简析攻防演练中蓝队的自查内容

为了及时发现自身安全隐患和薄弱环节，蓝队需要有针对性地开展自查工作，并进行安全整改与加固，内容包括资产梳理、网络架构梳理、安全检查加固。

一、资产梳理

1）敏感信息梳理

利用敏感信息泄露情报服务，梳理公司单位暴露在互联网上的敏感信息并对其进行清理或隐藏，以降低信息被攻击队利用的风险。

2）互联网资产发现

利用互联网资产发现服务，梳理公司单位暴露在互联网上的资产，查找未知资产及未知服务，形成互联网系统资产清单；明确资产属性和资产信息，对无主、不重要、高风险资产进行清理。

3）内网资产梳理

通过梳理内网资产、组件版本、责任人、指纹识别等内容，明确内网资产状况，形成资产清单，便于后续的整改加固，在应急处置时可及时通知责任人，还可对暴露的相关组件漏洞及时进行定位修补；而对重要系统的识别（含集权系统）也便于后续对重要系统开展防护及业务流梳理工作。

4）第三方供应商梳理

梳理所有第三方供应商，包括设备厂商（网络设备、安全设备等）、应用开发商、服务提供商（云服务、运维服务等），要求它们做好自身安全管理、自身产品安全加固，提供防守监测人员支持。

5）业务连接单位梳理

梳理所有业务连接单位以及连接形式、系统、区域、IP 入口，了解防护监控状况，与参加业务连接单位联防联控，建立安全事件通报机制

6）云资产梳理

通过梳理私有云的云管平台、云软件、底层操作系统以及公有云资产，明确云资产状况，形成资产清单，便于后续的整改加固，在应急处置时可及时通知责任人，还可对暴露的相关组件漏洞及时进行定位修补。

二、网络架构梳理

1）网络访问路径梳理

明确系统访问源（包括用户、设备或系统）的类型、位置和途经的网络节点，便于后续监测、溯源时使用，确保安全架构梳理完成后南北向监测流量的完整性。

2）运维访问路径梳理

识别是否存在安全隐患，便于后续优化及统一整改、加固，确认防护和监测设备是否存在缺失。

3）安全架构梳理

通过架构梳理评估安全域划分是否合理，防护和监测设备部署位置是否恰当，是否存在缺失，是否存在安全隐患。

4）安全设备部署

建议公司单位尽快补充相关安全设备，以免影响安全防护工作的顺利进行。根据近几年防守项目的经验，评估客户在关键地方缺失的安全防护设备。

三、安全检查

1）常规安全检查

常规安全检查，即传统的安全评估检查工作，主要涉及网络安全、主机安全、应用安全、终端安全、日志审计、备份等方面的安全评估。通过开展安全检查工作，对公司单位环境存在的风险进行摸底，并根据检查输出的结果编写《风险整改报告》。

2）专项清查

对攻击队采用的重点攻击手段及目标进行专项清查，主要涉及口令及未授权漏洞、重要系统安全检查等工作，尽可能避免存在高风险、低成本的问题。

3）Web 安全检测

Web 安全检测应将重点放在最大限度地发现安全漏洞隐患，验证之前发现的安全漏洞隐患是否已经整改到位。在条件允许的情况下，针对重要信息系统进行源代码安全检测、安全漏洞扫描与渗透测试等 Web 安全检测，重点应检测 Web 入侵的薄弱环节，例如弱口令、任意文件上传、中间件远程命令执行、SQL 注入等。

为了检验监控措施的有效性，需要对安全产品自身的安全性、部署位置、覆盖面进行评估；为了更快地发现问题，需要尽量部署全流量威胁检测、网络分析系统、蜜罐、主机监测等安全防护设备，提高监控工作的有效性、时效性、准确性；监测人员还需熟练掌握安全产品，优化安全产品规则。