，全流量安全威脅檢測分析系統是防護工作的重要關鍵節點，并以此為核心，有效地開展相關防護工作。

• 紅隊滲透測試，任何公司企業不可能做到百分百安全，為了檢驗公司的安全防護能力。公司可組織紅隊人員安全檢測評估。以紅隊攻擊報告為參考，對疏漏的安全問題及時進行修復。

回答所涉及的環境：聯想天逸510S、Windows 10。