HW蓝队流程

可以把 HW 行动的前期准备分为三个阶段：备战期，临战期，决战期。

1. 备战期

在备战期间，主要做两件事：一是减小攻击面，二是排查风险点。

1.1 减少攻击面

减小攻击面就是缩小暴露面。在这流程，客户进行多轮的暴露面排查。首先，通过收集到的客户资产进行爬取相关链接，确认是否无用页面，无用系统下挂关键系统域名下，接着对一些已经业务需求不那么高的，无用的系统，闲置的服务器进行下电处理，最后对于有一定业务需求但用户较少的系统直接迁入内网，通过VPN进行业务操作。通过一系列的缩小暴露面，最终客户对外开放的端口就几个，大大降低了攻击面。

1.2 排查风险点

在排查风险点这块，主要做两件事：一是人工渗透测试，二是webshell排查。对关键系统的服务器使用webshell排查工具进行后门排查。

2. 临战期

在临战初期，企业举办攻防演练，通过公司内分队对攻到从上往下发起的攻击。这次攻防演练可以发现许多在备战期间忽略的地方。

客户在临战期陆续将安全设备进行部署。针对HW行动，客户对原本已有的一些安全设备进行策略优化，同时也新增一些二安全设备。主要的类型有防御设备，监控设备等。防御设备还是最常见的WAF，IPS，对WAF，IPS的策略进行优化，增强设备的防御能力。做好监控设备对主机进程进行审计，webshell监控；除了主机监控还有就是网络流量监控设备，对监测的流量进行分析。

3. 决战期

在决战期间，最关键的就是应对每个安全事件的处置。

3.1 组织架构

我们将所有的人员进行分工，主要有统筹组，监控组，研判组，网络处置组，应用处置组。

统筹组主要就是对一些重大决定进行决策，统筹整个HW防守工作；

监控组主要就是对WAF，IPS等安全设备进行7*24小时监控，派发，跟踪，反馈安全威胁；

研判组主要就是技术支撑，对于监控组发现的攻击行为进行技术研判；

网络处置组主要职责就是发现攻击时在防火墙上对攻击方进行IP封堵；

应用处置组主要就是对发现的攻击和漏洞进行分析处置，安全加固。

3.2 风险处置流程

根据监控设备告警划分风险等级，主机探针告警高于其它安全设备告警，主机探针作为防守的最后一道防线，若主机探针发出告警，则攻击已经进入内网，因此风险等级最高。根据风险等级不同，制定以下风险处理流程：

当收到主机探针告警，监控人员告知应用处置人员进行风险排查确认，同时通知网络处置组进行攻击IP封锁。应用处置组确认风险存在后，监控组立即通知机房管理员进行断网处置。随后，由应用处置组协助监控组进行溯源必证，并且对风险进行处置，删除shell脚本或木马程序。应用组处理后将结果反馈给监控组，监控组通知机房管理员将受到攻击，服务器进行下电处理，并将事件记录在防御工作列表中。