攻防演练中的防守基石——全方位监控

近两年的攻防演练中，攻击队的手段越来越隐蔽，越来越单刀直入，通过 0day、Nday 直指系统漏洞，直接获得系统控制权限。蓝队需要掌握完整的系统隔离手段，因为被成功攻击到内网之后，会对内网进行横向渗透，这时系统之间的隔离显得尤为重要。

防守方必须清楚哪些系统之间有关联，访问控制策略是什么。在发生攻击事件后，应当立即评估受害系统范围和关联的其他系统，并及时做出应对的访问控制策略，以防止内部持续的横向渗透。

任何攻击都会留下痕迹。攻击队会尽量隐藏痕迹，防止被发现；而防守者与之相对，需要尽早发现攻击痕迹，并通过分析攻击痕迹调整防守策略、溯源攻击路径，甚至对可疑攻击源进行反制。所以建立全方位的安全监控体系是防守队最有力的武器。有效的安全监控体系应包含如下六方面内容。

一、封锁策略自动化

在整个攻防演练的过程中，如果防守方成员 7×24 小时不间断地从安全设备的告警中识别风险，将极大消耗监测人员和处置人员的精力。通过部署态势感知系统与安全设备联动规则，收取全网安全设备的告警信息，在态势感知系统收到安全告警信息后，根据预设规则自动下达边界封禁策略，使封禁设备能够做出及时有效的阻断和拦截，从而大大降低人工的参与度，提高防守效率。

二、网络监控全流量

任何攻击都要通过网络，并且会产生网络流量。攻击数据和正常数据肯定是不同的，通过监控全网络流量以捕获攻击行为是目前最有效的安全监控方式。通过全流量回溯设备，结合安全人员的分析，可快速发现攻击行为，并做出针对性防守动作。一旦被攻破，也可以溯源取证，为防守队加分。

三、主机监控为重点

任何攻击的最终目标都是获取主机（服务器或终端）权限。通过部署合理的主机安全软件，审计命令执行过程，监控文件创建进程，及时发现恶意代码或 Webshell，并结合网络全流量监控措施，可以更清晰、准确、快速地找到被攻击的真实目标主机。

四、日志监控尽完善

对系统和软件的日志监控同样必不可少。日志监控是帮助防守队分析攻击路径的一种有效手段。攻击队攻击成功后，打扫战场的首要任务就是删除日志或者切断主机日志的外发，以防止防守队追踪。防守队应建立一套独立的日志分析和存储机制，对于重要目标系统可派专人对目标系统日志和中间件日志进行恶意行为的监控与分析。

五、主动诱捕用蜜罐

蜜罐技术逐渐成为红队改变被动挨打局面的一把利剑。蜜罐技术的特点是：诱导攻击队攻击伪装目标，持续消耗攻击队资源，保护真实资产；监控期间对所有的攻击行为进行分析，可意外捕获 0day 信息。目前，蜜罐技术可分为 3 种：自制蜜罐、高交互蜜罐和低交互蜜罐。此外，还可以诱导攻击队下载远控程序，定位攻击队自然人身份，提升主动防御能力，将对抗工作由被动变主动。

六、情报工作来支撑

现场防守队员在防守中需要从两方面用好情报：一是要善于利用情报搜集工作提供的各种情报成果，根据情报内容及时对现有环境进行筛查和处置；二是就已获取的情报请求后端资源进行分析和辨别，以方便采取应对措施。