各位 Buffer 晚上好，FreeBuf 甲方群话题讨论第257期来了！FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论，Kiki 群助手每周整理精华、干货讨论内容，为您提供一手价值信息。

话题抢先看

1、蓝队防守过程中难免出现受到攻击然后被扣分的情况，应该如何通过溯源反制弥补丢失的分数？

2、演练中针对大量繁杂的高频告警，是怎样建立响应处理流程的？

3、如果确实发现红队已进入内部网络，紧急响应流程是怎样的？

A1：

看日志，之后通过日志构建攻击队的人员画像，之后通过构建的画像溯源，攻击路径，从而发现攻击队。

输阵不能输人，万一领导问起来，咱们被攻击了，还被拿下了，你们做什么了吗？这时候，我就开始睁着眼说套路了，我至少有这个态度来追分。

A2：

说起来一套套，实施起来终止于看日志这一步。说不定日志还不全，可能怎么失陷的都分析不出来。

A3：

也可能配置还不对，所有的外网访问记录，全被转换成了内部网关地址，日志记录的全是内部网关地址

A4：

要攻击失陷后溯源才能得分，而且最多只是把丢的分找回来，溯源基本都是溯到香港的跳板机器就没结果了，唯一好的方法就是在跳板机和肉鸡上做个诱饵。

A5：

红队小年轻用自己手机号注册了账号，反手直接用社工库溯源，不需要技巧

A6：

蜜罐+反制诱饵，但这个基本上很难，就算能拿到了，也不是攻击队的真实终端。

A7：

也就是蜜罐了...让他搞，看着一点点抓ip，最好他传马，通过ip流量，看这个ip是谁实名注册

A8：

如果能查到ip是那一家运营商的，也能补获注册人信息

A9：

上蜜罐，造点假页面让攻击队上钩，抓对方的社交ID和手机号等信息

A10：

反制应该是额外加分吧，溯源应该是回血（最多获得你扣的分）

虽然单位能力不行，但是可以聊聊理论。单纯攻击溯源的话，主机日志、安全日志、全流量都存好，剩下的交给靠谱的人去分析了。

应该根据攻击队提交报告对应的攻击链（踩点和影子队攻击不算），从他攻击你的第一跳到最后一跳你把全流程都分析清楚了，然后提交分析报告，这个分析报告与攻击队报告基本一致的话，那么你扣了多少分，就给你加回多少分。如果细节不完整，裁判根据规则酌情按比例回血。

反制的话，一般蜜罐咯，有运气成分。看网上的资料，多种：

第一，是利用渗透工具的RCE漏洞，你构造一个能触发RCE的靶标，攻击队扫描以后，反控他的电脑

第二，你在一个蜜罐电脑/服务器上留个“vpn安装包.exe”或者有后门的电子文档，攻击队如果傻傻点击了，可以控到

第三，有些蜜罐应该是可以获取到cookie之类的，可以查别人身份，不过这种手段，别人是新装的电脑就没用了

A11：

输入ip，查找实例，网络请求中存在login name参数，为注册的手机号或者邮箱等等

A12：

A13：

对于溯源抓人 蜜罐一般是看点子 很多时候蜜罐自己都有很多bug. 最简单的方式还是直接干对方ip 看有没有漏洞突破进去在找线索 也看命

A14：

这个必须要有全量的网络流量分析，我觉得有几个网段就有几个探针，想跑也跑不了

A15：

上蜜罐，造点假页面让攻击队上钩，抓对方的社交ID和手机号等信息，我们今年这么干的，单位打两次就痛了。现在也支持一台探针多个网口，在多个网段。

A16：

A17：

阿里云的之前可以溯源，只要是机器是阿里云的，能查到注册人的邮箱。墨安蜜罐也能补获baidu id，bilibili id等等。比赛的话，一般也会允许你抓获攻击队的，抓到，攻击队扣分，按要求提交溯源的痕迹，确认是攻击队，或者是有违规操作就行

A18：

通过溯源反制快速定位攻击源并采取封堵、反渗透或上报监管等措施，有效遏制攻击行为。同时，结合日志分析、威胁情报和联动处置，不仅能减少失分影响，还能展示团队响应能力，为评分争取加分机会。

A19：

你们的蜜罐是用来做反制，我的蜜罐是用来收集情报做IP封禁

Q：演练中针对大量繁杂的高频告警，是怎样建立响应处理流程的？

A20：

A21：

目前还是人海战，可以结合情报系统过滤，使用SOAR做联动，流行点的用AI 做降噪

A22：

设置规则合并同源告警，优先消除重复告警，做误报匹配自动归档降噪。

A23：

A24：

先制定分级标准（按影响范围、紧急度）分类，用自动化工具初筛过滤一下。分工明确的情况下专人核实告警真实性，内部核心成员处置高危事件，同步建立升级机制研判是否开展应急流程。

A25：

一是抓重点。对于IPS、WAF这种海量告警设备，其实人工看的意义不大，用睿眼、天眼这种设备抓关键告警。

二是用智能。建立安全事件管理中心，定告警模型，提取高危风险IP。

三是快处置。对于分析出来的恶意IP，用IP封禁设备予以封禁。

A26：

A27：

A28：

A29：

优先关注HIDS告警，以及源地址为内部IP的网络层攻击告警。这两个玩意出现一般就是进来了

如果是封扫描互联网侧的IP，那就一点一点分析了

另外在互联网侧，有些设备是可以开启封IP的功能，告警到了一定程度封五元组或者是源IP

另外，某些厂商（而且比较小众）有结合威胁情报直接封IP的设备，交流过，但是没试用或者买过

A30：

对于完全重复的告警，直接合并，不再重复推送。根据告警的优先级，将其分配给不同级别的分析师处理，形成高效的漏斗模型

A31：

A32：

A33：

告警降噪➕自动封禁这个平时就做，hvv最多再数据标签再打一层，就怕告不出来

A34：

降噪这个根据日常触发频率来操作，平时做好自动化流程针对自己业务产生的告警提前加白。这个还是靠日常安全能力积累

Q：如果确实发现红队已进入内部网络，紧急响应流程是怎样的？

A35：

A36：

如果真这样，我想让他帮我看看我们这监控系统的密码是什么，今天忙活一天了，管密码的同事忘了，我们打电话给客服，需要重置系统才能重置密码

A37：

A38：

有一年hw期间呼某司支持，找不到人了，他们安排的搞等保建设的人来的，过来看了一圈给了套标准等保建设方案。

A39：

A40：

先定位，找到失陷系统。再断网，隔离保存证据。最后溯源，通过科来、主机IOA等设备，回溯攻击链，查漏补缺

A41：

A42：

A43：

先止血，断掉远控连接，封禁相关IP和域名，下一步再进行应急处置和恢复。

A44：

如果提前没有做网络划分的话，也没法实行快速隔离；如果已经做了细致的划分，快速隔离入侵机器，针对入侵的机器镜像及行为分析 参考问题1中各位大佬的得分指引 中挽救措施，减少总失分

A45：

如果真被打进来了，先确认失陷区域，是局部还是打穿。一般企业都是纵深防御，如果打穿，直接pass。如果还有机会，应急大斧子，隔离，脱网。

A46：

A47：

提前把所有prd的系统主机名改名为蜜罐***，让攻击队怀疑自己进入的是不是密网

A48：

1、通知断网；

2、如果是服务器，判定可能为勒索时则通知断电；

3、提供替代办公电脑，原问题电脑快递至IT服务中心，由2线提取磁盘镜像，在虚拟机沙箱中分析可疑文件（此步通过沙箱观察应用进程记录，基本可以分析出来可疑文件）；

4、通过可疑文件获取相关威胁情报进行验证。

A49：

人手少，不具备反制的能力，最多根据威胁情报，查到反链域名或IP进行举报。

我们就三个人，没有外包服务人员，日常做好态势感知的告警分析与优化，战时基本一眼就能看出异常流量。平时还要与网络组共同做好安全域划分与隔离，公司级应用区域上所有已有的安全设备，部门级则通过一年一签的IT责任书降责任落到部门，这样部门领导也会高度重视网安责任。

去年护网，我们公司级系统未被发现中高危漏洞，部门级则有1个高级几个中级漏洞。我们蜜罐有几十个，没有蜜网，战时基本没啥被踩中的，反倒是平时的安全服务项目乙方频繁踩中蜜罐。

攻击队的思路和传统的渗透测试思路不一样，直奔靶标或结合靶标周边进行情报收集或渗透。而蜜罐对脚本小子级别的无目的大面积漏扫才会被踩中。

本周话题总结

近期群内答疑解惑

Q：你们零信任连接中心跟服务器网络是在一个vlan还是独立开的呢？

A1：

独立开的吧，要是远程接入的话，零信任不该在DMZ区吗？

A2：

类似dmz的地方，过防火墙才能进入内网。单台1c 2c的vm墙都能处理800Mbps。

A3：

c6in性能很好的。1c就能飙到25Gbps，这种配置很少有。

Q：平常打攻防和渗透多的转甲方比较适合什么岗位？

A1：

甲方的渗透测试和红蓝对抗啊，而且都是大厂才养得起这样的团队。

A2：

红队要么大厂继续渗透，要么和蓝队一起转SOC，看日志。再高级一点的，通过SOC来转甲方安全建设。

A3：

甲方不止需要渗透测试啊，很多人把渗透测试当天了，感觉掌握了渗透测试，就掌握了全部。

A4：

渗透的搞安全开发、测试、运营都行啊，反正甲方都是用外包。

A5：

条件允许，可以去软件开发处或开发中心，指导软件安全开发，做安全威胁分析，或验证软件安全性。

A6：

都是看技能和业务匹配程度，也不是说平时打攻防就适合什么岗位，看自己有什么技能匹配甲方岗位的要求。

A7：

感觉这种人转到体量不够的甲方，同样的事情是做不下去了，要做偏运营和管理的工作。如果是转到体量够的甲方可以继续干老本行。

Q：针对远程桌面软件，大家是如何管理的？

A1：

零信任管，直接防火墙ban掉。

A2：

某厂防火墙可以直接有这个策略配置，不用自己去定义端口。只能说某些厂商的防火墙，还得自己手动配置相关的远程控制软件的策略，真的很逆天。

A3：

禁止掉后可以提供远程工具类似SDP之类的

A4：

得看环境的，正常情况下，不允许远程访问的地方，哪里还管双网卡。

A5：

如果有这个需求，直接零信任/VPN/SDP+堡垒机。

Q：大佬们，你们都是怎么防止硬盘被拆卸获取数据的，防拆条还是bitlocker还是其他什么手段呀

A1：

bl+物理锁

A2：

我看通过组策略下发bitlocker也是免费的，管理成本也不是很高吧

A3：

为啥怕拆硬盘啊！数据有那么高密吗？反正你加锁了也防的是君子，想弄开肯定不是难事，就看自己想不想弄了

A4：

那这样说的话dlp也不用设置了呀，如果装了dlp，但是能通过拆硬盘绕过，不是没有意义了吗

A5：

装了DLP硬盘的部分数据是加密的，更换系统环境这些加密的文件无法打开使用，需要特定的工具去破译

A6：

所以对外号称防止员工意外丢失和私拆硬盘，这类 比较多的 方式是磁盘加密加dlp+bios锁，反正就是搞得一堆东西进去，不坏还好，坏了自己都修不好；还要上自动备份agent实现重要文件夹自动备份

A7：

有外围环境的物理安全保护，增加监控门禁和安保人员监视等辅助手段，笔记本电脑加外壳锁确保不会轻易拆开取走硬盘和破解BIOS密码，BIOS设置密码，收回本地管理员权限，操作系统上DLP系统开启水印和相应的管控措施，手机或其他可能拍摄泄密的电子产品不能进去涉密区域，出管控区域需要检查任何介质及介质内容信息无害化要求等等！

A8：

不过管理成本确实蛮高的，用bitlocker加密硬盘，就得上bios密码，要不然还能通过bios重置tpm，绕过硬盘加密了

送你一本网安人的“小绿书”

光看不过瘾？想要加入话题深入交流？

那就来FreeBuf知识大陆电台小程序

网安人的“小绿书”

找报告、搜文档
行业新闻 、经验分享、职场八卦、同行互动

AI变声和匿名功能

专为社恐人士打造

让大家以更轻松的姿态

随时随地，想聊就聊

我们已经邀请数位网安行业大牛开设电台房间

等你来「撩」

扫码进入小程序，参与话题讨论

甲方群最新动态

上期话题回顾：

截图外泄的溯源方案；如何避免和应急删库风险|FB甲方群话题讨论

近期热点资讯

微软详解防御间接提示注入攻击的技术方案

GitHub全球核心服务中断事件全过程

新型信息窃取木马SHUYAL攻击19款主流浏览器窃取登录凭证

全球智能建筑与工业系统告急，Niagara框架曝高危漏洞

FreeBuf甲方社群每周开展不同的话题讨论，快来扫码加入我们吧！

【申请流程：扫码申请-后台审核（2-5个工作日）-邮件通知-加入社群】

注：目前1群、2群、3群已满，如有疑问，也可添加Kiki群助手微信：freebuf1024，备注：甲方会员

“FreeBuf甲方群”帮会已建立，该帮会以三大甲方社群为基础，连接1500+甲方，持续不断输出、汇总各行业知识干货，打造网安行业甲方专属资料留存地。现“FreeBuf甲方群”帮会限时开放加入端口，让我们一同加入，共同建设帮会内容体系，丰富学习交流地。

FreeBuf甲方群成员（因篇幅限制仅展现部分行业成员）：