网络攻防学习笔记 Day112

红队一般会针对目标系统、人员、软件、硬件和设备同时进行多角度、混合、对抗性的模拟攻击；通过系统提权、控制业务、获取数据等方式，来发现系统、技术、人员和基础架构中存在的网络安全隐患或薄弱环节。

一般来说，红队的攻击可分为三个阶段：情报收集、建立据点和横向移动。

在找到薄弱环节后，红队成员会尝试利用漏洞或社工等方法去获取外网系统的控制权限，这个过程一般称为“打点”或“撕口子”。

弱密码、默认密码、通用密码和已泄露密码通常是红队成员关注的重点。在实际工作中，通过弱密码获得权限的情况占据 90%以上。

红队在实战工作中发现，各行业的安全防护工作具备如下弱点：

1.资产混乱、隔离策略不严格。2.通用中间件未修复漏洞较多。3.边界设备成为进入内网的缺口。4.内网管理设备成为扩大战果的突破点。

蓝队一般是以防守单位现有的网络安全防护体系为基础，在实战攻防演习期间组建的防守队伍。蓝队的主要工作包括前期的安全检查、整改与加固，演习期间的网络安全监测、预警、分析、验证、处置，后期的复盘总结。

蓝队不是由演习中目标系统运营单位一家组成的，而是由目标系统运营单位、安全运营团队、攻防专家、安全厂商、软件开发商、网络运维队伍、云提供商等多方组成的。

红队一般会在前期收集情报、寻找突破口、建立突破据点；在中期横向移动打内网，尽可能多地控制服务器或直接打击目标系统；在后期删日志、清工具、写后门，建立持久的控制权限。针对红队的常用方法，蓝队应对攻击的常用策略可总结为防微杜渐、收缩战线、纵深防御、核心防护、洞若观火等。

集权系统是红队最喜欢攻击的内部系统。一旦集权系统被攻破，则集权系统控制的主机可同样视为已被攻破。集权系统是内部防护的重中之重。蓝队一般可从以下方面做好防护：集权系统主机安全、集权系统访问控制、集权系统配置安全、集权系统安全测试、集权系统已知漏洞加固、集权系统弱密码修改等。

核心目标系统是红队的重点攻击目标，也应重点防护。蓝队需要重点梳理：目标系统和哪些业务系统有联系？目标系统的哪些服务或接口是开放的？传输方式如何？梳理得越细越好。同时还需针对重点目标系统做一次交叉渗透测试，充分检验目标系统的安全性。应协调目标系统技术人员及专职安全人员，专门对目标系统的进出流量、中间件日志进行安全监控和分析。

零信任体系会将访问控制权从边界转移到个人设备与用户上，打破传统边界防护思维，建立以身份为信任基础的机制，遵循先验证设备和用户、后访问业务的原则，不再自动信任内部或外部的任何人、设备和应用，在授权前对任何试图接入网络和访问业务的人、设备或应用都进行验证，并提供动态的细粒度访问控制策略，以满足最小权限原则。

威胁监测手段方面存在的问题主要包括：

没有针对全流量威胁进行监测，导致分析溯源工作无法开展；

有全流量威胁监测手段，但流量覆盖不完全，存在监测盲区；

只关注网络监测，忽视主机层面的监测，当主机发生异常时不易察觉；

缺乏对邮件的安全监测，使得钓鱼邮件、恶意附件在网络中畅通无阻；

没有变被动为主动，缺乏蜜罐等技术手段，无法捕获攻击及进一步分析攻击行为。

紫队在实战攻防演习中，以组织方的角色开展演习的整体组织协调工作。紫队组织红队实施攻击，组织蓝队实施防守，目的是通过演习检验防守单位的安全威胁应对能力、攻击事件检测发现能力、事件分析研判能力和事件响应处置能力，提升防守单位的安全实战能力。