護網小結（持續更新）

國慶70週年，護網比去年來得更猛烈了。

近期安全圈最爲火熱的話題莫過於此。朋友圈各類招人。客觀來看，護網對安全市場有着不小的促進做用，各種企業在安全建設方面的投入也會持續增長。有消費才能拉動經濟嘛，安全從業者的就業市場也會進一步拓寬。對於圈內的人而言，好處多多。不過這段時間確實辛苦，正式護網還沒開始，已經累成一灘爛泥。尤爲是防守方。。。。

身爲防守方，人海戰術是第一步了。相信有很多單位已經開始7*24了。雖然說10號到28號纔是護網時間段，但前期演練仍是少不了的，更況且，攻擊方不可能10號纔開始攻擊。拋開人海戰術，防守方的前期準備工做天然是，寫防禦方案。。。而後再落地。包括邊界防禦的核查，如防火牆策略梳理，又如哪些對外的服務沒有歸入監控範圍的，再如資產的隱患覈查，及對外服務資產的口令強度提高（這裏多嘴一句，一直以爲從郵箱進去算是不錯的口子。防禦再出色，也怕弱口令，人這環節，當真是最薄弱之處），而後就是看看網上有沒有相關源碼的泄露。因爲本身還沒造成鏈狀的防禦思路，能想到的很少。想進一步瞭解的，可看君哥的一次攻防實戰演習覆盤總結。

基礎工做作好了，天然是開始模擬攻防了。

這一塊，防守方大體是盯着安全設備看了。不過要想防守作得好一些，我的以爲安全設備的日誌處理仍是必要的。如waf的日誌，流量分析設備的日誌等相關日誌，雖然安全設備對於日誌作過必定的處理。可是遠遠不夠。這裏說的日誌處理，指的是，大量日誌關聯還原出真實的攻擊狀況。從資產角度出發，同一資產受到的不一樣攻擊數據包及其訪問數據包，還需聯動不一樣的設備日誌。必定程度上能夠還原出未發現的資產薄弱點。尤爲是在攻擊方採用大量無效攻擊包乾擾時，靠肉眼去甄別就很難了。日誌處理還算是有但願找出真正有威脅的攻擊行爲。

總以爲護網的工做核心就是監測-分析-處置，最後作的就是。。。封IP。作爲防守方，除了封禁還能作些什麼。值得思考。

以前提到人是最薄弱的地方，相信看過人性的弱點，啊呸，欺騙的藝術。。的同窗，會對社工充滿想象。總以爲社工有着無限可能性。護網天然也不會漏了這一塊。否則按照歷年狀況來看，16年的是成功了，其餘沒怎麼據說。總以爲社工這塊，攻擊方都未作到極致，只是作爲一種可能性去嘗試。話說，撿垃圾也能夠啊。哈哈，不知道有沒有人這樣試過，通常企業對於這些文件處理仍是比較隨意的，碎紙機也是擺設。至於收買防守人員，這一點被禁止能夠理解，畢竟是演練，有些東西不可控。但實際中，這些操做的可能性仍是很大的。也不知道該如何去防範。

不知道大廠的紅隊人員會不會用0day，不過能夠確定的是，2725補丁繞過的exp確定會用，畢竟以前電信護網的時候已經用上了。我相信不是每一個企業都採用刪包的修復方式的，只是打補丁的可就倒黴了。。。