如何开展护网行动

一、攻击队(蓝队)分类

  • 军火商级:掌握0day漏洞、具备编写工具的能力。甚至有vpn的漏洞。攻击特点:直接攻击,如导弹、大炮一般,攻击猛烈,效果极强。
  • 间谍级:长期APT钓鲸攻击,打入红队内部,通过木马控制重要用户终端,从而控制目标服务器。与系统管理员同工同息,极难被发现。
  • 摊贩级:使用攻击工具,利用已有漏洞进行攻击,打击效果一般。

二、攻防队伍对比

600人组成的蓝方,红方需12万人参与防御。

  • 得分标准:
  • 蓝队:获取权限、穿透网络隔离、发现被控线索。
  • 红队:发现木马、钓鱼邮件、溯源、应急处置。

三、红方攻略

  • 收敛攻击面
  • 漏洞补丁修补
  • 建立纵深防御体系
  • 安全设备冗余、多重已构
  • 部署高交互蜜罐
  • 回溯分析

四、重点防御

  • APT攻击
  • 零日漏洞
  • 违规外联

五、体现的问题

弱密码,密码复用。
VPN,邮箱系统0day漏洞。
域控、堡垒机、云平台、杀毒后台。
主机普遍零防御。
非法外联。
第三方接入。
供应链安全。
手机app安全。

六、防御措施

DMZ区防护:白名单防0day。
隔离
集权类设备:关键人识别APT攻击。
威胁情报共享、集体防御。
非法外联监控。

上一篇:【转载】2019护网结束,复盘攻防,聊聊安全!


下一篇:windchill 如何给一个新对象配置版本序列