观仔唠唠嗑：看我如何在红蓝演练中习得化解之法 – 作者:观安信息

信息安全圈的小伙伴们，你们是不是和我一样，每年都有那么一段时间因为一件事情忙到飞起？

一件事？不、不、不! N件事好嘛？

信安圈的其他小伙伴们表示：

想必大家也都能猜到观仔说的是什么……

没错，就是一年一度的红蓝攻防演练！

最近几年，红蓝演练已变成信息安全行业的热点话题，并且有体系化、常态化、实战化发展的趋势。虽说每次投身演练都让参与的各位同仁变得十分忙碌和疲惫，但是演练本身所带来的价值却是不言而喻的。每一次的红蓝演练都是对参与的各个企事业单位重要信息基础建设安全防范实力的验证，能够帮助信息安全应急管理团队提升解决问题的能力、健全应急管理工作流程和工作方案，从而提高各企事业单位安全事故应急管理的综合实力。

在此背景之下，红蓝演练渐渐成为当下主流的操练手段之一。蓝队如何更快、更好、更强的抵御红队攻击，就成了各个参与单位的首要目标。

我们可以将红蓝演练看作为一次次的现代战事，作为英勇的战士，要获取最终的胜利除了对抗的决心和勇气外，还需要有对攻守双方状况的全面了解，正所谓知己知彼百战不殆。

01 知彼

蓝队——要做到真正防守红队的攻击，就要站在红队的视角，深入理解红队思维，才能更好地抵御各种突如其来的攻击。那么，假设我是红队成员，我眼中蓝队的防守弱点有哪些呢？

1.资产管理混乱、隔离策略不严

很多企业的资产管理情况比较混乱，没有设置严格的访问控制策略，且办公网和互联网之间大部分可以实现互通，人员可以直接使用远程控制程序上线办公网络。即使在安全系统和非安全系统之间设置了作为缓冲的隔离区（DMZ区），隔离区和办公网之间的隔离也做的不是很严密，存在网络区域划分不严格的问题，这些现状都给了红队很多可乘之机。

对于存在上下级访问的企业单位，很多上下级单位间的业务网和各自的办公网都可以互通，缺少必要的分区隔离，红队往往可以轻易地实施从子公司入侵母公司、从一个部门入侵其他部门的网络入侵策略。

2.中间件、邮件系统漏洞可利用

在企业的各种系统中，像Weblogic、Websphere、Tomcat、Apache、Nginx、IIS等中间件都常有使用。其中Weblogic应用比较广泛，但因存在反序列化漏洞，常常被作为打点和内网渗透的突破点。

同时，基本上所有企业都有对外开放的邮件系统，因此可以针对邮件系统漏洞，譬如跨站漏洞、XXE漏洞来针对性开展攻击，也可以通过钓鱼邮件或鱼叉邮件攻击来开展社工工作。

3.边界设备可成为进入内网的突破口

从边界设备来看，企业都会搭建外皮恩设备，同理可以利用外皮恩设备的漏洞开展攻击，例如：SQL注入、加账号、远程命令执行等。也可以采取钓鱼、爆破、弱口令等方式来取得账号权限，绕过外网打点环节，直接接入内网实施横向渗透。

4.内网管理设备可成为扩大战果的工具

从内网系统和防护设备来看，大部分企业都有OA办公、堡垒机、自动化运维、虚拟化、邮件系统和域环境，虽然它们起初是作为安全防护的集中管理设备建设的，但常常由于缺乏定期的维护升级而产生可利用的漏洞，因此可以利用它们权限集中管理的特点作为开展攻击前扩大权限的手段。

5.弱口令可以被利用来获得权限

一种高效获取权限的方法一直都是红队关注的重点，那就是巧妙利用弱密码、默认密码、通用密码和已泄露密码，且这种方法在实际获取权限的工组中成功率极高。这依赖于目前很多人或系统对密码设置的重视程度较低，不管是用类似xiaoming、xiaoming001、xiaoming888这种账号拼音或其简单变形，或者123456、666666、生日、证件后6位、手机号后6位等做密码,都很容易被破解。只要将类似信息收集并生成简单的密码字典进行枚举即可攻陷邮箱、OA等账号，并进行下一步攻击。

02 知己

在这场没有硝烟的战争中，我们已经试图去了解“敌人”的情况，但同时不要忘记好好的审视自己，对自己的实际状况进行梳理并确保了然于心，只有清楚了解自身面临的问题，才能对症下药。那么作为蓝方的企事业单位所面对的网络安全压力又有哪些呢？

一些企事业单位在日常的安全防护工作中就存在着很多的问题，归纳起来大致如下：

※ 没有开展对网络安全防护的基础工作，各方面缺少相应的技术保障措施，导致自身防护能力一直欠缺；

※ 日常安全运维工作不到位，事件处理流程紊乱，各部门人员配合难度大。

以上这些问题导致技术上攻击行为不能被及时监测发现，攻击者来去自由，即便安全运维人员好不容易发现了入侵行为，也往往会因资产归属不清、人员配合不及时等因素，造成处置工作进度缓慢，无法及时解决安全问题。薄弱的防护体系在日常工作时期已经给了攻击者大量的可乘之机，在红蓝演练中的结果往往是目标系统被轻而易举地攻陷。

03 化解

知己知彼之后就是运用实战经验和技术积累给出化解之法，作为蓝队首先要对我方的安全风险做到了然于心，能够实时掌握内外部风险。其次，在已知情况下，能够给出安全防护策略，主动发现安全问题。最后，能够给出标准化的安全运营流程，并遵循标准流程去快速处理已知的攻击事件。面对互联网中各式各样的网络攻击，结合在红蓝演练中有效的防护经验，借用下面这句话用作总结十分贴切：“态势感知，精准定位，运筹帷幄，决胜千里”。

目标已经明确，那么如何落实呢？

想要实现上述目标，还要从基础工作做起，首先需要有效对接企业中的各类网络检测与防护设备日志、全流量网络监控、主机日志、业务日志等，切实掌握全面的原始数据才能真正了解企业自身风险特征。在此基础上，不断根据自身安全需求优化安全分析场景，构建坚实可靠的网络安全体系。防护在于“防”也在于“护”，提前做好安全保护体系能够良好实现“防”；面对已经发生的安全事件，利用自动化响应实现安全事件的高效闭环，才能更好的实现“护”。下面是观仔根据大多企事业单位的实战情况提出的“三优化、两建设”，提供了具体的解决手段。

1.优化日志质量

※ 设备信息补全：对于采集日志的设备，进行静态补全，标识所属网络中的区域和所属厂商名称。

※ 资产信息补全：收集企业内部资产清单 ，基于IP地址对应的所属人员、资产名称、所属区域等信息。

※ 日志类型补全：对日志类型进行静态补全，比如防火墙日志：logtype = fw, vendor = 思科，也可以通过资产信息补全现实日志类型补全。

※ 攻击状态确认：对于攻击类型的日志需要标记出是否已经阻断或者未阻断。

※ 状态信息替换：根据设备厂商提供的日志描述 ，对日志中的状态ID码进行转换，例如：“1”表示攻击失败、“2”表示攻击成功。

2.优化日志量

※ 精准解析：对日志进行精准解析，对无意义的日志不做解析。

※ 过滤白名单：建议白名单落在安全设备上，从而减轻汇总后的日志量。

※ 比对日志：查看设备日志类型，不建议发送info级别的日志。

※ 过滤字段：对于不必要的日志，可以根据某一个字段进行过滤不入库。

※ 静态补全提取器：完成提取器中的解析后 ，对提取器名称进行静态补全，以便日志的全文检索

3.优化安全场景配置

※ 在配置场景前应先去了解和绘制企业安全网络拓扑架构，从而更精准的配置场景，以便进行详细的告警分析。

※ 根据绘制的安全网络架构图，进一步熟悉和了解业务数据流向。

※ 按照日志类型对日志进行分析，根据分析的结果配置场景。

※ 建议对于场景中的配置名单，名单来自于日常运营。

※ 明确平台中每个名单使用场景。

※ 配置自定义仪表盘，对各类日志配置多维度的top 10。

※ 通过每日、每周对比多维度的TOP 10，对常见的恶意IP进行封堵，或者受害IP进行修复。

※ 安全运营周报，前期以减少误报、漏报和优化告警为目标，后期以安全溯源和攻击路线图为目标。

4.建设闭环的安全运营

※ 通过内部威胁预测、外部威胁情报共享、定期开展暴露资产发现、安全检查等工作，实现攻击预测，提前预防的目的；

※ 通过开展安全策略优化、安全基线评估加固、系统上线安全检查、安全产品运行维护等工作，建立威胁防护能力；

※ 通过全流量风险分析、应用失陷检测、渗透测试、蜜罐诱导等手段，对安全事件能进行持续检测，减少威胁停留时间；

※ 通过开展实战攻防演习、安全事件研判分析、规范安全事件处置流程，对安全事件及时进行控制，降低危害影响，形成快速处置和响应机制。

5.建设基于SOAR的安全检测与响应

※ 根据各类安全告警、安全事件梳理检测与响应流程，降低安全事件处置时间MTTR。

※ 通过自动分析、人工调查、处置执行等多个原子动作，将流程执行数据全量保留，并依据历史执行数据，灵活的调整安全事件处理流程。

※ 根据制定的安全检测与响应，将安全专家的丰富经验固化于剧本当中，从而降低安全运维人员重复繁重的工作压力。

※ 通过制定标准化流程，降低各个部门或小组之间的协同沟通成本。

图：态势感知-SOP界面截图及介绍

04 写在最后

在红蓝演练中，通过对红队攻击思路的掌握和对自身情况的剖析，可以更好地找出蓝队制胜的法门。本质上就是需要在日常工作当中重视安全体系建设和安全运营能力建设，而态势感知平台是可以用于解决以上烦恼的优选方案，通过围绕态势感知系统的网络安全实时检测、深度防护以及实时分析，实现高效处理各种网络安全威胁、攻击行为的目的。

来源：freebuf.com 2021-06-25 14:05:08 by: 观安信息