护网小结（持续更新）

国庆70周年，护网比去年来得更猛烈了。

近期安全圈最为火热的话题莫过于此。朋友圈各类招人。客观来看，护网对安全市场有着不小的促进做用，各种企业在安全建设方面的投入也会持续增长。有消费才能拉动经济嘛，安全从业者的就业市场也会进一步拓宽。对于圈内的人而言，好处多多。不过这段时间确实辛苦，正式护网还没开始，已经累成一滩烂泥。尤为是防守方。。。。

身为防守方，人海战术是第一步了。相信有很多单位已经开始7*24了。虽然说10号到28号才是护网时间段，但前期演练仍是少不了的，更况且，攻击方不可能10号才开始攻击。抛开人海战术，防守方的前期准备工做天然是，写防御方案。。。而后再落地。包括边界防御的核查，如防火墙策略梳理，又如哪些对外的服务没有归入监控范围的，再如资产的隐患核查，及对外服务资产的口令强度提高（这里多嘴一句，一直以为从邮箱进去算是不错的口子。防御再出色，也怕弱口令，人这环节，当真是最薄弱之处），而后就是看看网上有没有相关源码的泄露。因为本身还没造成链状的防御思路，能想到的很少。想进一步了解的，可看君哥的一次攻防实战演习复盘总结。

基础工做作好了，天然是开始模拟攻防了。

这一块，防守方大体是盯着安全设备看了。不过要想防守作得好一些，我的以为安全设备的日志处理仍是必要的。如waf的日志，流量分析设备的日志等相关日志，虽然安全设备对于日志作过必定的处理。可是远远不够。这里说的日志处理，指的是，大量日志关联还原出真实的攻击状况。从资产角度出发，同一资产受到的不一样攻击数据包及其访问数据包，还需联动不一样的设备日志。必定程度上能够还原出未发现的资产薄弱点。尤为是在攻击方采用大量无效攻击包干扰时，靠肉眼去甄别就很难了。日志处理还算是有但愿找出真正有威胁的攻击行为。

总以为护网的工做核心就是监测-分析-处置，最后作的就是。。。封IP。作为防守方，除了封禁还能作些什么。值得思考。

以前提到人是最薄弱的地方，相信看过人性的弱点，啊呸，欺骗的艺术。。的同窗，会对社工充满想象。总以为社工有着无限可能性。护网天然也不会漏了这一块。否则按照历年状况来看，16年的是成功了，其余没怎么据说。总以为社工这块，攻击方都未作到极致，只是作为一种可能性去尝试。话说，捡垃圾也能够啊。哈哈，不知道有没有人这样试过，通常企业对于这些文件处理仍是比较随意的，碎纸机也是摆设。至于收买防守人员，这一点被禁止能够理解，毕竟是演练，有些东西不可控。但实际中，这些操做的可能性仍是很大的。也不知道该如何去防范。

不知道大厂的红队人员会不会用0day，不过能够确定的是，2725补丁绕过的exp确定会用，毕竟以前电信护网的时候已经用上了。我相信不是每一个企业都采用删包的修复方式的，只是打补丁的可就倒霉了。。。