实战攻防之蓝队视角下的防御体系构建

实战攻防演习之 蓝队视角下的防御体系构建 奇安信安服团队 2019.8 前 言 网络实战攻防演习，是新形势下关键信息系统网络安全保护工作的重要组成部分。演习通常是以实际运行的信息系统为保护目标，通过有监督的攻防对抗，尽可能地模拟真实的网络攻击，以此来检验信息系统的实际安全性和运维保障的实际有效性。 2016年以来，在国家监管机构的有力推动下，网络实战攻防演习日益得到重视，演习范围越来越广，演习周期越来越长，演习规模越来越大。国家有关部门组织的全国性网络实战攻防演习从2016年仅有几家参演单位，到2019年已扩展到上百家参演单位；同时各省、各市、各行业的监管机构，也都在积极地筹备和组织各自管辖范围内的实战演习。一时间，网络实战攻防演习遍地开花。 在演习规模不断扩大的同时，攻防双方的技术水平和对抗能力也在博弈中不断升级。 2016年，网络实战攻防演习尚处于起步阶段，攻防重点大多集中于互联网入口或内网边界。 2017年，实战攻防演习开始与重大活动的网络安全保障工作紧密结合。就演习成果来看，从互联网侧发起的直接攻击仍然普遍十分有效；而系统的外层防护一旦被突破，横向移动、跨域攻击，往往都比较容易实现。 2018年，网络实战攻防演习开始向行业和地方深入。伴随着演习经验的不断丰富和大数据安全技术的广泛应用，防守方对攻击行为的监测、发现和溯源能力大幅增强，与之相应的，攻击队开始更多地转向精准攻击和供应链攻击等新型作战策略。 2019年以来．网络实战攻防演习工作受到了监管部门、政企 机构和安全企业的空前重视。流量分析、EDR、蜜罐、白名单等专业监测与防护技术被防守队广泛采用。攻击难度的加大也迫使攻击队全面升级，诸如0day漏洞攻击、1day漏洞攻击、身份仿冒、钓鱼WiFi、鱼叉邮件、水坑攻击等高级攻击手法，在实战攻防演练中均已不再罕见，攻防演习与网络实战的水平更加接近。 如何更好地参与网络实战攻防演习？如何更好地借助实战攻防演习提升自身的安全能力？这已经成为大型政企机构运营者关心的重要问题。 作为国内前沿的网络安全企业，奇安信集团已成为全国各类网络实战攻防演习的主力军。奇安信集团安服团队结合200余次实战攻防演习经验，总结编撰了这套实战攻防演习系列丛书，分别从红队视角、蓝队视角和紫队视角，来解读网络实战攻防演习的要领，以及如何结合演习提升政企机构的安全能力。 需要说明的是，实战攻防演习中的红方与蓝方对抗实际上是沿用了军事演习的概念和方法，一般来说，红方与蓝方分别代表攻击方与防守方。不过，红方和蓝方的名词定义尚无严格的规定，也有一些实际的攻防演习，将蓝队设为攻击队、将红队设为防守队。在本系列丛书中，我们依据绝大多数网络安全工作者的习惯，统一将攻击队命名为红队，将防守队命名为蓝队，而紫队则代表组织演练的机构。 《蓝队视角下的防御体系构建》是本系列丛书的第二本。本书希望通过归纳总结蓝队防御的三个阶段、应对攻击的常用策略，以及建立实战化的安全体系的基本方法，帮助政企机构弥补薄弱环节，更好地提升演习水平，构筑更有效的安全防御体系。 目 录 第一章 什么是蓝队 .................................................................................. 1 第二章 蓝队三步走——防守的三个阶段 ........................................ 3 一、 备战阶段——不打无准备之仗 ................................................. 3 二、 实战阶段——全面监测及时处置 ............................................ 4 三、 战后整顿——实战之后的改进 ................................................. 5 第三章 蓝队应对攻击的常用策略 ...................................................... 7 一、 防微杜渐：防范被踩点 .............................................................. 7 二、 收缩战线：收敛攻击面 .............................................................. 7 三、 纵深防御：立体防渗透 .............................................................. 9 四、 守护核心：找到关键点 ........................................................... 11 五、 洞若观火：全方位监控 ........................................................... 11 第四章 建立实战化的安全体系 ........................................................ 13 一、 认证机制逐步向零信任架构演进 ......................................... 13 二、 建立面向实战的纵深防御体系 .............................................. 14 三、 强化行之有效的威胁监测手段 .............................................. 15 四、 建立闭环的安全运营模式 ....................................................... 16 附录 奇安信蓝队能力及攻防实践 ....................................................... 18 © 奇安信集团 第 1 页，共 22 页 第一章 什么是蓝队 蓝队，一般是指网络实战攻防演习中的防守一方。 蓝队一般是以参演单位现有的网络安全防护体系为基础，在实战攻防演习期间组建的防守队伍。蓝队的主要工作包括前期安全检查、整改与加固，演习期间进行网络安全监测、预警、分析、验证、处置，后期复盘总结现有防护工作中的不足之处，为后续常态化的网络安全防护措施提供优化依据。 实战攻防演习时，蓝队通常会在日常安全运维工作的基础上，以实战思维进一步加强安全防护措施、提升管理组织规格、扩大威胁监控范围、完善监测与防护手段、增加安全分析频率、提高应急响应速度，提升防守能力。 特别需要说明的是：蓝队并不仅仅由实战演习中目标系统运营单位一家独立承担，而是由目标系统运营单位、攻防专家、安全厂商、软件开发商、网络运维队伍、云提供商等多方组成的防守队伍。 下面是组成蓝队的各个团队在演习中的角色与分工情况： 目标系统运营单位：负责蓝队整体的指挥、组织和协调； 安全运营团队：负责整体防护和攻击监控工作； 攻防专家：负责对安全监控中发现的可疑攻击进行分析研判，指导安全运营团队、软件开发商等相关部门进行漏洞整改等一系列工作； 安全厂商：负责对自身产品的可用性、可靠性和防护监控策 略是否合理进行调整； 软件开发商：负责对自身系统安全加固、监控和配合攻防专家对发现的安全问题进行整改； 网络运维队伍：负责配合安全专家对网络架构安全、出口整体优化、网络监控、溯源等工作； 云提供商（如有）：负责对自身云系统安全加固，以及对云上系统的安全性进行监控，同时协助攻防专家对发现的问题进行整改。 某些情况下，还会有其他组成人员，这需要根据实际情况具体分配工作。 特别的，作为蓝队，了解对手（红队）非常重要。知彼才能知己。从攻击者角度出发，了解攻击者的思路与打法，了解攻击者思维，并结合本单位实际网络环境、运营管理情况，制定相应的技术防御和响应机制，才能在防守过程中争取主动权。 © 奇安信集团 第 3 页，共 22 页 第二章 蓝队三步走——防守的三个阶段 在实战环境下的防护工作，无论是面对常态化的一般网络攻击，还是面对有组织、有规模的高级攻击，对于防护单位而言，都是对其网络安全防御体系的直接挑战。在实战环境中，蓝队需要按照备战、实战和战后三个阶段来开展安全防护工作。 一、 备战阶段——不打无准备之仗 在实战攻防工作开始之前，首先应当充分地了解自身安全防护状况与存在的不足，从管理组织架构、技术防护措施、安全运维处置等各方面能进行安全评估，确定自身的安全防护能力和工作协作默契程度，为后续工作提供能力支撑。这就是备战阶段的主要工作。 在实战攻防环境中，我们往往会面临技术、管理和运营等多方面限制。技术方面：基础能力薄弱、安全策略不当和安全措施不完善等问题普遍存在；管理方面：制度缺失，职责不明，应急响应机制不完善等问题也很常见；运营方面：资产梳理不清晰、漏洞整改不彻底、安全监测分析与处置能力不足等问题随处可见。这些不足往往会导致整体防护能力存在短板，对安全事件的监测、预警、分析和处置效率低下。 针对上述情况，蓝队在演习之前，需要从以下几个方面进行准备与改进： 1） 技术方面 为了及时发现安全隐患和薄弱环节，需要有针对性地开展自查工作，并进行安全整改加固，内容包括系统资产梳理、安全基 线检查、网络安全策略检查、Web安全检测、关键网络安全风险检查、安全措施梳理和完善、应急预案完善与演练等。 2） 管理方面 一是建立合理的安全组织架构，明确工作职责，建立具体的工作小组，同时结合工作小组的责任和内容，有针对性地制定工作计划、技术方案及工作内容，责任到人、明确到位，按照工作实施计划进行进度和质量把控，确保管理工作落实到位，技术工作有效执行。 二是建立有效的工作沟通机制，通过安全可信的即时通讯工具建立实战工作指挥群，及时发布工作通知，共享信息数据，了解工作情况，实现快速、有效的工作沟通和信息传递。 3） 运营方面 成立防护工作组并明确工作职责，责任到人，开展并落实技术检查、整改和安全监测、预警、分析、验证和处置等运营工作，加强安全技术防护能力。完善安全监测、预警和分析措施，建立完善的安全事件应急处置机构和可落地的流程机制，提高事件的处置效率。 同时，所有的防护工作包括预警、分析、验证、处置和后续的整改加固都必须以监测发现安全威胁、漏洞隐患为前提才能开展。其中，全流量安全威胁检测分析系统是防护工作的重要关键节点，并以此为核心，有效地开展相关防护工作。 二、 实战阶段——全面监测及时处置 攻守双方在实战阶段正式展开全面对抗。防护方须依据备战 © 奇安信集团 第 5 页，共 22 页 明确的组织和职责，集中精力和兵力，做到监测及时、分析准确、处置高效，力求系统不破，数据不失。 在实战阶段，从技术角度总结应重点做好以下三点： 1） 做好全局性分析研判工作 在实战防护中，分析研判应作为核心环节，分析研判人员要具备攻防技术能力，熟悉网络和业务。分析研判人员作为整个防护工作的大脑，应充分发挥专家和指挥棒的作用，向前，对监测人员发现的攻击预警进行分析确认并溯源，向后，指导协助事件处置人员对确认的攻击进行处置。 2） 全面布局安全监测预警 安全监测须尽量做到全面覆盖，在网络边界、内网区域、应用系统、主机系统等方面全面布局安全监测手段，同时，除了IDS、WAF等传统安全监测手段外，尽量多使用天眼全流量威胁检测、网络分析系统、蜜罐、主机加固等手段，只要不影响业务，监测手段越多元化越好。 3） 提高事件处置效率效果 安全事件发生后，最重要的是在最短时间内采取技术手段遏制攻击、防止蔓延。事件处置环节，应联合网络、主机、应用和安全等多个岗位人员协同处置。 三、 战后整顿——实战之后的改进 演习的结束也是防护工作改进的开始。在实战工作完成后应进行充分、全面复盘