大家覺得有意義記得關(guān)注和點(diǎn)贊！！！

引言

????????在網(wǎng)絡(luò)安全攻防演練里面，用于分析攻擊者動(dòng)機(jī)和行為的，國(guó)外的有基于攻擊鏈分析的模型（如Cyber Kill Chain和ATT&CK）和基于威脅行為的模型（如Diamond Model of Intrusion Analysis和Pyramid of Pain）等。也有各類PDR（Protect，防護(hù)、Detect，檢測(cè)、Respond，響應(yīng)）變種。

????????我將常見的攻防使用通俗易懂的老祖宗智慧之三十六計(jì)進(jìn)行匹配，讓大家更容易理解，并給出針對(duì)性的防守方法。

????????當(dāng)然在實(shí)際攻防對(duì)抗中遠(yuǎn)不止我所描述的這些，比如多種大模型的檢測(cè)/蜜罐/沙箱、/IDS/IPS/WAF/DDOS防護(hù)/威脅情報(bào)/主動(dòng)防御等工具的組合使用.

攻防兩大陣營(yíng)分類

主要的攻擊策略
處于優(yōu)勢(shì)時(shí)所用之計(jì)			處于劣勢(shì)時(shí)所用之計(jì)
勝戰(zhàn)計(jì)	敵戰(zhàn)計(jì)	攻戰(zhàn)計(jì)	混戰(zhàn)計(jì)	并戰(zhàn)計(jì)	敗戰(zhàn)計(jì)
瞞天過(guò)海 圍魏救趙 借刀殺人 以逸待勞 趁火打劫 聲東擊西	無(wú)中生有 暗度陳倉(cāng) 隔岸觀火 笑里藏刀 李代桃僵 順手牽羊	打草驚蛇 借尸還魂 調(diào)虎離山 欲擒故縱 拋磚引玉 擒賊擒王	釜底抽薪 混水摸魚 金蟬脫殼 關(guān)門捉賊 遠(yuǎn)交近攻 假道伐毓	偷梁換柱 指桑罵槐 假癡不癲 上屋抽梯 樹上開花 反客為主	美人計(jì) 空城計(jì) 反間計(jì) 苦肉計(jì) 連環(huán)計(jì) 走為上

左邊可以認(rèn)為是攻擊隊(duì)會(huì)采用的一些方法，右邊是防守方會(huì)被迫采取的做法。

一、攻擊隊(duì)計(jì)謀

瞞天過(guò)海

在攻防演練的時(shí)候，我們一定會(huì)發(fā)現(xiàn)，各類掃描增多，各類設(shè)備告警也變多，這是正常的。

因?yàn)楣絷?duì)為了得分，會(huì)對(duì)你進(jìn)行“Reconnaissance”。這其中，有可能有些就是有意的行為。

有些攻擊隊(duì)，為了掩蓋他們的攻擊行為，會(huì)購(gòu)買或自行對(duì)你的系統(tǒng)進(jìn)行掃描，讓你淹沒在海量的告警里，而忽略了他們真正的攻擊行為。

對(duì)付這類行為，我們?cè)诠シ姥菥氈?#xff0c;就應(yīng)當(dāng)對(duì)告警進(jìn)行清零。

清零看似很難，其實(shí)一點(diǎn)都不簡(jiǎn)單。我們只能做到一定程度的降噪。

前期，就要對(duì)對(duì)正在掃描你的所有IP有一個(gè)極為清晰的認(rèn)識(shí)，分清哪些IP大概是什么，在攻防演練期間，再結(jié)合歷史記錄，識(shí)別到是新增的還是已有的掃描類IP。

在攻防演練期間，就只能寄希望于各類檢測(cè)設(shè)備，爭(zhēng)取發(fā)現(xiàn)一些蛛絲馬跡。

借刀殺人

由于網(wǎng)絡(luò)攻擊的特殊性，攻擊隊(duì)我們最開始能看到的，就是一串IP。

在攻防演練的時(shí)候，為了演練比較可控，組織者會(huì)分配給攻擊隊(duì)一些IP資源，并且要求只從這些IP發(fā)起攻擊。

循規(guī)蹈矩的人，不會(huì)成為攻擊者，或者是，很難成為很強(qiáng)的攻擊者。

所以攻擊隊(duì)，他很大概率不會(huì)直接使用這些IP導(dǎo)致“出師未捷身先死”。在外網(wǎng)，他會(huì)先“借用”自己的其他IP，或者團(tuán)隊(duì)的資源，先對(duì)目標(biāo)進(jìn)行“Reconnaissance”，等探測(cè)得差不多，覺得有把握拿下了，才會(huì)真正使用那些IP攻擊——成功——截圖——提交報(bào)告。

在內(nèi)網(wǎng)里，他會(huì)控制一些中了木馬的客戶端或者服務(wù)器發(fā)起攻擊，導(dǎo)致你的溯源，都是溯源到錯(cuò)誤的IP上。

笑里藏刀

在攻防演練里，釣魚是最沒有技術(shù)含量但是性價(jià)比最高的。很多攻擊隊(duì)正面打不進(jìn)去，就會(huì)投機(jī)取巧開始釣魚了。

釣魚，一般會(huì)給你一些甜頭，說(shuō)你中獎(jiǎng)了，或者裝成尋求幫助的弱者，含著笑，其實(shí)最終是要獲取你的信息，甚至全控你。

我們會(huì)說(shuō)為了防止被釣魚，會(huì)開展網(wǎng)絡(luò)安全意識(shí)培訓(xùn)，開展反釣魚郵件演練。但是其實(shí)這個(gè)意義不大。

不管你做多少次反釣魚郵件演練，在攻防演練中，一定會(huì)有人會(huì)中招，一旦中招，一般都是被全控，攻擊隊(duì)立刻進(jìn)入單位內(nèi)網(wǎng)。

反釣魚郵件演練就像考試，題目出得簡(jiǎn)單一點(diǎn)，很多人都可以過(guò)，出難點(diǎn)，就很多人會(huì)中招了。

而且很多在特定的場(chǎng)景下，再見多識(shí)廣、謹(jǐn)小慎微的人，都會(huì)中招。

所以，對(duì)于釣魚的防守，就是不要防釣魚，要假定失陷?！禕eyondCorp和高校的落地》。任何其他的防守策略，都一定要以“攻擊隊(duì)一定會(huì)進(jìn)入內(nèi)網(wǎng)”為底線思維。

順手牽羊

有些攻擊隊(duì)在攻擊時(shí)，會(huì)不經(jīng)意“順手牽羊”到其他不是原始目標(biāo)的權(quán)限、數(shù)據(jù)，這種一般發(fā)生在防守方異常弱的情況下。

進(jìn)入這種防守單位，仿佛進(jìn)入了漏洞的金庫(kù)，到處都是得分點(diǎn)。

為了防止這種情況發(fā)生，常規(guī)的安全套餐需要安排做一遍，特別是“兩高一弱”，需要——

1 讓自己人掃。在攻防演練之前，請(qǐng)一些攻擊隊(duì)做一些掃描并且進(jìn)行整改。

2 不讓攻擊隊(duì)掃。這可以通過(guò)蜜罐或流量來(lái)發(fā)現(xiàn)攻擊隊(duì)的掃描行為，并第一時(shí)間對(duì)發(fā)起掃描的IP進(jìn)行隔離。

借尸還魂

有時(shí)候你的一臺(tái)設(shè)備被全控，經(jīng)過(guò)你和伙伴的應(yīng)急響應(yīng)，找到并刪除了木馬，清理了環(huán)境，高高興興又上線了，但是后面發(fā)現(xiàn)，攻擊隊(duì)還是從這臺(tái)設(shè)備“借尸還魂”。

當(dāng)然一個(gè)可能是，你技術(shù)能力不足，或者你漏洞沒有修復(fù)，或者你沒有舉一反三，《網(wǎng)絡(luò)安全里的蒼蠅，蟑螂和白蟻》，或者你只是刪除了上傳的木馬，被人家再次利用。

還有一個(gè)可能是，攻擊隊(duì)可能上傳了十幾個(gè)木馬，故意留下那個(gè)最簡(jiǎn)單的，讓你識(shí)別并且止步于此。

一臺(tái)設(shè)備被全控，他上面的所有信息變得不再可信，即使日志也可以被偽造。

就像你在電影里看到的，被俘虜過(guò)的人一樣。即使全身而退，不管他自己說(shuō)有沒有talk，你一定要以他所知道的所有信息泄露為前提進(jìn)行應(yīng)對(duì)。

為了防止這種情況，對(duì)于被攻擊或被全控過(guò)的設(shè)備，我們一定要重新安裝操作系統(tǒng)，重新部署應(yīng)用，程序代碼重新下載，數(shù)據(jù)庫(kù)導(dǎo)出導(dǎo)入，上載文件全查病毒，比對(duì)備份文件。

擒賊擒王

“王”就是集權(quán)系統(tǒng)。比如云平臺(tái)、集中式數(shù)據(jù)庫(kù)平臺(tái)、統(tǒng)一身份認(rèn)證平臺(tái)、堡壘機(jī)、源代碼版本庫(kù)管理系統(tǒng)、運(yùn)維平臺(tái)等等。

雖然擒王難度很高，不過(guò)帶來(lái)的收益也是巨大的。有些攻擊隊(duì)不屑于幫你找前面“順手牽羊”的問(wèn)題，而是會(huì)對(duì)著集權(quán)系統(tǒng)發(fā)起挑戰(zhàn)。

對(duì)于這種的防護(hù)，最重要的是要梳理好這些“圣杯”資產(chǎn)，對(duì)這些系統(tǒng)加強(qiáng)防護(hù)，分級(jí)管理。

很多時(shí)候，可能是你所不知道的某個(gè)二級(jí)單位的這類系統(tǒng)被攻陷。

金蟬脫殼

攻擊隊(duì)攻擊完成后，會(huì)刪除日志，清理痕跡。

對(duì)于這類防護(hù)，需要做好日志保留，日志應(yīng)當(dāng)傳輸?shù)竭h(yuǎn)程。

但是這個(gè)傳輸動(dòng)作可能被暫停，或者傳輸?shù)膬?nèi)容被惡意篡改，所以不可篡改的流量留存也是非常重要的。

偷梁換柱

有些攻擊隊(duì)不尋求直接破壞系統(tǒng)，而是通過(guò)偷梁換柱等手段，替換一些組件，在系統(tǒng)內(nèi)隱藏起來(lái)。這個(gè)有時(shí)候比較難防，惡意行為和病毒很類似，發(fā)作的那天，就是它死亡的那天，潛伏期3天，7天，15天，越長(zhǎng)，隱蔽性越高，越難以防范。

走為上

如果攻擊隊(duì)發(fā)現(xiàn)當(dāng)前目標(biāo)防守過(guò)于嚴(yán)密，則會(huì)采取“走為上”的策略，轉(zhuǎn)頭去攻擊其他單位其他較弱的目標(biāo)。在有限的時(shí)間里，肯定是挑軟柿子捏，吃飽了沒事干，才會(huì)啃硬骨頭。所以，有時(shí)候，只要你不是最弱的那個(gè)單位，在攻防演練時(shí)，也會(huì)取得不錯(cuò)的成績(jī)。所以應(yīng)對(duì)這個(gè)策略，在防守時(shí)，就要積極地去防守，去封IP，搞動(dòng)作，讓攻擊隊(duì)意識(shí)到，這個(gè)目標(biāo)，是有防守的。

二、防守方計(jì)謀

反客為主

????????如同我在 《業(yè)務(wù)系統(tǒng)不止要有安全中心，還要有反制中心》 里談到的，在攻防演練或者日常檢測(cè)預(yù)警中，不要一直把自己處于被動(dòng)挨打的狀態(tài)。反制應(yīng)當(dāng)在規(guī)則下，合法地進(jìn)行。反制可以利用蜜罐類設(shè)備，去控制攻擊者的設(shè)備。也可以獲得攻擊者IP后，嘗試對(duì)IP進(jìn)行嗅探?，F(xiàn)在的攻擊者，有組織，有依托公司的各類知識(shí)庫(kù)，有自己的平臺(tái)、工具、武器庫(kù)形成戰(zhàn)斗群。攻擊隊(duì)會(huì)在云平臺(tái)搭建自己的各類平臺(tái)，購(gòu)買IP池用于偽裝。但只要是平臺(tái)，也可能會(huì)有漏洞。不過(guò)反制聽起來(lái)熱血，意義不大，有這個(gè)時(shí)間和精力，做點(diǎn)別的更好。

釜底抽薪

防守隊(duì)對(duì)攻擊隊(duì)最“釜底抽薪”的動(dòng)作只能是封IP了。封IP有時(shí)候意義不會(huì)很大，除非你封到組織者給的IP地址，否則攻擊隊(duì)很快就會(huì)更換IP地址。

欲擒故縱

正如“釜底抽薪”提到的，封IP有時(shí)候意義不大，你封了IP，攻擊隊(duì)換了另外一個(gè)IP，《網(wǎng)絡(luò)安全里的蒼蠅，蟑螂和白蟻》，你還需要再次去識(shí)別到新IP，害人害己。

所以，有時(shí)候，如果你識(shí)別到攻擊隊(duì)的IP，你可以不封他，只是觀察他的攻擊行為，如果他只是在探測(cè)，嘗試，可以不用有什么動(dòng)作，避免“打草驚蛇”，就當(dāng)是免費(fèi)的滲透測(cè)試。

一旦識(shí)別到風(fēng)險(xiǎn)，立刻“釜底抽薪”，封堵漏洞，反向注入、反向攻擊、小偷偷小偷等。

但是這種情況，千萬(wàn)不要玩脫了，只有你檢測(cè)設(shè)備足夠的情況下，才能執(zhí)行這個(gè)策略。

關(guān)門捉賊

一鍵斷網(wǎng)，把問(wèn)題設(shè)備從互聯(lián)網(wǎng)隔離開來(lái)。當(dāng)然，很多時(shí)候可能抓不到賊，但是可以抓到賊留下的各類惡意木馬、攻擊手法、來(lái)源IP等等。

無(wú)中生有

這個(gè)主要是涉及到蜜罐的使用，“無(wú)中生有”出很多資產(chǎn)出來(lái)。

我們前面“順手牽羊”里做加固，做暴露面收縮，都是在做減法，這里是開始做加法。

蜜罐的部署在于密集，可參考我以前寫的：《攻防演練中的蜜罐，不在于他有多蜜，而在于他有多密》。

蜜罐默認(rèn)為所有的訪問(wèn)信息都不合法，所有經(jīng)過(guò)蜜罐訪問(wèn)的記錄都有清晰的記錄，這樣可以記錄攻擊者的入侵過(guò)程和思路，后續(xù)追蹤和反向溯源等攻擊留下痕跡。

美人計(jì)

通過(guò)網(wǎng)站或者鏈接有美女、或者誘導(dǎo)你去訪問(wèn)指定的網(wǎng)站、點(diǎn)擊指定的反向給你的主機(jī)注入病毒，導(dǎo)致你的電腦成為肉雞、木馬、勒索病毒等病毒的傳播站，平時(shí)沒啥作用一旦遠(yuǎn)程激活之后很快就美女殺手的復(fù)制機(jī)構(gòu)。