一般通用护网保障简单归纳_护网期间如何研判

**

一般通用护网保障简单归纳

**

1 简介

1.1 护网保障

通常每年特定时间、或特殊时期由省政府、市政府牵头承办，各机关单位配合进行的“网络安全实战攻防演练”。行动时间通常由承办单位决定，通常为24小时、跨周末进行。行动评比得分排名靠前的队伍予以通报表扬，通报演练期间发现的防守的一方存在安全隐患问题。

1.2 实战攻防演练

一般分为红（攻击方）、蓝（防守方）两方：红方目标为获取靶系统权限、获取重要数据、发现高危漏洞等一系列操作，蓝方目标为入侵处置、攻击溯源，并对存在的高危漏洞进行发现修复等一系列操作。

2 红队攻击方式

2.1 纵向突破

以互联网为攻击起点，选择寻找漏洞及薄弱点，通过社工\植入木马等手段进行突破。互联网突破口选择原则：通常为关注度低、防守薄弱的老旧系统；存在高危漏洞的系统；存在弱口令、重要信息泄的系统；员工社交账号、第三方产品供应商、运维服务供应商；以及安全意识薄弱员工（钓鱼邮件）等。

2.2 横向渗透

通过突破外网边界防护，进入到内网后，展开横向渗透探测，以寻找核心区域（靶系统）或其他重点资产系统。主要手段是控制应用\服务器等资产，通过内网横向渗透、寻找薄弱点并加以控制。重点还是内网有无统一威胁感知平台；有无存在高危漏洞系统；存在弱口令系统、重要信息存储系统等。

3 蓝队保障方案

3.1 备战资产摸底

3.1.1 组件护网保障团队

3.1.2 明确应急响应流程

3.1.3 互联网资产暴露面排查

3.1.4 对外开放端口梳理

3.2 临战减少攻击面

3.2.1 关停不必要对外应用

3.2.2 关闭各类非法远程

3.2.3 限制对外应用管理后台

3.2.4 关闭不必要对外端口

3.2.5 弱口令整改

3.2.6 高危漏洞整改

3.2.7 防护体系加强

3.2.8 全员安全意识宣导（钓鱼邮件、弱口令等）培训

3.3 决战监测相应

3.3.1 专人实时检测（24小时全天值守）

3.3.2 多方专家研判

3.3.3 攻击上报协同处置

3.3.4 第三方专家应急

3.3.5 防护策略优化整固

3.4 总结经验沉淀

3.4.1 总结护网期间行动经验

3.4.2 攻击链还原分析

3.4.3 安全防护不足检讨

3.4.4 应急处置流程总结

4 防护体系加强

4.1云防护

主要为SaaS服务，变更互联网对外业务DNS解析至云防护，所有对互联网开放的业务均通过云防护进行安全防护，防御针对Web应用的各类攻击威胁。

4.2 对外业务WAF

串联部署于互联网DMZ区边界，所有对互联网开放的业务均通过WAF进行安全防护，防御针对Web应用的各类攻击威胁

4.3 态势感知

态势感知平台，威胁感知探针旁路部署于数据中心，并接入内网各区的镜像流量。威胁感知探针收集威胁流量并上传日志至态势感知平台。发现网络流量中各类威胁，并为溯源分析提供数据支撑。

4.4 主机安全防护（EDR）

客户端方式安装于所有服务器。发现主机层面各类威胁，并为溯源分析提供数据支撑。

4.5 接口安全管控

旁路部署，并接入对外业务的镜像流量。发现系统接口各类威胁，并为溯源分析提供数据支撑。

4.6 威胁诱捕（蜜罐）

旁路部署于DMZ区，模仿现有业务搭建伪装系统并发布于互联网，新建用于蜜罐的专用网段并禁止蜜罐访问内网所有网络。诱捕红队攻击流量，为溯源分析提供数据支撑，是防守加分的重要手段。

5 护网期间保障技巧

5.1 避免减分

警惕钓鱼邮件等社工攻击手段，关停所有老旧、测试和未必要系统、及时修复高危漏洞和弱口令；非所属资产必须上诉。

5.2 主动加分

关注态势感知及蜜罐的告警日志，分析业务系统/邮箱流量获取的恶意样本. 关注高危漏洞告警，如注入、命令执行、反序列化、系统提权等漏洞。

5.3 实用防护

IP封禁是简单有效的防护方式, 遇到国外地址进行攻击一律封禁; 提交报告需包含关键内容; 对外业务资产监测与防护极为重要; 钓鱼邮件是红队常用的有效攻击手段; 建立快速沟通渠道，避免耽误上报时间。