一、网络安全攻防演练(蓝军防御)概述
1. 攻防演练背景与目标
在数字化转型背景下,政企机构面临APT 攻击、勒索病毒、供应链攻击等复杂威胁。网络安全攻防演练作为检验防御能力的 “实战场”,核心目标是:
- 构建覆盖 “监测 – 分析 – 处置 – 溯源” 的全流程防御体系;
- 识别红队(攻击方)渗透手段,阻断攻击链条;
- 积累实战经验,迭代安全策略与技术工具链。
2. 蓝军角色定位
蓝军作为防守方,需整合技术、流程与团队,实现 “主动防御 + 动态响应”:
- 资产防护:梳理关键资产,分级保护;
- 威胁监测:通过流量、日志、情报发现攻击;
- 攻击分析:还原攻击路径,识别 TTPs(战术、技术、流程);
- 应急处置:快速隔离、抑制、修复安全事件;
- 溯源反制:追踪攻击源,演练环境内实施反制;
- 演练复盘:总结经验,优化防御体系。
二、演练前准备阶段(防御基础构建)
“准备阶段是防御的基石”,需完成资产测绘、防御体系建设、人员资源筹备。
1. 资产测绘与梳理
(1)网络资产普查
- 工具与方法:
- 主动扫描:
Nmap端口扫描(nmap -sV -p- 192.168.0.0/24)、Nessus漏洞扫描,识别资产与漏洞; - 被动发现:流量镜像(NetFlow)、DNS 日志解析,发现隐性资产(如物联网设备);
- 人工核查:访谈运维团队,补充自研系统信息。
- 主动扫描:
- 资产分类:核心业务系统、网络设备、终端、数据资产,建立《资产清单》,记录 IP、责任人、安全配置等。
(2)资产风险评估
- 风险量化:采用
CVSS v3.1评估漏洞风险,结合业务影响度(核心系统漏洞权重 ×2),计算风险值(Risk = 漏洞利用难度 × 业务影响度)。 - 输出风险清单:如电商支付系统的 Log4j 漏洞(CVSS 9.0 + 核心业务)→“极高风险”;测试服务器 PHP 漏洞(CVSS 6.5 + 低影响)→“中风险”。
2. 防御体系建设
(1)边界防护加固
- 防火墙策略:遵循 “最小权限”,关闭非必要端口(如生产网关闭 3389/RDP、445/SMB);配置 ACL,仅允许业务 IP 通信。
- IPS/IDS:旁挂核心交换机,检测端口扫描、DDoS、漏洞利用(如永恒之蓝特征);配置告警规则。
- WAF:开启 SQL 注入、XSS 拦截;自定义策略(如 /admin 目录仅允许内网 POST 请求);定期更新特征库。
(2)内部防护深化
- 终端安全(EDR):部署
奇安信天擎/微步XDR,监控进程行为、文件完整性;禁止未授权脚本(如 PowerShell 无文件攻击)。 - APT 检测:部署沙箱(如深信服 APT)分析邮件 / 文件;建立内部情报平台,关联终端与网络数据。
(3)监测体系(SIEM)搭建
- 日志收集:通过
Syslog/Winlogbeat收集防火墙、服务器、终端日志,归一化处理(统一时间戳、字段)。 - 关联规则:基础规则(如 “5 次 RDP 登录失败→告警”)、高级规则(如 “Web 服务器外发 DNS 请求 + 可疑文件→C2 通信”);接入威胁情报(如 FireEye),匹配攻击 IP / 域名 / 哈希。
(4)应急响应预案制定
- 场景覆盖:Webshell、勒索病毒、域渗透、钓鱼攻击等。如 “Webshell 预案”:隔离服务器→定位文件→清除→验证漏洞。
- 分级响应:一级(核心业务中断,10 分钟启动)、二级(数据泄露风险,30 分钟分析)、三级(攻击尝试,1 小时分析)。
3. 人员与资源准备
(1)团队分工与培训
- 分工:监测组(7×24 监控告警)、分析组(还原攻击链)、处置组(隔离 / 修复)、溯源组(追踪攻击源)。
- 培训:红队工具(Mimikatz、Cobalt Strike)、漏洞利用(Log4j、ProxyLogon)、溯源技巧(Whois 反查、流量追踪)。
(2)模拟攻击预演(内部红队测试)
- 场景:钓鱼邮件→终端失陷→内网横向移动→域控攻陷。红队发送宏病毒邮件,渗透内网测试防御。
- 检验点:邮件网关是否拦截?EDR 是否检测宏病毒?内网流量是否发现 SMB 扫描?
- 整改:修复邮件网关特征库、EDR 进程监控策略等漏洞。
三、演练中防御阶段(实时攻防对抗)
演练期间需实时应对红队攻击,分监测预警、攻击分析、应急处置、溯源反制四环节。
1. 威胁监测与预警
(1)流量监测(网络层)
- 全流量分析:部署
科来网络分析系统,捕捉异常:- 端口扫描:短时间多端口 SYN 请求(nmap -sS 特征);
- DDoS:某 IP 海量 HTTP 请求占带宽 80%;
- C2 通信:受害主机向境外 IP 发加密流量(如 Cobalt Strike Beacon 周期 60 秒的 GET 请求)。
- NetFlow 分析:统计 IP 会话数,如服务器突发向 10 个新 IP 发 DNS 请求→可能 DNS 隧道渗出。
(2)日志分析(应用 / 系统层)
- 系统日志:Windows 4625 事件(登录失败)集中→暴力破解;Linux auth.log 中 “sshd: Failed password”→SSH 爆破。
- 应用日志:Web access.log 含 “?id=1′ OR 1=1–”→SQL 注入;Java 日志 “Deserialization error”→反序列化漏洞。
- SIEM 关联:规则 “SQL 注入特征 + 10 分钟 50 次异常请求→高危告警”。
(3)威胁情报联动
订阅微步在线X情报社区,SIEM 自动匹配流量 IP / 域名 / 哈希。如红队 C2 IP 在情报库标记为 “恶意”,立即阻断。
2. 攻击识别与分析(分场景)
场景 1:Web 渗透攻击(SQL 注入、XSS、文件上传)
- 监测:WAF 拦截 “UNION SELECT”,Web 日志含异常参数(如 id=1%27)。
- 分析:红队用 SQLMap(含 “sqlmap_token”)或手动 payload;若 WAF 失效,可能获取数据库权限。
- 处置:
- 网络隔离:防火墙封禁攻击 IP;
- WAF 策略:添加规则拦截特征请求;
- 漏洞修复:代码改为预处理语句(PDO);
- 验证:SQLMap 复扫确认修复。
场景 2:内网横向移动(SMB 攻击、域渗透、RDP 爆破)
- 监测:内网流量含 445 端口 SMB 请求(永恒之蓝扫描);SIEM 告警域控 4776 事件(登录失败 10 次)。
- 分析:红队用 Metasploit 永恒之蓝模块 + Mimikatz 抓哈希;路径:终端→服务器→域控。
- 处置:
- 终端隔离:EDR 断网 + 终止可疑进程;
- 域账户锁定:重置密码,关闭 445 端口外网访问;
- 补丁:批量安装 MS17-010;
- 流量阻断:ACL 禁止非信任 IP 访问域控 389/636 端口。
场景 3:勒索病毒攻击
- 监测:EDR 检测文件扩展名批量变化(如.doc→.xxx);系统日志显示 VSS 被删除。
- 分析:红队通过钓鱼 / Exchange 漏洞(ProxyLogon)投毒;Conti 家族用 RSA+AES 加密,生成勒索信。
- 处置:
- 网络隔离:VLAN 隔离感染终端;
- C2 阻断:防火墙 DNS 策略拦截勒索域名;
- 数据恢复:Veeam 恢复核心数据;
- 漏洞修复:Exchange 安装 SUPE 更新,关闭 OWA 未授权访问。
场景 4:鱼叉式钓鱼攻击
- 监测:邮件网关拦截伪造 HR 邮件(附件 “工资条.xls” 含宏病毒);EDR 发现 PowerShell 执行 base64 编码脚本。
- 分析:红队伪装 HR 诱导点击;宏病毒触发后下载 Empire 木马。
- 处置:
- 邮件拦截:网关规则拦截相似域名邮件;
- 终端清除:EDR 终止 PowerShell,删除恶意脚本;
- 用户教育:实时警告 + 后续钓鱼测试;
- 防御加固:邮件网关更新宏病毒特征。
3. 应急处置流程(标准化操作)
(1)事件分级与响应
- 一级(核心业务中断):5 分钟通知组长,10 分钟分析组到场,断网隔离;
- 二级(数据泄露风险):30 分钟隔离,2 小时处置;
- 三级(攻击尝试):1 小时分析,封禁 IP。
(2)处置四步骤:隔离→抑制→修复→验证
- 隔离:防火墙阻断攻击 IP(
iptables -A INPUT -s 123.45.67.89 -j DROP);EDR 冻结感染终端。 - 抑制:终止 Cobalt Strike 进程;删除 webshell(
find /var/www -name "shell.php");关闭 3389 端口(netsh advfirewall block TCP 3389)。 - 修复:批量打补丁(WSUS/Ansible);加固弱密码(域账户≥12 位复杂密码);修复文件上传漏洞(限制类型 + 检查文件头)。
- 验证:POC 复现漏洞,内部红队模拟攻击确认防御生效。
4. 攻击溯源与反制
(1)溯源数据收集
- 网络层:攻击源 IP、C2 域名、pcap 流量包;
- 主机层:恶意文件哈希(
md5sum malware.exe)、进程时间线(Windows 4688 事件); - 应用层:Webshell 日志、钓鱼邮件头、域名注册信息。
(2)技术溯源方法
- 网络层:Whois 查询 IP 归属(如阿里云 VPS);CDN 绕过(
nslookup -type=A example.com +short);流量反向追踪(分析 pcap TTL 值)。 - 主机层:Process Explorer 分析进程树(如 notepad.exe 启动 powershell.exe→宏病毒);NTFS 文件时间线(关联恶意文件上传时间);注册表自启动项(
HKEY_CURRENT_USER\Run)。 - 应用层:Webshell 日志还原命令(如
cat /etc/passwd);钓鱼邮件头解析(Received 字段查发送服务器);域名注册商信息(GoDaddy 查注册人)。
(3)溯源报告与反制
- 报告:输出《攻击溯源分析报告》,含攻击路径、TTPs、防御建议。
- 反制:演练环境内部署蜜罐(Thinkst Canary)诱导红队;防火墙封禁红队 VPS IP;投送虚假信息干扰攻击。
四、演练后复盘阶段
复盘是防御体系迭代的关键,需评估效果、分析不足、优化体系。
1. 防御效果评估
- 攻击统计:红队成功渗透资产数(如核心系统是否沦陷);
- 防御案例:阻断攻击次数(WAF 拦截 SQL 注入 10 次、EDR 查杀勒索 5 次);
- 漏误报率:SIEM 漏报(真实攻击未检测)、误报(正常操作触发)比例。
2. 漏洞与不足分析
- 漏检攻击向量:如红队无文件攻击(PowerShell 内存加载)→EDR 未识别;
- 处置延迟:webshell 清除耗时 2 小时→运维对自研系统权限不熟悉;
- 工具缺陷:SIEM 未集成邮件网关日志→钓鱼攻击监测滞后。
3. 防御体系优化
- 规则更新:SIEM 添加 “PowerShell 内存加载” 规则;WAF 更新 SQL 注入变种特征;
- 预案完善:补充 “无文件攻击处置流程”,明确 EDR 内存扫描步骤;
- 培训强化:开展 “内网横向移动防御” 培训,讲解域渗透工具检测。
五、蓝军防御流程矩阵(可视化)
| 阶段 | 子阶段 | 核心任务 | 工具 / 方法示例 | 输出文档 / 成果 |
|---|---|---|---|---|
| 演练前准备 | 资产测绘 | 资产普查、风险评估 | Nmap、Nessus、CVSS 评分 | 《资产清单》《风险评估报告》 |
| 防御体系建设 | 边界 / 内部防护、SIEM 搭建、预案制定 | 防火墙、EDR、SIEM 平台 | 《防御体系架构图》《应急预案》 | |
| 人员与资源 | 团队分工、模拟预演 | 内部红队攻击测试 | 《团队分工表》《预演报告》 | |
| 演练中防御 | 威胁监测 | 流量监测、日志分析、情报联动 | 全流量系统、SIEM、威胁情报平台 | 《实时告警日志》 |
| 攻击分析 | 场景识别、TTPs 分析 | Kill Chain、ATT&CK 矩阵 | 《攻击分析报告》 | |
| 应急处置 | 隔离、抑制、修复、验证 | 防火墙、EDR、补丁工具 | 《处置操作记录》 | |
| 溯源反制 | 数据收集、技术溯源、报告输出、模拟反制 | Whois、Process Explorer、蜜罐 | 《溯源分析报告》 | |
| 演练后复盘 | 效果评估 | 攻击统计、防御案例、漏误报分析 | 统计工具、漏报矩阵 | 《防御效果评估报告》 |
| 不足分析 | 攻击向量漏检、处置延迟、工具缺陷 | 5Why 根因分析 | 《不足分析报告》 | |
| 体系优化 | 规则更新、预案完善、培训强化 | 规则编辑器、培训课件 | 《优化方案》 |
结语
蓝军防御是贯穿 “准备 – 防御 – 复盘” 的系统工程,需融合技术、流程与团队。通过实战演练,蓝军可构建 “检测精准、处置高效、溯源深入” 的动态防御能力,应对复杂威胁。未来需持续迭代,向 “主动免疫” 进化。
© 版权声明
THE END
暂无评论内容