FreeBuf作者群讨论：从攻防演练看网络安全新态势

近年来，攻防演练越来越受到企业安全团队的重视，通过演练的形式快速找到企业防御能力的缺陷和防守视角的缺失，以此提升网络安全能力和实战对抗能力。

本期话题围绕但不限于以下三个维度展开：

1.红蓝军对抗过程中，声东击西、浑水摸鱼、李代桃僵等“计谋”层出不穷，你了解哪些攻防新策略？

2.工欲善其事必先利其器，在攻防演练中，有哪些值得关注的实战工具/设备？

3.都说人是网络安全中最薄弱的环节，你如何看待攻防演练中“人”的作用？

如果你有自己独特的观点，欢迎在评论区积极参与互动，我们将为点赞数前三名的小伙伴赠送FreeBuf定制周边礼品~此外，欢迎大家下拉至文末申请加入作者群，参与群内讨论噢~

活动时间：即日起至3月14日 18：00

精彩观点汇总

你了解哪些攻防新策略？

@艾登——皮尔斯

员工的意识提升是一个硬伤，你和员工说不要点开来历不明的文件，他一样会在强大的好奇心的驱使下点开，建议是多对自家员工进行“钓鱼攻击”被钓鱼一次扣100

@D0ct0r：为什么员工要为钓鱼邮件兜底……

@七先生：是的，企业自己也要主要钓鱼邮件的过滤

@艾登——皮尔斯：XX集团XX部门关于2021第三季度薪资调整详情.doc，一堆人打开

@D0ct0r：做企业安全先想想自己凭什么，一个不能彻底解决钓鱼邮件的安全团队那就是自己的无能

@柠檬菠萝：对啊，解决问题和隐患。不是解决提出问题的人

@D0ct0r：把自己想要的思想强加到企业上更是无能的体现，钓鱼邮件内容检测的过滤是一套完善的处理流程和技术兜底的方案

@Pannet：我之前看到一个，以禁止办公室恋情为由的

@艾登——皮尔斯：这个是利用员工八卦的心理，想看看是哪个员工

@free

这个话题好，我也说说我的看法，先说演练本身，我觉得这个活动就像一个照妖镜，所有参演单位的安全措施如何、防护水平如何、监控水平如何，来上一次基本就可以评估出来了，随着这个活动的成熟，红队体系化的策略也越来越凸显，红队能力总体提升，但是蓝队缺越来越感觉变味了，去年也思考过这个问题，就是演练临时组建的草台班子，在演练中能起多大作用？尤其里面还有大量的“新人”，最近一直在招人，好多新人没有任何工作经验，缺可以去演练，还遇到过有案底的也去参加演练。（这样的攻防演练本身是否本身就存在问题？）还有这样的攻防演练团队对交付成果、交付方式又有什么样的变革和技术更新？如果还是传统的WAF、IPS等安全设备告警日志监控，效果具体能做到什么程度？这里表示质疑一下?

有哪些值得关注的实战工具/设备？

@huoji120

反正我是不信任工具的，只是拿工具做辅助，所谓实战工具，最多辅助，拿来当万能药都是不能发挥工具作用的

@七先生

现在好多防守单位，蜜罐都立了奇功，通过蜜罐获取到了许多攻击方的指纹和ip，躺着就能写防守报告加分。然后这个也要注意蜜罐的选择和部署，好多防守单位也因为xx蜜罐的逃逸漏洞被打穿了。

我们团队现在在自主开发的溯源反制平台，就是通过接口把安全设备上多次出现的攻击IP，拉过来进行端口、目录和弱口令的爆破，一般攻击者都是部署在公有云上，所以，默认没有waf进行阻断，扫起来很流畅，运气可以直接就是拿下服务器定位到攻击者的真实IP

其实这是个概率的问题，如果我们反制的成功率是1%，那么我们反制100次基本就能成功一次，溯源反制平台帮你完成这100次，让你躺着拿分

之前有队伍把cs马进行逆向分析，找到了别人电脑的用户名

现在已经有类似的了，就是故意打你，同时故意给你漏洞，然后你去反制利用的时候你就中招了

@free

再来说说演练的工具：这两年演练专项工作里蜜罐几乎成了最热门的工具无论是正面的（起到了作用且溯源到了攻击者），还是反面的（被人通过蜜罐打进去的），反正蜜罐是传统措施里面最热门的了。

但是现在蜜罐检测和反检测措施技术在不断研究，这两年的动态可以看出来，第一年红队没有防备，很多蜜罐出现了红队大佬的身影，但是第二年，活动结束的前夕红队大佬扔出了各种蜜罐的指纹，然后又有了浏览器插件等等，前几天还用了一个插件，识别了一下，目前识别的准确率还挺高。

然后这里留下一个问题（红队大佬的不会欺骗蜜罐，目的就是为了增加蓝队的工作量？），说这么多其实就是想说攻防演练本身是一个综合防御方案的检测升级，别把这种活动搞成了蜜罐对抗。（说的不对大佬勿喷）

@柠檬菠萝

正确的理解等保标准，严格实施等保标准。正确的防御体系分层，人员安全意识提升。

如果说用什么设备能一劳永逸，那还需要攻防演练干嘛，国家推行设备不好么？在攻防演练中为了得分而攻击，攻防演练目的难道不是国家安全层次还是一起内卷？

其他观点

@D0ct0r

其实漏洞能直接打进来的真的很少，甚至可以说是没有，找不到人都是内控做的不到位

@Doraemon

红队策略体系化如何体现

@free：一开始的时候，红队需要好几天才能进入到，正式的入侵阶段，然而现在好的红队，几乎当天就可以开始发起实质性的攻击。这个就是变化

@柠檬菠萝：是啊，自动化太高了

@D0ct0r

防御成本比攻击成本高太多，不然大厂就不会专门做内控了。安全攻防，防最重要的不是被动，防御而是及时发现所以监控能力要加大，但是监控又得技术能力兜底，从员工终端到系统区域层层把覆盖率拉升，这块难度主要是涉及下面网络专线入侵的不可控，所以要把监控覆盖到下面的单位

@艾登——皮尔斯：领导：你在我电脑安装监控，是不是能看到我电脑屏幕

@CyAnogeN：有个更好笑的，和你相似，发现有个IP，其实是集群，一个是红队踩点，设备没发现，换班前我偷看其他单位的监控看见的，我说数字公司踩点，不上报，那个女生说了句：不是啊，是数字公司的，肯定正规啊。惊死我一年

@D0ct0r：监控不需要，需要的是日志行为，注册表篡改、进程注入、登录操作都会有日志生成

@艾登——皮尔斯：领导：这个”监控” 是什么意思，不是看我屏幕吗？？

@D0ct0r：当然不是

@艾登——皮尔斯：领导：你不要偷看我哦

@CyAnogeN：我遇到的，安全应急也好什么的，感觉领导还是挺配合。说明情况就好

@D0ct0r：实现起来很麻烦的，这种工程量级只有在互联网公司才能实现。防是防不住的，如果能把监控风控能力提上去

@CyAnogeN：监控风控上去还要人员有意识，然后有意识有经验能力，最后最主要也是最重要的是那个人要好好说话。其实好好说话就好了，沟通好，哪里有异常，哪里被攻破

@艾登——皮尔斯：领导：我花钱请你们，你们竟然还被攻破了

@D0ct0r：有些安全总监前期会注重设备防护，做到中期基本上就是搞数字化自研了

@CyAnogeN：之前看大佬说，建立日常业务识别，业务流量外全部byebye

@D0ct0r：先做分布式WAF然后完成上线再把商业WAF替换掉

@free：这个是个特别棒的方式但是有点困难