HW蓝队防守思路 .pdf

HW蓝队防守思路 HW蓝队防守思路是指蓝队在网络安全防守中采取的一系列策略和措施，以保护目标系统免受攻击和威胁。该防守思路涵盖了从准备阶段到正式演习阶段的所有步骤，旨在确保目标系统的安全和稳定。 准备阶段 在准备阶段，蓝队需要编制HW工作方案，包括组织架构、工作分工与职责、工作计划、工作任务等。同时，蓝队还需要召开启动会，与安全处、网络处、应用处、业务司局、第三方厂商达成统一共识， 确定目标系统和目标关键链路。 目标系统资产梳理 蓝队需要对目标系统进行资产梳理，包括网络设备、主机系统、应用系统、安全设备等。蓝队需要了解目标系统的结构，包括区域单一、业务连续性较低、单独物理机、上报数量、目标关键链路、是否定级、安全检查、渗透测试等。 安全设备了解 蓝队需要了解当前所有安全设备，包括防火墙、WAF、IPS、IDS等。蓝队需要了解安全设备的厂家维护情况、HW期间是否现场支持、安全策略如何实施、访问控制如何做的、网络之间隔离措施等。 部署天眼 蓝队需要部署天眼，了解网络架构的总体结构，知道目标系统的位置。蓝队需要部署WAF、蜜罐、主机加固等安全设备，提高防护和监测能力。 内部集权系统梳理 蓝队需要对内部集权系统进行梳理，包括邮件、域控、运维管理（ITSM、堡垒机）、运维终端（安全、网络、研发）等。蓝队需要搜集内部IP地址，进⾏天眼分析查看与集权系统通信的IP地址是否正常。 防守队伍沟通 蓝队需要建立即时通讯工作群，确定好监测、研判、封禁、配合整改、应急处置分组和具体责任人，包括用户谁负责任牵头。 自查和整改阶段 在自查和整改阶段，蓝队需要对应用系统进行梳理，根据前期准备工作形成资产清单，网络、安全设备、应用系统等。蓝队需要开展安全检查，互联网资产扫描，发现未知资产和风险端口。蓝队需要进行安全基线检查，网络、安全、主机、应用等安全基线检查。 安全扫描和渗透测试 蓝队需要进行安全扫描和渗透测试，发现安全漏洞和风险。蓝队需要进行安全扫描，主机、应用安全扫描+验证，督促整改。 安全意识培训 蓝队需要对关键岗位运维人员、管⧤人员进行安全意识培训，提高安全意识和技能。 安全加固 蓝队需要针对发现的安全漏洞和风险，及时跟进、验证和修复情况。 安全风险检查 蓝队需要进行安全风险检查，包括弱口令、管⧤后台外部访问权限、内部访问IP范围、补丁更新、上传目录权限等。 完善安全设备 蓝队需要完善安全设备，包括部署和测试WAF、IPS、IDS、蜜罐、主机加固等。 天眼检查 蓝队需要进行天眼检查，流⼊采集、规则更新、使用情况等。 其他安全措施 蓝队需要采取其他安全措施，包括在攻防演习前，梳理业务连续性较低的、存在安全问题的系统下线或HW期间临时关停。 攻防演习前 蓝队需要在攻防演习前，对防守目标系统进行一次日志分析和失陷检测。 攻防预演习阶段 在攻防预演习阶段，蓝队需要通过预演习工作，发现安全漏洞和风险，验证防守方案可执行性，进一步完善防守方案。 攻防预演习总结 蓝队需要与各方沟通总结不足，进⾏完善防守方案。 正式演习阶段 在正式演习阶段，蓝队需要进行安全监测，发现后通知研判组进行验证。蓝队需要进行天眼监测，发现后通知研判组进行验证。蓝队需要封禁IP，出口防火墙、CDN。蓝队需要进行每天针对目标系统的Web日志检测，是否存在Webshell日志、存储目录检查。 小组工作职责 蓝队需要分组工作职责，包括领导小组、事件检测组、威胁分析组、事件处置组、其他分组等。