1.各等級工作
初級藍隊:
1.監測預警
主要會網絡流量分析,會看系統日志,web服務日志,磁盤文件恢復等
中級藍隊:
主要做應急響應
有以下應急場景:
網絡攻擊事件
安全掃描攻擊,暴力破解攻擊,系統漏洞攻擊,WEB漏洞攻擊,拒絕服務攻擊
惡意程序事件
病毒,遠程木馬,僵屍網絡程序,挖礦程序
WEB惡意代碼
Webshell后門,網頁掛馬,網頁暗鏈
信息破壞事件
系統配置內容篡改信息泄露數據,信息數據泄露事件,網站內容篡改事件,數據庫內容篡改事件
其他安全事件
賬號被異常登錄,異常網絡連接
高級藍隊:
主要工作:攻擊溯源反制
反制小組
蜜罐技術
取證分析
目標定位
2.護網各時間段工作
護網前干什么,風險自查與加固(基線檢查),互聯網暴露面評估檢查(網絡訪問控制,日志審計,身份認證和權限)
護網時干什么
1.事件檢測:設備防御,時間突發處理,流量監測等
2.應急響應:對於各種安全事件(網絡攻擊事件,惡意程序事件信息破壞事件等)的處理方式
護網后干什么
溯源反制
3.藍隊初級
藍隊初級:
1.基線與加固
主機系統基線與加固
1.windows系統基線與加固
賬號口令,網絡服務,系統日志審計,防火牆配置,文件系統,組策略,基線策略,系統文件變動監控,注冊表
2.Linux系統加固
賬號口令,網絡服務,SSH登錄日志,文件系統等
數據庫極限與加固
數據庫加固,弱密碼檢測
應用加固
1.中間件加固
IIS加固,Apache加固,Tomcat加固
2.其他應用的弱口令檢測
SSH,FTP弱密碼檢測等
3.流量監控