HW蓝队流程

可以把 HW 行动的前期准备分为三个阶段:备战期,临战期,决战期。

1. 备战期

在备战期间,主要做两件事:一是减小攻击面,二是排查风险点。

1.1 减少攻击面

减小攻击面就是缩小暴露面。在这流程,客户进行多轮的暴露面排查。首先,通过收集到的客户资产进行爬取相关链接,确认是否无用页面,无用系统下挂关键系统域名下,接着对一些已经业务需求不那么高的,无用的系统,闲置的服务器进行下电处理,最后对于有一定业务需求但用户较少的系统直接迁入内网,通过VPN进行业务操作。通过一系列的缩小暴露面,最终客户对外开放的端口就几个,大大降低了攻击面。

1.2 排查风险点

在排查风险点这块,主要做两件事:一是人工渗透测试,二是webshell排查。对关键系统的服务器使用webshell排查工具进行后门排查。

2. 临战期

在临战初期,企业举办攻防演练,通过公司内分队对攻到从上往下发起的攻击。这次攻防演练可以发现许多在备战期间忽略的地方。

客户在临战期陆续将安全设备进行部署。针对HW行动,客户对原本已有的一些安全设备进行策略优化,同时也新增一些二安全设备。主要的类型有防御设备,监控设备等。防御设备还是最常见的WAF,IPS,对WAF,IPS的策略进行优化,增强设备的防御能力。做好监控设备对主机进程进行审计,webshell监控;除了主机监控还有就是网络流量监控设备,对监测的流量进行分析。

3. 决战期

在决战期间,最关键的就是应对每个安全事件的处置。

3.1 组织架构

我们将所有的人员进行分工,主要有统筹组,监控组,研判组,网络处置组,应用处置组。

统筹组主要就是对一些重大决定进行决策,统筹整个HW防守工作;

监控组主要就是对WAF,IPS等安全设备进行7*24小时监控,派发,跟踪,反馈安全威胁;

研判组主要就是技术支撑,对于监控组发现的攻击行为进行技术研判;

网络处置组主要职责就是发现攻击时在防火墙上对攻击方进行IP封堵;

应用处置组主要就是对发现的攻击和漏洞进行分析处置,安全加固。

3.2 风险处置流程

根据监控设备告警划分风险等级,主机探针告警高于其它安全设备告警,主机探针作为防守的最后一道防线,若主机探针发出告警,则攻击已经进入内网,因此风险等级最高。根据风险等级不同,制定以下风险处理流程:

当收到主机探针告警,监控人员告知应用处置人员进行风险排查确认,同时通知网络处置组进行攻击IP封锁。应用处置组确认风险存在后,监控组立即通知机房管理员进行断网处置。随后,由应用处置组协助监控组进行溯源必证,并且对风险进行处置,删除shell脚本或木马程序。应用组处理后将结果反馈给监控组,监控组通知机房管理员将受到攻击,服务器进行下电处理,并将事件记录在防御工作列表中。

当其他安全设备监测道攻击时,监控组会将发起攻击源IP告知网络处置组进行封堵,同时将发现的告警信息发送给研判组进行研判,监控组根据研判结果通知应用处置组进行风险排查,应用处置组将加固结果反馈给监控组,监控组将事件记录在防御工作列表中。