网络安全攻防演练中的常见计谋

各人以为故意义记得关注和点赞！！！
弁言

        在网络安全攻防演练里面，用于分析攻击者动机和行为的，国外的有基于攻击链分析的模型（如Cyber Kill Chain和ATT&CK）和基于威胁行为的模型（如Diamond Model of Intrusion Analysis和Pyramid of Pain）等。也有各类PDR（Protect，防护、Detect，检测、Respond，响应）变种。
        我将常见的攻防使用通俗易懂的老祖宗智慧之三十六计进行匹配，让各人更容易明白，并给出针对性的防守方法。
        固然在实际攻防对抗中远不止我所形貌的这些，好比多种大模型的检测/蜜罐/沙箱、/IDS/IPS/WAF/DDOS防护/威胁情报/主动防御等工具的组合使用.
攻防两大阵营分类

主要的攻击计谋
处于优势时所用之计			处于劣势时所用之计
胜战计	敌战计	攻战计	混战计	并战计	败战计
瞒天过海 围魏救赵 借刀杀人 以逸待劳 趁火打劫 声东击西	无中生有 暗度陈仓 隔岸观火 笑里藏刀 李代桃僵 顺手牵羊	打草惊蛇 借尸还魂 调虎离山 欲擒故纵 抛砖引玉 擒贼擒王	釜底抽薪 浑水摸鱼 金蝉脱壳 关门捉贼 远交近攻 假道伐毓	偷梁换柱 指鸡骂犬 假痴不癫 上屋抽梯 树上开花 反客为主	美人计 空城计 反间计 苦肉计 连环计 走为上

左边可以以为是攻击队会采用的一些方法，右边是防守方会被迫采取的做法。
一、攻击队计谋

瞒天过海

在攻防演练的时候，我们一定会发现，各类扫描增多，各类装备告警也变多，这是正常的。
因为攻击队为了得分，会对你进行“Reconnaissance”。这此中，有可能有些就是故意的行为。
有些攻击队，为了掩盖他们的攻击行为，会购买或自行对你的系统进行扫描，让你淹没在海量的告警里，而忽略了他们真正的攻击行为。
对付这类行为，我们在攻防演练之前，就应当对告警进行清零。
清零看似很难，实在一点都不简朴。我们只能做到一定水平的降噪。
前期，就要对对正在扫描你的所有IP有一个极为清晰的认识，分清哪些IP大概是什么，在攻防演练期间，再结合汗青记载，识别到是新增的还是已有的扫描类IP。
在攻防演练期间，就只能寄盼望于各类检测装备，夺取发现一些蛛丝马迹。
借刀杀人

由于网络攻击的特殊性，攻击队我们最开始能看到的，就是一串IP。
在攻防演练的时候，为了演练比较可控，构造者会分配给攻击队一些IP资源，而且要求只从这些IP发起攻击。
循规蹈矩的人，不会成为攻击者，大概是，很难成为很强的攻击者。
以是攻击队，他很大概率不会直接使用这些IP导致“出师未捷身先死”。在外网，他会先“借用”本身的其他IP，大概团队的资源，先对目标进行“Reconnaissance”，等探测得差不多，以为有把握拿下了，才会真正使用那些IP攻击——乐成——截图——提交报告。
在内网里，他会控制一些中了木马的客户端大概服务器发起攻击，导致你的溯源，都是溯源到错误的IP上。
笑里藏刀

在攻防演练里，钓鱼是最没有技术含量但是性价比最高的。许多攻击队正面打不进去，就会投机取巧开始钓鱼了。
钓鱼，一样平常会给你一些长处，说你中奖了，大概装成寻求帮助的弱者，含着笑，实在最终是要获取你的信息，以致全控你。
我们会说为了防止被钓鱼，会开展网络安全意识培训，开展反钓鱼邮件演练。但是实在这个意义不大。
不管你做多少次反钓鱼邮件演练，在攻防演练中，一定会有人会中招，一旦中招，一样平常都是被全控，攻击队立刻进入单元内网。
反钓鱼邮件演练就像考试，标题出得简朴一点，许多人都可以过，出难点，就许多人会中招了。
而且许多在特定的场景下，再见多识广、谨小慎微的人，都会中招。
以是，对于钓鱼的防守，就是不要防钓鱼，要假定失陷。《BeyondCorp和高校的落地》。任何其他的防守计谋，都一定要以“攻击队一定会进入内网”为底线思维。
顺手牵羊

有些攻击队在攻击时，会不经意“顺手牵羊”到其他不是原始目标的权限、数据，这种一样平常发生在防守方异常弱的环境下。
进入这种防守单元，仿佛进入了漏洞的金库，随处都是得分点。
为了防止这种环境发生，通例的安全套餐需要安排做一遍，特别是“两高一弱”，需要——
1 让本身人扫。在攻防演练之前，请一些攻击队做一些扫描而且进行整改。
2 不让攻击队扫。这可以通过蜜罐或流量来发现攻击队的扫描行为，并第一时间对发起扫描的IP进行隔离。
借尸还魂

有时候你的一台装备被全控，颠末你和同伴的应急响应，找到并删除了木马，清算了环境，高高兴兴又上线了，但是后面发现，攻击队还是从这台装备“借尸还魂”。
固然一个可能是，你技术能力不足，大概你漏洞没有修复，大概你没有闻一知十，《网络安全里的苍蝇，蟑螂和白蚁》，大概你只是删除了上传的木马，被人家再次使用。
尚有一个可能是，攻击队可能上传了十几个木马，故意留下谁人最简朴的，让你识别而且止步于此。
一台装备被全控，他上面的所有信息变得不再可信，纵然日志也可以被伪造。
就像你在电影里看到的，被俘虏过的人一样。纵然全身而退，不管他本身说有没有talk，你一定要以他所知道的所有信息泄漏为条件进行应对。
为了防止这种环境，对于被攻击或被全控过的装备，我们一定要重新安装利用系统，重新摆设应用，步调代码重新下载，数据库导出导入，上载文件全查病毒，比对备份文件。
擒贼擒王

“王”就是集权系统。好比云平台、集中式数据库平台、统一身份认证平台、堡垒机、源代码版本库管理系统、运维平台等等。
虽然擒王难度很高，不过带来的收益也是巨大的。有些攻击队不屑于帮你找前面“顺手牵羊”的问题，而是会对着集权系统发起挑战。
对于这种的防护，最紧张的是要梳理好这些“圣杯”资产，对这些系统加强防护，分级管理。
许多时候，可能是你所不知道的某个二级单元的这类系统被攻陷。
金蝉脱壳

攻击队攻击完成后，会删除日志，清算陈迹。
对于这类防护，需要做好日志保留，日志应当传输到远程。
但是这个传输动作可能被暂停，大概传输的内容被恶意篡改，以是不可篡改的流量留存也是非常紧张的。
偷梁换柱

有些攻击队不寻求直接粉碎系统，而是通过偷梁换柱等手段，更换一些组件，在系统内隐蔽起来。这个有时候比较难防，恶意行为和病毒很雷同，发作的那天，就是它殒命的那天，潜伏期3天，7天，15天，越长，隐蔽性越高，越难以防范。
走为上

如果攻击队发现当前目标防守过于精密，则会采取“走为上”的计谋，转头去攻击其他单元其他较弱的目标。在有限的时间里，肯定是挑软柿子捏，吃饱了没事干，才会啃硬骨头。以是，有时候，只要你不是最弱的谁人单元，在攻防演练时，也会取得不错的成绩。以是应对这个计谋，在防守时，就要积极地去防守，去封IP，搞动作，让攻击队意识到，这个目标，是有防守的。
二、防守方计谋

反客为主

        如同我在 《业务系统不止要有安全中心，还要有反制中心》 里谈到的，在攻防演练大概日常检测预警中，不要不停把本身处于被动挨打的状态。反制应当在规则下，正当地进行。反制可以使用蜜罐类装备，去控制攻击者的装备。也可以获得攻击者IP后，尝试对IP进行嗅探。现在的攻击者，有构造，有依托公司的各类知识库，有本身的平台、工具、武器库形成战斗群。攻击队会在云平台搭建本身的各类平台，购买IP池用于伪装。但只要是平台，也可能会有漏洞。不过反制听起来热血，意义不大，有这个时间和精力，做点别的更好。
釜底抽薪

防守队对攻击队最“釜底抽薪”的动作只能是封IP了。封IP有时候意义不会很大，除非你封到构造者给的IP地址，否则攻击队很快就会更换IP地址。
欲擒故纵

正如“釜底抽薪”提到的，封IP有时候意义不大，你封了IP，攻击队换了另外一个IP，《网络安全里的苍蝇，蟑螂和白蚁》，你还需要再次去识别到新IP，害人害己。
以是，有时候，如果你识别到攻击队的IP，你可以不封他，只是观察他的攻击行为，如果他只是在探测，尝试，可以不消有什么动作，避免“打草惊蛇”，就当是免费的渗透测试。
一旦识别到风险，立刻“釜底抽薪”，封堵漏洞，反向注入、反向攻击、小偷偷小偷等。
但是这种环境，千万不要玩脱了，只有你检测装备足够的环境下，才能实验这个计谋。
关门捉贼

一键断网，把问题装备从互联网隔离开来。固然，许多时候可能抓不到贼，但是可以抓到贼留下的各类恶意木马、攻击手法、来源IP等等。
无中生有

这个主要是涉及到蜜罐的使用，“无中生有”出许多资产出来。
我们前面“顺手牵羊”里做加固，做暴露面收缩，都是在做减法，这里是开始做加法。
蜜罐的摆设在于麋集，可参考我以前写的：《攻防演练中的蜜罐，不在于他有多蜜，而在于他有多密》。
蜜罐默以为所有的访问信息都不正当，所有颠末蜜罐访问的记载都有清晰的记载，这样可以记载攻击者的入侵过程和思绪，后续追踪和反向溯源等攻击留下陈迹。
美人计

通过网站大概链接有玉人、大概诱导你去访问指定的网站、点击指定的反向给你的主机注入病毒，导致你的电脑成为肉鸡、木马、勒索病毒等病毒的流传站，平时没啥作用一旦远程激活之后很快就玉人杀手的复制机构。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。