青藤云安全：2022攻防演练蓝队防守指南（27页）.pdf

1、 2022 攻防演练蓝队防守指南 2022 攻防演练蓝队防守指南 背 景.1 概 述.2 第一章 红队演练篇.4 1.1 什么是红队演练？.5 1.2 为什么需要红队演练？.5 1.3 如何开展红队演练？.6 1.4 渗透测试和红队演练有什么区别？.8 1.5 国内红队演练最佳实践剖析.9 第二章 风险收敛加固篇.10 2.1 风险收敛加固是攻防演练前序阶段最重要的环节之一.10 2.2 如何进行风险收敛加固？.11 2.2.1 资产评估.11 2.2.2 安全策略检查.11 2.2.3 安全防线加固.12 2.3 风险收敛加固面临的挑战.12 2.4 最佳实践：青藤风险收敛加固服务.13 第

2、三章 安全监控篇.14 3.1 什么是网络安全监控？.14 3.2 为什么需要安全监控？.15 3.3 实施安全监控的 4 大要点.16 3.4 攻防演练中安全监控最佳实践.17 第四章 攻击研判篇.18 4.1 攻击研判的定义及重要性.18 4.2 攻击研判中的团队角色分类.19 4.3 攻击研判的 6 个步骤.21 4.4 基于网络安全“黑匣子”的攻击研判服务新模式.24 目 录 2022 攻防演练蓝队防守指南 1 背 景 网络安全攻防演练自 2016 年首次开展以来，经过 6 年的发展，已经成为检验网络安全防御能力最重要的手段之一，也是当下检验对关键信息系统基础设施网络安全防护工作的重要

3、组成部分。在攻防演练中，红队通常以实际运行的信息系统为攻击目标，在既定规则下最大限度地模拟真实网络攻击，以此来检验目标系统的安全防护能力。随着数字化与信息化进程的不断加快，网络安全逐步走入大众视野，并引起各行各业的重视。网络安全攻防演练逐渐发展成为涉及多个行业、多家单位的大型事件。从 2016 年至今，攻防演练的参演单位数量和覆盖的行业数量都大幅提升。此外，除了国家级的攻防演练，各省市、各行业的监管机构，也会在各自管辖范围内筹备和组织实战演习。时间长、规模大并不能说明这一活动发展得足够成熟，尤其是对蓝队来说，任何人或产品都不能保证绝对的网络安全，它只能通过一次次的攻防对抗来不断完善自身的防护能

4、力，从而更好地防御蓝队攻击。这是一个以攻促防的过程。青藤云安全编写本指南的主要目的在于以蓝队的视角，阐述攻防演练中防守工作的注意事项，并针对如何提高防守效率给蓝队提出了相应的建议。本文默认蓝队为防守方，红队为攻击方。2022 攻防演练蓝队防守指南 2 概 述 在实战环境中，无论是面对常态化的一般网络攻击，还是面对组织化、规模化的高级攻击，蓝队都需要按照事前准备、事中实战、事后收尾三个阶段来开展安全防护工作。图 1 攻防演练的三个阶段 一、事前准备查漏补缺，做好战前准备 在攻防演练开始之前，蓝队首先应当充分地了解自身安全防护状况与存在的不足，找出自身的脆弱点并及时进行加固，为后续工作提供能力支撑

5、。这就是准备阶段的主要工作。在攻防演练中，前期的准备工作包括安全团队组建、演练流程制定，以及未知资产排查、安全设备 0day 排查、系统漏洞排查、系统弱口令排查、系统配置缺陷排查、内网集权系统排查、协助安全加固等技术性工作。二、事中实战监控处置，对抗安全攻击 红蓝两队在实战阶段展开正面对抗。蓝队需要集中人力、物力，力求达到系统不破，数据不失。在实战阶段，从技术角度看，应重点做好以下三点：监控全面、持续。在资产细粒度清点的基础上，从多个路径持续、全面、透彻地发现潜在风险及安全薄弱点，包括弱密码、安全补丁、应用风险等，对网络、主机侧的动态进行持续监测，以发现是否有入侵行为。2022 攻防演练蓝队防

6、守指南 3 研判快速、准确。在攻防演练中，分析研判上承攻击行为的确认、分析及溯源，下接安全人员对攻击行为的响应处置，是整个防护流程技术含量最高的一步，也是对速度、准确度要求最高的环节之一。响应及时、有效。确认安全事件后，最重要的是在最短时间内采取技术手段遏制攻击的影响范围，并消除攻击发生的所有要素，确保攻击者无法进一步攻击。三、事后收尾总结复盘，提升安全能力 演练的结束也是防护工作改进的开始。在实战工作完成后，应对各个阶段的工作进行充分、全面的复盘分析，总结经验、教训。并针对复盘中暴露出的不足之处，立即着手整改，修复或加固安全漏洞及隐患，完善安全防护措施，优化安全策略，提高安全人员技术能力，最