系列文章

由于本系列文章较长，故分为五个部分，如需回顾前文，可点击下方链接：

打工人眼中攻防演练蓝军那些人那些事儿（一）

打工人眼中攻防演练蓝军那些人那些事儿（二）

打工人眼中攻防演练蓝军那些人那些事儿（三）

打工人眼中攻防演练蓝军那些人那些事儿（四）

打工人眼中攻防演练蓝军那些人那些事儿（五）

4.3 第三阶段：攻防预演习阶段

预演习阶段由甲方协商攻击方来检测我们的实战防守能力和前期的风险排查盲点。在预演习期间，防护小组由乙方人员开展安全监测、攻击处置和应急响应等防守工作，攻击方一般由甲方邀请多组攻击队伍，一般是合作商，保密协议授权当然都要签署。预演习主要是检测前期工作的排查摸底情况和实战防守中的安全监测和应急处置情况，时间充裕的情况下很有必要。

4.3.1预演习防守

防守流程：

1、授权与备案

2、预演习攻击

3、预演习防护

4、问题分析总结

5、安全整改与加固

防守工作：

业务监测

目标系统的相关运维部门利用系统监测手段实时监测应用系统和服务器运行状态，包括系统访问是否正常、业务数据是否有异常变更、系统目录是否出现可疑文件、服务器是否有异常访问和修改等，监测到异常事件后及时协同相关部门共同分析处置。

攻击监测

预演习期间，安全部门、 *** 部门等利用已有设备对 *** 攻击行为进行实时监测。基于流量分析，对 *** 安全策略有效性进行检验，并对安全设备的攻击告警进行初步分析，评估攻击真实性和影响，及时协同相关部门共同分析处置。

1. 恶意邮件监测

2. 钓鱼邮件监测

3. WEB攻击监测

4. 安全扫描工具监测

5. 登录爆破监测

6. 数据库敏感操作监测

7. 常见木马行为监测

8. HTTP Tunnel监测

9. WebShell网站后门监测

10. 针对集权类系统重点监测

事件处置

在业务系统运行发生异常事件或安全设备出现攻击告警后，防护小组应协同对事件进行处置，分析事件原因、明确攻击方式和影响、确定处置方案，通过调整安全设备策略等方式尽快阻断攻击、恢复系统。

应急响应

在事件处置过程中，经分析确定已发生 *** 攻击，且攻击已成功进入系统、获取部分权限、上传后门程序，应立即启动专项应急响应预案，根据攻击影响可采取阻断攻击、系统下线等方式进行处置，并全面排查清理系统内攻击者创建的系统账号、后门程序等。

修复整改

在 *** 攻击事件处置完毕后，安全部门和业务主管部门应针对攻击利用的安全漏洞或缺陷，组织技术力量尽快进行漏洞修复和问题整改。

其实以上业务监测和攻击检测，态势感知、SOC和DAC都可以实现监测，以态势感知为例，从态势总览里我们重点关注以下几点，然后分开去查看确定被攻击主机和攻击事件，人工研判紧急处理。

4.3.2 预演习总结

参加攻防预演习人员对演习过程中发现的问题进行总结，包括是否存在系统漏洞、安全设备策略是否有缺陷、监测手段是否有效等，针对性提出整改计划和方案，尽快进行整改，同时通过攻防预演习发现的问题改进和完善安全自查和整改。

4.4 第四阶段：正式防护阶段

在正式防护阶段，重点加强防护过程中的安全保障工作，各岗位人员各司其职，从攻击监测、攻击分析、攻击阻断、漏洞修复和追踪溯源等方面全面加强防守过程的安全防护效果。

4.4.1 安全事件实时监测

当开启正式防护后，防护小组组织各部门人员，根据岗位职责开展安全事件实时监测工作。安全部门组织其他部门人员借助安全防护设备（全流量分析设备、Web防火墙、IDS、IPS、数据库审计等）开展攻击安全事件实时监测，对发现的攻击行为进行确认，详细记录攻击相关数据，为后续处置工作开展提供信息。

1. 恶意邮件监测

2. 钓鱼邮件监测

3. WEB攻击监测

4. 安全扫描工具监测

5. 登录爆破监测

6. 数据库敏感操作监测

7. 常见木马行为监测

8. HTTP Tunnel监测

9. WebShell网站后门监测

防守监测研判协同图

在攻防演练防守阶段，防护工作组在指挥、监测、发现、分析、处置以及上报的过程中，可参考某信的《防守监测研判协同图》。

监测值守要求

1.实行7×24小时现场值守，有能力的话，更好是三班倒，每位工作人员保证足够的休息。确保各 *** 安全设备、系统持续监控，驻守人员及时开展现场处置工作，第三方协助人员更好也在现场，最起码发生事件时要保证随叫随到，尽快处理。

2.安全监测处置组值守人员应根据安全区域布防和事件监控提前编排布防责任人清单，，确保各安全设备、系统均有人员负责，各类安全事件均能监控。对攻击行为进行及时开展分析、研判、上报和处置工作。

3.安全监测处置组值守人员在值守期间，应提前准备好并参考设备监控指引手册，实时密切关注所负责的安全设备或应用系统的安全告警、安全状态，负责对产生报警进行初步识别和分析，相对来说，一个总览的态势感知、SOC、DAC是比较省时省力的。

4.值守人员在值守期间不得从事与值守无关的工作，不得利用所获得相关权限进行破坏或攻击行为。

5.值守人员完成值守后，应等待下一班人员到场后，完成值守交接，并通知现场值班专责后方可离开。

4.4.2 事件分析与处置

防护工作组根据监测到安全事件，协同进行分析和确认。针对攻击来源，采取“先阻断，再处置上报”的策略。如有必要可通过态势感知类平台、安全审计类设备或者主机日志、 *** 设备日志、入侵检测设备日志等信息对攻击行为进行分析，以找到攻击者的源IP地址、攻击服务器IP地址、邮件地址等信息，并对攻击 *** 、攻击方式、攻击路径和工具等进行分析研判。

防护工作组根据分析结果，应采取相应的处置措施，来确保目标系统安全。通过遏制攻击行为，使其不再危害目标系统和 *** ，依据攻击行为的具体特点实时制定攻击阻断的安全措施，详细记录攻击阻断操作。业务主管单位对业务稳定性进行监测，工作接口人及时通报相关信息。

防护工作组应针对攻防演练中可能产生的攻击事件，根据已经制定的 *** 安全专项应急预案进行协同处置，同时在明确攻击源和攻击方式后，保证正常业务运行的前提下，可以通过调整安全设备策略的方式对攻击命令或IP进行阻断，分析确认攻击尝试利用的安全漏洞，确认安全漏洞的影响，制定漏洞修复方案并及时修复。

攻击事件分类

前期踩点类事件：是指经监测发现的攻击前期位于区域边界的踩点行为，主要为互联网边界、省公司IDC边界和信息中心IDC边界；

定向攻击类事件：是指经监测发现的攻击前期位于区域边界针对特定目标的攻击行为；

主机被控类：是指经监测发现位于某一主机上，该WEB系统主机已被控制的攻击行为；

内网渗透类：是指经监测发现，发生在 *** 内部以某一主机为跳板的横向攻击行为。

序号	事件类型	事件名称
1.	前期探测	域名收集
2.	端口扫描
3.	服务识别
4.	web指纹识别
5.	敏感目录和文件爆破
6.	网页爬取
7.	其他信息刺探行为
8.	WAF探测
9.	定向攻击	SQL注入
10.	命令执行漏洞
11.	XXE注入
12.	XSS漏洞
13.	文件上传漏洞
14.	反序列化漏洞
15.	CSRF
16.	SSRF
17.	目录遍历
18.	逻辑漏洞
19.	未授权访问
20.	弱口令
21.	信息泄露
22.	框架漏洞
23.	暴力破解
24.	钓鱼邮件
25.	主机被控	数据库脱库
26.	Webshell上传
27.	隧道建立（正向或反向）
28.	其他木马等黑客工具安装
29.	账号提权
30.	非法外联
31.	*** 异常连接或端口开放
32.	进程异常
33.	敏感命令