攻防演练中防守方的防护措施.

红队常用的防护手段

防护手段是落地防护策略的基础，但“不知攻，焉知防”，近年随着网络攻击的手段、方法的层出不穷，攻击技术的不断发展，红队的网络防御难度也越来越大，需要不断更新才能更好地保障网络安全。结合近几年实战攻防演练中蓝队常用的信息收集、钓鱼邮件、供应链攻击等常用攻击手段和重点，本章将通过五种防护手段来确保防御策略中信息清理、收缩战线、纵深防护的有效执行。

防信息泄露

信息搜集是攻防活动中攻击者进行的第一步操作，也是非常重要的一步。为了防止攻击被发现，攻击队一般会采取外围信息收集的策略，并根据搜集到的数据的质量确定后续的攻击方法或思路。外围信息收集的主要来源是信息泄露。信息泄露及其处置方式主要分为以下几类。

防文档信息泄露

许多开发人员、运维人员安全意识不足，例如，为了方便或赚积分把一些未脱敏文件上传到网盘、文库、运维群等公共平台上，造成关键文档信息泄露。如果密码、接口信息、网络架构等文档信息泄露，攻击者会根据泄露信息绕过安全防护，使安全防护形同虚设。

攻击者一般会通过如下几类网站或工具搜索目标单位信息： - 学术网站类，如知网CNKI、Google学术、百度学术； - 网盘类，如微盘Vdisk、百度网盘、360云盘等； - 代码托管平台类，如GitHub、Bitbucket、GitLab、Gitee等； - 招投标网站类，自建招投标网站、第三方招投标网站等； - 文库类，如百度文库、豆丁网、道客巴巴等； - 社交平台类，如微信群、QQ群、论坛、贴吧等。最受攻击者欢迎的文档信息包括以下几类。

使用手册：VPN系统、OA系统、邮箱等系统的使用手册，其中的敏感信息可能包含应用访问地址、默认账号信息等。
安装手册：可能包含应用默认口令、硬件设备的内外网地址等。
交付文档：可能包含应用配置信息、网络拓扑、网络的配置信息等。

具体处置建议如下。

1）从制度上明确要求敏感文档一律不准上传到网盘或文库，并定

期审查。

2）对第三方人员同样要求涉及本单位的敏感文档，未经合同单位允许不得共享给项目无关人员，不得上传到网盘、文库、QQ群共享等公共平台。一经发现，严肃处理。

3）定期去上面提到的各类网站或工具中搜索自己单位的关键字，如发现敏感文档要求上传者或平台删除。

防代码托管泄露

开发者利用社交编程及代码托管网站，使用户可以轻易地管理、存储和搜索程序源代码，这些代码托管网站受到了广大程序员们的热爱。然而，缺乏安全意识的程序员可能会将组织或客户公司的源代码全部或部分上传到代码托管网站。攻击者找到目标单位源代码后会直接对源代码进行安全审计，通过白盒测试挖掘系统漏洞，使得部分防御措施失效或精准绕过防护规则；或者源代码中包含的敏感信息可能会涉及应用连接的账号和密码、配置信息等重要信息，泄露后会被直接利用。针对防代码托管泄露的建议如下：

1）在制度上严禁项目源代码公开到代码托管网站； 2）禁止开发人员私自将源代码复制到不可控的电脑上；

3）定期在GitHub、Bitbucket、GitLab、Gitee等各大代码托管网站上搜索自己单位的关键字，如发现上面有自己单位的源代码，要求上传者或平台删除。

防历史漏洞泄露

大多数攻击者会在漏洞平台上搜索目标单位系统或与目标单位系统指纹相同系统的漏洞信息，并根据漏洞信息测试漏洞是否存在，如果漏洞未修复，则会直接利用。目前主流的漏洞上报平台如下。

补天平台：https://www.butian.net/。 - 漏洞盒子：https://www.vulbox.com。 - 乌云镜像：http😕/www.anquan.us。 - Hackerone：https://www.hackerone.com。处置建议如下： 1）收集各大漏洞平台上关于本单位的漏洞信息，逐一验证修复情

况；

2）收集和本单位使用相同商业系统或开源系统的漏洞信息，逐一验证本单位系统是否存在漏洞平台披露的漏洞。

防人员信息泄露

目标单位人员的邮箱、电话、通讯录等信息泄露也会带来一定程度的安全隐患，攻击者可以用这些信息来对这些人员采取定向钓鱼、社工等手段，控制他们的电子设备，从而进行进一步的信息收集和入侵。

处置建议如下：

1）增强人员安全意识，不要轻易打开可疑邮件，不得向未经确认人员泄露敏感信息，禁止将未经确认人员添加到业务群或其他敏感工作群；

2）禁止在程序源代码里放管理员邮箱、电话等敏感信息。

防其他信息泄露

除上述可能造成的信息泄露外，攻击者也会收集目标单位的供应商信息、单位组织结构或下属单位信息，并通过攻击这些目标迂回攻击目标单位信息系统。这也是攻击者较常使用的攻击手段。

处置建议如下：

1）与下属单位的系统互联，上网络层面部署安全防护和检测设备，接入前下属单位系统要出具代码审计和渗透测试报告，保障接入安全；

2）不要和其他系统单位或个人共用密码，如有条件可增加动态密码或者密钥认证，防止黑客撞库攻击；

3）对于托管在公有云上的系统，要求云提供商单独部署，不得与其他单位系统共用网段、服务器以及存储等组件，防止旁路攻击。

防钓鱼

社会工程学是一种通过人际交流的方式获得信息的非技术渗透手段。不幸的是，这种手段非常有效，而且应用效率极高。事实上，社会工程学已是企业安全最大的威胁之一。目前社工手段主要有以下几种。

（1）邮件钓鱼

攻击者通过目标单位泄露的邮件地址，利用发送时事热点、冒充领导、冒充维护人员、邮箱升级等钓鱼手段，在邮件的链接和附件中隐藏恶意链接或样本，诱骗安全意识差的内部人员点击、下载或运行，达到控制其IT设备的目的。

建议的防御措施如下： 1）提高人员（特别是管理员）的安全意识； 2）收到邮件后仔细鉴别邮件的标题、发件人、信件内容等； 3）谨慎打开邮件附件及附件中的链接等； 4）不要轻易打开陌生邮件里的链接。

（2）网络钓鱼

攻击者利用热点网络文章（带链接和工具附件）、社交软件、微信公众号等，诱导用户点击恶意链接进行钓鱼攻击。

建议的防御措施如下： 1）提高人员（特别是管理员）的安全意识； 2）对网络上分享的内容进行鉴别，谨慎使用分享工具等； 3）谨慎点击收到的通知或信息中的链接，谨慎下载链接中的附件等。

（3）人员冒充

攻击者冒充上级单位、监管机构、供应商通过电话、短信等方式套取重要信息。近年来已有多个参演单位发现冒充上级单位、监管机构以检查的名义索要资产信息和联系人的钓鱼事件，以及冒充供应商等以维护、检查等名义索要资产信息的钓鱼事件。

建议的防御措施如下：

1）建立上级单位、监管机构、供应商的沟通机制和联络人名单，通过正常沟通流程进行沟通；

2）对接收到的问询等进行人员身份确认，若无法确认，则不提供任何信息。

（4）反向社工

攻击者紧跟时事热点，发布并扩散故障公告和钓鱼联系方式，等待用户主动联系时进行钓鱼，如冒充某些设备或安全厂商发布漏洞公告和联系方式的钓鱼事件。

建议的防御措施如下： 1）通过正规方式联系消息发布人； 2）如对方询问敏感信息，不要泄露；

3）如对方要求现场维护，须让对方出具证明，待身份确认后方可允许对方进入，内部人员须全程陪同。

参考资料

红蓝攻防构建实战化网络安全防御体系
青藤云安全 2022攻防演练蓝队防守指南