一、攻击队(蓝队)分类
- 军火商级:掌握0day漏洞、具备编写工具的能力。甚至有vpn的漏洞。攻击特点:直接攻击,如导弹、大炮一般,攻击猛烈,效果极强。
- 间谍级:长期APT钓鲸攻击,打入红队内部,通过木马控制重要用户终端,从而控制目标服务器。与系统管理员同工同息,极难被发现。
- 摊贩级:使用攻击工具,利用已有漏洞进行攻击,打击效果一般。
二、攻防队伍对比
600人组成的蓝方,红方需12万人参与防御。
- 得分标准:
- 蓝队:获取权限、穿透网络隔离、发现被控线索。
- 红队:发现木马、钓鱼邮件、溯源、应急处置。
三、红方攻略
- 收敛攻击面
- 漏洞补丁修补
- 建立纵深防御体系
- 安全设备冗余、多重已构
- 部署高交互蜜罐
- 回溯分析
四、重点防御
- APT攻击
- 零日漏洞
- 违规外联
五、体现的问题
弱密码,密码复用。
VPN,邮箱系统0day漏洞。
域控、堡垒机、云平台、杀毒后台。
主机普遍零防御。
非法外联。
第三方接入。
供应链安全。
手机app安全。
六、防御措施
DMZ区防护:白名单防0day。
隔离
集权类设备:关键人识别APT攻击。
威胁情报共享、集体防御。
非法外联监控。