攻防实战之蓝队视角下的战前准备

孙子兵法中曾讲到“知己知彼，百战不殆”。在攻防实战开始之前，充分了解自身安全状况是防守蓝队在备战前不可或缺的重要一步，从资产梳理、风险排查、安全管理等各方面有序进行，确定公司企业自身的安全防护能力，能够为后续工作提供强有力的支撑。下面就防守蓝队备战前的准备工作进行简要叙述。 

一、资产梳理

随着企业业务的不断膨胀，越来越多的设备、系统等管理混乱，私搭乱建现象较为严重，安全管理分工不明确等问题依然严峻。在攻防实战开始之前防守蓝队有必要进行资产梳理，其目的是为公司企业能够做到“摸清家底”，对自己当前资产做一个详细梳理，以便在攻防实战期间能够坦然应对。

1.1 安全设备资产

安全设备是阻挡红队攻击的重要屏障。对现有安全设备进行有效清点，防守蓝队需明确每台安全设备功能，有效期限，厂家联系人，管理运维人员，设备责任人，运行状态，防护区域，是否需要升级等情况进行有效梳理和检查，并对存在的相关问题及时协商解决。如有条件企业可购进新型安全产品进行部署。

1.2 对外服务资产

对外服务资产是红队密切的关注点。针对对外服务资产进行有效清点，防守蓝队可对现有的web服务进有效分类，明确主机系统类型及版本，web系统功能，系统间关联性，web资产域名，ip地址，端口号，开发框架，中间件类型及版本号，服务器地理方位，使用者、维护者、责任人姓名，联系方式等。

1.3 外包业务资产

外包管理是“刚需”，近年来企业科技外包发展趋势迅猛，外包涉及范围逐渐扩大，已几乎涵盖了培训、要求、设计、实施等生命周期的各个阶段。部分企业由于外包问题所引发的敏感信息泄露层出不穷，外包业务作为攻防实战中的暴露口，必须加以重视。针对外包业务资产业务进行有效清点，公司企业需提前通知攻防实战开始及截至时间，签署责任协议，明确外包联系人、值班安排状况等。

二、风险排查

风险排查在攻防实战之前扮演着举足轻重的角色。全面的风险排查，可以有效的降低实战过程中被红队攻破的可能，在攻与防的竞赛中处于主动状态，进而保证蓝队人员有条不紊的持续进行。

2.1 基础设施风险排查

2.1.1设备功能排查

对公司企业的服务器、审计系统、防火墙、堡垒机、流量检测设备、IPS\IDS等设备功能是否正常运行进行有效排查(厂商审核)，对重要设备有选择性升级，更新特征库。对于安全设备所覆盖范围进行有效排查，尽可能做到无死角全覆盖。有条件的公司也可引进新型的安全设备进行部署。也可采用矩阵监控的方式，以横向和纵向双维度进行匹配排查设备运行状态。

2.1.2 安全漏洞管理

技术漏洞管理通常用于缓解或防止系统中存在技术漏洞的利用问题。通常可包括五个关键步骤：计划漏洞管理、发现已知漏洞、扫描漏洞、记录报告、补丁修复。其中，后四步在攻防实战前的安全排查尤为重要。

图2.1 漏洞管理的步骤

1) 发现已知漏洞，可通过相关监控设备实时对漏洞数据库平台监控(美国国家标准与技术研究所,NIST;国家漏洞数据库，NVDB;)，对与企业资产相关的漏洞有效匹配和补丁核实。

2) 漏洞扫描：除了监控漏洞报告服务之外，企业也可应用扫描工具(绿盟漏扫等) 及时发现软件、系统、网络中的漏洞。为防止扫描产生大量误报的情况，可使用多台扫描工具，进行背靠背扫描。并生成扫描报告。

3) 记录报告：对比扫描报告结果，可按多台扫描工具的重复率、漏洞的危害程度进行有序排列，并与资产信息表进行核实。

4) 补丁修复：将重复率较高且影响较大的高危漏洞优先进行修复。将重复率较低的漏洞与公开数据库和资产清单进行核实，着重修复。

2.1.3 访问权限检查

系统访问是限制授权用户为特定业务目的访问业务应用程序、移动设备、系统和网络的能力。系统访问一般包括三种功能：认证、授权和访问控制。有效的访问限制和权限管理是将攻击者拒之门外的最后1公里。应确保不同角色的用户具有相应的访问权限，删除更改或者离开组织的关联权限。管理员应全面检查系统、数据库、对外服务相关权限设置，以确保最小权限原则，过期的授权应予以删除。

2.1.4 重要信息备份

在大型的红蓝对抗赛中，数据备份是必不可少的重要一步。在攻防实战之前对重要的资产数据、用户信息等进行数据备份，可以有效防止在实战期间红队的不正当操作造成数据库损坏、系统崩溃宕机等导致数据丢失，给公司企业造成不可挽回的经济损失。

2.2 互联网暴露面排查

2.2.1 冗余资产排查

所谓冗余资产主要指公司企业未使用却仍占用系统资源的资产，例如：陈旧的web服务或数据库，公司开放的测试环境等。由于公司的冗余资产往往缺乏人员管理与维护，很多系统漏洞未进行补丁升级，部分测试环境存在弱口令、未完全开发存在的逻辑漏洞等层出不穷，该部分业务非常容易遭红队攻击。对于该类业务在攻防实战之前建议关停。针对关停部分业务以后，对业务剩余存活主机的ip资产、端口开放、服务版本，内网主机ip信息、端口开放、服务版本进行精确梳理；

2.2.2 对外服务排查

公司的对外服务是攻击者最近的接触点，对外服务包括但不限于对外服务网站、微博、公众号、邮件服务系统、api接口等。建议在攻防实战之前对对外服务进行有效梳理和排查，关停或隐藏暴露于公网的后台登陆界面、运营管理界面、设备管理界面等。有条件的公司企业也可统一更换服务网站、微博、公众号、邮件系统等口令信息。

对于大中型企业，资产业务较为繁多，传统的以人工识别为基础方式效率较低而且容易出错。目前常见的资产发现识别手段主要有三种：主动探测、被动流量发现、Agent获取，一般为能够较准识别和梳理可交叉使用以上三种方法：

主动探测，主要基于namp、msscan等探测技术对资产进行有效识别。

被动流量发现，主要指基于流量识别检测正在使用的设备、服务和应用程序，可在公司核心路由部署流量检测设备进行资产发现。

Agent获取，指通过在服务器上部署安装agent对资产进行有效识别。

2.2.3 对外开放端口

在攻防实战之前有效的端口管控是将红队拒之门外的前提条件。对于大中型企业的资产较多，端口管控较为困难，红队通过对端口发起有效入侵是最直接、最有效的途径之一。常见的开放端口服务包括但不限于：ssh、ftp、telnet、snmp、远程桌面、mysql、oracle、postgresql、redis、memcached、hadoop、HBase、mangodb、JAVA RMI等。

对于对外服务系统，建议关闭不必要的端口，例如web服务器可只开放80，443端口，对于数据库等可配置拒绝远程连接操作。其次，可在防火墙上对对外开放的端口进行严格限制。原则上来讲，DMZ服务器只允许开放80、443端口，而且DMZ服务器不允许主动访问外部，访问外部的业务需要一对一访问。为了更加安全，以防红队人员探测到web服务，也可将低位端口改为高位端口，例如80端口可改为50080等。这样可在一定程度上做到避免攻击方的探测。同时，也可通过端口扫描工具对公司企业的对外服务进行集中扫面排查。例如nmap、msscan等。

2.3 账号信息排查

攻防实战之前对账号信息的有效排查是将攻击者拒之门外的最后十英尺。据统计，在以往攻防演练中，百分之99.8的攻击队伍都会应用口令枚举、暴力破解等方式对目标系统发起攻击。而百分之38.9的概率能够被红队攻击成功。所以在攻防实战之前队账号信息的有效排查是非常有必要的。

1) 弱口令 ，伴随信息化的发展，错综的复杂业务交织，人们为了方便记忆总会用一些简单，容易记忆的口令作为自己的登陆密码。攻击者往往会利用这一特点对目标发起口令攻击。公司企业在攻防实战之前对弱口令进行有效排查也是必不可少的关键一步，排查包括但不限于：数据库弱口令、主机弱口令、远程连接弱口令、后台管理弱口令等。

2) 离职人员账号 &僵尸账号 ，检查离职员工账号是否正常删除，以防止离职后的员工直接登陆或者账号密码外流等方式对公司的安全造成严重威胁。所谓僵尸账号是指长时间未曾使用过的账号，排查僵尸账号是否存在一人多号，人号不匹配、人员调离等情况，并对审核后的僵尸账号进行及时处理。

3) 共享账号 ，共享账号指多人共用单一账号，建议对于该类账号进行实名制区分管理，以防止事故发生后，无法溯源与责任追究等情况。

三、安全管理

此处的“安全管理”不同于企业安全架构中的安全管理中心。该处安全管理主要指在攻防实战之前的临时统一管控，保证在红队攻击过程中能够有效应对，各尽其职，有条不紊。其中可以包括员工安全意识培训、建立合理的安全组织架构、建立有效的工作沟通渠道、成立防护工作组、红队渗透测试等。

1) 对全体员工进行信息安全意识和教育培训 ，包括IT员工、IT安全人员、管理人员和其他员工。所有员工都有安全责任、都必须接受适当的安全意识培训。让员工了解不同类型的不恰当行为，例如：邮件钓鱼、人员假冒等。可以有效降低红队攻击人员的社工攻击。

2) 建立合理的安全组织架构 ，结合工作小组的责任和内容，有针对性地制定工作计划、技术方案及工作内容，责任到人、明确到位，按照工作实施计划进行进度和质量把控，确保管理工作落实到位，技术工作有效执行。

3) 建立有效的工作沟通渠道 ，通过安全可信的即时通讯工具建立实战工作指挥群，及时发布工作通知，群内签到，共享信息数据，了解工作情况，实现快速、有效的工作沟通和信息传递。

4) 成立防护工作组 ，开展并落实技术检查、整改和安全监测、预警、分析、验证和处置等运营工作，例如：安全监测小组、安全处置小组、安全应急小组、安全保障小组、指挥中心等。用以完善安全监测、预警和分析措施，完善的安全事件应急处置和可落地的流程机制，提高事件的处置效率。其中，全流量安全威胁检测分析系统是防护工作的重要关键节点，并以此为核心，有效地开展相关防护工作。

5)    红队渗透测试， 任何公司企业不可能做到百分百安全，为了检验公司的安全防护能力。公司可组织红队人员安全检测评估。以红队攻击报告为参考，对疏漏的安全问题及时进行修复。

四、相关参考

[1] 奇安信： 《实战攻防演练之蓝队视角下的防御体系构建》

[2] 聂军：《企业安全建设指南》

[3] 威廉·斯托林斯：《EFFECTIVE CYBERSECURITY》

*本文作者：吴涛  唐洪玉 张鉴@中国电信安全帮，转载请注明来自FreeBuf.COM