网络安全攻防演练:企业蓝队建设指南

第一章 概述

背景

网络实战攻防演习是当前国家、重要机关、企业组织用来检验网络安全防御能力的重要手段之一,是对当下关键信息系统基础设施网络安全保护工作的重要组成部分。网络攻防实战演习通常是以实际运行的信息系统为攻击目标,通过在一定规则限定下的实战攻防对抗,最大限度地模拟真实的网络攻击,并以此来检验目标信息系统的实际安全防护能力和运维保障的有效性。

我们讨论安全防御前需要理解的一个前提就是:安全,是一个不断变化、复杂、关联性极强的系统状态。一个应用系统想要安全、持续、平稳的运行于互联网上,都离不开操作系统、数据库、中间件,还包括各种安全、网络设备、DNS服务等在背后支撑,甚至还需要包含运营维护人员的安全因素也需要考虑。并且这仅仅是以应用系统己方作为出发点考量,还有一些公用组件、SDK、或者内网、C段等其他应用系统中存在“不安全”邻居也是需要纳入考量的不稳定因素。但凡这一套环节里面有某一环出现问题,都有可能变成木桶中的那一块短板。

在我们面对攻防演练的活动前,不可轻视以上环节中任何一个节点的安全防护工作。还有一点需要着重关注的就是人员的安全意识教育工作,在实际的攻防演练活动中,往往内部人员是最大且最容易出现的突破口。结合以往经历不难发现,每次都出现了使用以社会工程学为基础的网络钓鱼行为,比如邮件钓鱼、水坑攻击、捕鲸攻击,更有伪造WIFI热点、行贿内部人员、BADUSB等手段,层出不穷。那么面对如此繁多、复杂的攻击手段,我们作为防守方如何应对也是我们撰写本文的目的之一,以供大家参考。

我们通过本文提出一些建议,推荐企业在网络攻防实战演习过程中,以企业防守方蓝队角色为中心视角指导如何筹建企业蓝队以及在活动演习前的准备阶段、实战阶段和总结阶段分别给出一些建议,默认蓝队为防守方、红队为攻击方。

第二章 战前准备阶段

2.1. 组织架构

企业蓝队的组建需要企业管理层自顶向下进行推进,由企业主管安全的领导负责组建团队。团队的建设离不开跨中心、跨部门多方协调资源,所以必须选择一名懂专业、善沟通、权威性强的角色来牵头。通常,在筹备网络攻防演习活动前需要成立包括蓝队指挥中心、实时监测小组、快速反应小组、应急保障小组等几个部分。

图片

图1 蓝队工作组

蓝队指挥中心:由企业管理层组织并任命专人负责领导,主要负责组织、统筹整个演习活动中蓝队防守方的人员培训教育、统一调度工作、建立沟通机制,以及对演习活动中各类突发事件进行决策。

实时监测小组:由企业运维人员组成,通过7*24小时实时监控流量、日志平台等工具,及时发现并报告可以的攻击行为,对攻击IP进行封堵或采取限制策略。

快速反应小组:由企业安全人员组成,负责辅助实时监控小组对上报攻击事件进行分析,研判攻击行为的真实性与威胁程度,发现业务系统潜在风险点,及时提出安全处置建议。

应急保障小组:由企业安全人员和业务系统人员组成,应对各类演习活动中的突发事件、影响业务系统正常运行的各类事件,进行及时处置和恢复。

有同学对快速反应小组和实时监测小组的分工不是特别理解。这里简单阐述一下,实时监测偏向日常运维检测的内容,重点针对系统资源状态、日志类进行过监控,发现并初步分析潜在风险,这部分的成员能力要求不需要特别的高。相对于快速反应小组,着力点在针对可疑攻击事件做进一步研判,以专业的角度分析日志判断是一个攻击行为还是系统误报,实现根据攻击事件来细化防护规则又能保障业务正常运行的目的。我们不能总是依靠“封IP”这种古板的招数以不变应万变,长此以往可能会影响业务系统的运行,也不利于用户的使用体验。

2.2. 资产梳理

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/266440.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

anaconda 安装环境出现 DEBUG:urllib3.connectionpool:Starting new HTT

在anaconda中向安装一个新环境,发现以下报错,虽然他会继续出现环境安装的y/n,但安装之后,后续的一些包的安装仍然有问题。 参照了网上的一些做法,为选择更新conda-build: conda install -c conda-forge c…

npm使用国内淘宝镜像的方法整理

命令配置安装: 淘宝镜像: npm config set registry https://registry.npm.taobao.org/ 官方镜像: npm config set registry https://registry.npmjs.org 通过cnpm安装: npm install -g cnpm --registryhttps://registry.npm.…

RFID射频识别技术的优势

目前RFID在金融支付、物流、零售、制造业、医疗、身份识别、防伪、资产管理、交通、食品、动物识别、汽车、等行业都已经实现不同程度的商业化使用。未来,RFID技术有不可替代的六大优势,也保证了物联网的万物互联的有序发展! 1、无需可视,在无…

状态码转文字!!!(表格数字转文字)

1、应用场景:在我们的数据库表中经常会有status这个字段,这个字段经常表示此类商品的状态,例如:0->删除,1->上架,0->下架,等等。 2、我们返回给前端数据时,如果在页面显示0…

SpringBoot快速入门(黑马学习笔记)

需求 需求:基于SpringBoot的方式开发一个Web应用,浏览器发起请求/hello后,给浏览器返回字符串"Hello World~"。 开发步骤 第一步:创建SpringBoot工程项目 第二步:定义HelloController类,添加方…

JVM简单理解

前言 JVM,简单来说就是Java虚拟机 注意区分这里JDK JRE JVM的区别 JDK是java的开发工具包 JRE是java的运行时环境 JVM是java虚拟机 负责解释和执行java字节码 JVM拿到发布的.class文件就可以直接转换成window或其他操作系统支持的可执行指令了 主流的JVM是HotSpot 本文主要简单…

WebStorm 2023:让您更接近理想的开发环境 mac/win版

JetBrains WebStorm 2023激活版下载是一款强大而智能的Web开发工具,专为提高开发人员的生产力而设计。这款编辑器提供了许多先进的代码编辑功能,以及一系列实用的工具和插件,可帮助您更快地编写、调试和测试代码。 WebStorm 2023软件获取 We…

分布式概念

分布式概念 一、分布式介绍1.1 分布式计算1.1.1 分布式计算的方法1.1.1 分布式计算与互联网的普及1.1.2 分布式计算项目1.1.3 参与计算 1.2 分布式存储系统1.2.1 P2P 数据存储系统1.2.2 云存储系统 1.3 应用 二、分布式基础概念2.1 微服务2.2 集群2.3 分布式2.4 节点2.5 远程调…

【QT+QGIS跨平台编译】之五十三:【QGIS_CORE跨平台编译】—【qgssqlstatementparser.cpp生成】

文章目录 一、Bison二、生成来源三、构建过程一、Bison GNU Bison 是一个通用的解析器生成器,它可以将注释的无上下文语法转换为使用 LALR (1) 解析表的确定性 LR 或广义 LR (GLR) 解析器。Bison 还可以生成 IELR (1) 或规范 LR (1) 解析表。一旦您熟练使用 Bison,您可以使用…

【Unity】如何在Unity 中创建带有缩放效果的滚动视图(具有吸附效果的实现与优化)?

效果预览: 目录 效果预览: 一、引言: 二、问题描述 三、解决方案: 三、优化: 四、结论 一、引言: 在Unity开发中,经常需要实现滚动视图(ScrollView)中的内容吸附到…

鸿蒙 渲染控制

前提:基于官网3.1/4.0文档。参考官网文档 基于Android开发体系来进行比较和思考。(或有偏颇,自行斟酌) 1.概念 ArkUI通过自定义组件的build()函数和builder装饰器中的声明式UI描述语句构建相应的UI。在声明式描述语句中开发者除了…

【踩坑】修复xrdp无法关闭Authentication Required验证窗口

转载请注明出处:小锋学长生活大爆炸[xfxuezhang.cn] 问题如下,时不时出现,有时还怎么都关不掉,很烦: 解决方法一:命令行输入 dbus-send --typemethod_call --destorg.gnome.Shell /org/gnome/Shell org.gn…

1688以图搜图API接口|c#爬虫-1688官网自动以图搜图

1688item_search_img 拍立淘 背景 在1688有个功能,就是上传图片,就可以找到类似的商品。如下 网址 :https://www.1688.com/ 这时候,我们可以使用程序来代替,大批量的完成图片上传功能。 实现思路 1、找到图片上传…

PFA溶样罐耐酸碱小型样品罐适用元素分析实验透明特氟龙消解瓶

PFA溶样罐,也叫PFA管形瓶、可溶性聚四氟乙烯溶样罐、消解瓶等,常用于地质地矿、地球化学、土壤微生物等样品分析消解实验,可搭配石墨消解仪、电热板使用。广泛适用于痕量分析、环境监测、重金属检测、半导体、新材料、新能源等。 规格参考&am…

【物联网应用案例】智能农业的 9 个技术用例

一、农业中的物联网用例 一般而言,农业物联网传感器以及农业物联网应用有多种类型: 1. 气候条件监测 气象站无疑是当今智能农业领域最受欢迎的设备。这款设备集成了多种智能农业传感器,能够在现场对各类数据进行收集,然后迅速将…

浅析扩散模型与图像生成【应用篇】(四)——Palette

4. Palette: Image-to-Image Diffusion Models 该文提出一种基于扩散模型的通用图像转换(Image-to-Image Translation)模型——Palette,可用于图像着色,图像修复,图像补全和JPEG图像恢复等多种转换任务。Palette是一种…

基于JAVA的不良邮件过滤系统 开源项目

目录 一、摘要1.1 项目介绍1.2 项目录屏 二、功能模块2.1 系统用户模块2.2 收件箱模块2.3 发件箱模块2.4 垃圾箱模块2.5 回收站模块2.6 邮箱过滤设置模块 三、实体类设计3.1 系统用户3.2 邮件3.3 其他实体 四、系统展示五、核心代码5.1 查询收件箱档案5.2 查询回收站档案5.3 新…

Python爬虫——Urllib库-上

这几天都在为了蓝桥杯做准备,一直在刷算法题,确实刷算法题的过程是及其的枯燥且枯燥的。于是我还是决定给自己找点成就感出来,那么Python的爬虫就这样开始学习了。 注:文章源于观看尚硅谷爬虫视频后笔记 目录 Urllib库 基本使…

【视频图像取证篇】Amped FIVE专业法医图像和视频增强软件之模糊图像去隔行功能

【视频图像取证篇】Amped FIVE专业法医图像和视频增强软件之模糊图像去隔行功能 法医图像和视频增强软件,专业又强大!!!超过 140 种过滤器和工具,用于分析、恢复和增强数字图像和视频。Amped FIVE能够稳定抖动的视频&…

锐捷网络携数据中心、以太全光等创新解决方案亮相2024MWC

在西班牙巴塞罗那举行的2024年世界移动通信大会(MWC)上,锐捷网络(下文简称“锐捷”)展示了将技术与应用充分融合的云数据中心、5G、光网络等产品及解决方案,帮助更多行业组织建设更贴近业务、智能、简单、高效、绿色低碳的网络基础设施,应对当下及未来的挑战,共同连接更广阔可能…