蓝队一般是以参演单位现有的网络安全防护体系为基础,在实战攻防演习期间组建的防守队伍。蓝队的主要工作包括前期安全检查、整改与加固,演习期间进行网络安全监测、预警、分析、验证、处置,后期复盘总结现有防护工作中的不足之处,为后续常态化的网络安全防护措施提供优化依据。
在实战防护阶段主要负责:
1.威胁情报
网络攻防演习活动中威胁情报的收集与监控至关重要,需要实时监控小组人员持续监控互联网最新漏洞的披露情况,对比资产清单符合漏洞影响特征的资产进行重点防护和加固。
另外有一部分攻击者会采用0day/Nday漏洞来攻击目标系统。针对此类行为,防守方应及时与专业厂商取得合作,建立漏洞通报渠道,参考厂商给出的建议实施安全加固工作。
2. 实战监控
网络攻防演习活动中实战监控工作主要由实时监测小组完成。活动中应重点关注核心目标业务系统,同时针对核心业务系统外与之关联的服务,对目标系统的出入流量和日志进行集中式的监控和分析。
全网流量监控:通过合理分配安全监控设备的部署,对企业外部与内部间的所有流量进行监控和分析,对于日志中存在的可疑攻击行为提交至快速反应小组进行研判,如果判定为攻击行为,则针对攻击IP地址进行封禁或采取其他防护措施;
主机流量监控:通过合理部署主机安全防护软件,应对操作系统层面的日志进行统一的集中汇总和监控分析工作;
日志监控:对业务系统日志的实时监控,应对重要系统日志实施独立的日志收集和存储机制,避免日志本地存储导致被攻击者删除情况,重要业务系统可安排专人进行实时监控分析。
在实战演习活动前,应对业务系统重要数据、数据库等进行备份工作,避免在活动中因攻击行为影响业务系统数据的正常运行。
攻防演练中蓝队主要负责工作如下:
情报收集:网络攻防演习活动中威胁情报的收集与监控至关重要,需要实时监控小组人员持续监控互联网最新漏洞的披露情况,对比资产清单符合漏洞影响特征的资产进行重点防护和加固。
全网流量监控:通过合理分配安全监控设备的部署,对企业外部与内部间的所有流量进行监控和分析,对于日志中存在的可疑攻击行为提交至快速反应小组进行研判,如果判定为攻击行为,则针对攻击IP地址进行封禁或采取其他防护措施;
主机流量监控:通过合理部署主机安全防护软件,应对操作系统层面的日志进行统一的集中汇总和监控分析工作;
日志监控:对业务系统日志的实时监控,应对重要系统日志实施独立的日志收集和存储机制,避免日志本地存储导致被攻击者删除情况,重要业务系统可安排专人进行实时监控分析。