攻防演练 | 如何做好一名优秀的蓝队(外网篇)
字数 1204 2025-08-19 12:40:57

如何做好一名优秀的蓝队(外网篇) - 攻防演练指南

0x00 前言

攻防演练是检验网络安全防御能力的重要活动,蓝队作为防守方,其价值需要通过有效识别和抵御攻击来体现。本文基于ATT&CK模型,重点分析侦查、资源开发和初始访问三个攻击阶段,提供详细的防御策略和攻击指纹识别方法,帮助蓝队在海量告警中精准定位真实攻击。

0x01 侦查阶段防御

攻击手法分析

攻击者在侦查阶段通常采用主动+被动方式收集目标信息:

  • 主动采集:通过工具扫描子域名、指纹、供应链等信息
  • 被动采集:利用公开信息源获取目标资产

防御检测方法

1. 时间维度分析

分析指标
1.1 短时间同一站点同一IP大批量访问
1.2 短时间不同站点同一IP大批量访问

实施方法

  • 汇总态势感知、WAF、负载均衡等设备的告警日志
  • 使用Excel等工具进行统计分析
  • 重点关注短时间内高频访问行为

2. 指纹维度分析

针对攻击者使用代理池的情况:

  • 查询威胁情报系统
  • 检查IP信誉度
  • 分析请求特征(如User-Agent、请求参数等)

3. 场景维度分析

异常流量识别

  • 对比日常访问模式
  • 关注不合理的请求序列(如只请求HTML不加载JS/CSS)
  • 检查非正常业务时间的访问行为

关联分析

  • 将多个低风险事件关联为高风险组合
  • 建立行为基线,识别偏离基线的活动

0x02 资源开发阶段防御

攻击手法分析

攻击者在此阶段可能:

  • 注册相似域名
  • 部署钓鱼网站
  • 获取VPN/云服务账号
  • 开发定制工具

防御检测方法

  1. 域名监控

    • 监控与公司域名相似的注册行为
    • 使用域名监控服务(如DNSTwist)

  2. 钓鱼检测

    • 定期搜索公司相关的钓鱼网站
    • 监控员工报告的异常邮件

  3. 账号异常检测

    • 监控VPN/云服务的异常登录
    • 设置异地登录告警

0x03 初始访问阶段防御

攻击手法分析

常见初始访问方式:

  • 利用公开应用漏洞
  • 钓鱼邮件/网站
  • 利用信任关系(如供应链攻击)
  • 暴力破解

防御检测方法

  1. 漏洞利用检测

    • 监控常见漏洞利用尝试(如Log4j、Struts2等)
    • 分析异常HTTP请求参数

  2. 钓鱼防御

    • 邮件网关过滤可疑邮件
    • 检测恶意附件和链接
    • 员工安全意识培训

  3. 暴力破解防护

    • 设置登录失败阈值
    • 启用多因素认证
    • 监控异常认证行为

0x04 综合防御策略

  1. 日志集中收集与分析

    • 确保所有安全设备日志集中存储
    • 建立SIEM系统进行关联分析

  2. 威胁情报应用

    • 订阅高质量威胁情报源
    • 及时更新IOC(入侵指标)

  3. 自动化响应

    • 针对高置信度攻击实现自动阻断
    • 建立标准化应急响应流程

  4. 持续监控

    • 7×24小时安全监控
    • 定期演练应急响应能力

0x05 总结

优秀蓝队需要:

  1. 深入理解攻击者TTPs(战术、技术和程序)
  2. 建立多维度检测机制
  3. 实现快速响应和阻断能力
  4. 持续优化防御策略

通过系统化的防御部署和精细化的攻击检测,蓝队可以在攻防演练中有效抵御攻击,证明自身防御价值。

如何做好一名优秀的蓝队(外网篇) - 攻防演练指南 0x00 前言 攻防演练是检验网络安全防御能力的重要活动,蓝队作为防守方,其价值需要通过有效识别和抵御攻击来体现。本文基于ATT&CK模型,重点分析侦查、资源开发和初始访问三个攻击阶段,提供详细的防御策略和攻击指纹识别方法,帮助蓝队在海量告警中精准定位真实攻击。 0x01 侦查阶段防御 攻击手法分析 攻击者在侦查阶段通常采用主动+被动方式收集目标信息: 主动采集:通过工具扫描子域名、指纹、供应链等信息 被动采集:利用公开信息源获取目标资产 防御检测方法 1. 时间维度分析 分析指标 : 1.1 短时间同一站点同一IP大批量访问 1.2 短时间不同站点同一IP大批量访问 实施方法 : 汇总态势感知、WAF、负载均衡等设备的告警日志 使用Excel等工具进行统计分析 重点关注短时间内高频访问行为 2. 指纹维度分析 针对攻击者使用代理池的情况: 查询威胁情报系统 检查IP信誉度 分析请求特征(如User-Agent、请求参数等) 3. 场景维度分析 异常流量识别 : 对比日常访问模式 关注不合理的请求序列(如只请求HTML不加载JS/CSS) 检查非正常业务时间的访问行为 关联分析 : 将多个低风险事件关联为高风险组合 建立行为基线,识别偏离基线的活动 0x02 资源开发阶段防御 攻击手法分析 攻击者在此阶段可能: 注册相似域名 部署钓鱼网站 获取VPN/云服务账号 开发定制工具 防御检测方法 域名监控 : 监控与公司域名相似的注册行为 使用域名监控服务(如DNSTwist) 钓鱼检测 : 定期搜索公司相关的钓鱼网站 监控员工报告的异常邮件 账号异常检测 : 监控VPN/云服务的异常登录 设置异地登录告警 0x03 初始访问阶段防御 攻击手法分析 常见初始访问方式: 利用公开应用漏洞 钓鱼邮件/网站 利用信任关系(如供应链攻击) 暴力破解 防御检测方法 漏洞利用检测 : 监控常见漏洞利用尝试(如Log4j、Struts2等) 分析异常HTTP请求参数 钓鱼防御 : 邮件网关过滤可疑邮件 检测恶意附件和链接 员工安全意识培训 暴力破解防护 : 设置登录失败阈值 启用多因素认证 监控异常认证行为 0x04 综合防御策略 日志集中收集与分析 : 确保所有安全设备日志集中存储 建立SIEM系统进行关联分析 威胁情报应用 : 订阅高质量威胁情报源 及时更新IOC(入侵指标) 自动化响应 : 针对高置信度攻击实现自动阻断 建立标准化应急响应流程 持续监控 : 7×24小时安全监控 定期演练应急响应能力 0x05 总结 优秀蓝队需要: 深入理解攻击者TTPs(战术、技术和程序) 建立多维度检测机制 实现快速响应和阻断能力 持续优化防御策略 通过系统化的防御部署和精细化的攻击检测,蓝队可以在攻防演练中有效抵御攻击,证明自身防御价值。