护网小结（持续更新）

国庆70周年，护网比去年来得更猛烈了。

近期安全圈最为火热的话题莫过于此。朋友圈各种招人。客观来看，护网对安全市场有着不小的促进作用，各类企业在安全建设方面的投入也会持续增加。有消费才能拉动经济嘛，安全从业者的就业市场也会进一步拓宽。对于圈内的人而言，好处多多。不过这段时间确实辛苦，正式护网还没开始，已经累成一滩烂泥。尤其是防守方。。。。

身为防守方，人海战术是第一步了。相信有不少单位已经开始7*24了。虽说10号到28号才是护网时间段，但前期演练还是少不了的，更何况，攻击方不可能10号才开始攻击。抛开人海战术，防守方的前期准备工作自然是，写防护方案。。。然后再落地。包括边界防护的核查，如防火墙策略梳理，又如哪些对外的服务没有纳入监控范围的，再如资产的隐患核查，及对外服务资产的口令强度提升（这里多嘴一句，一直觉得从邮箱进去算是不错的口子。防护再出色，也怕弱口令，人这环节，当真是最薄弱之处），然后就是看看网上有没有相关源码的泄露。由于自己还没形成链状的防护思路，能想到的不多。想进一步了解的，可看君哥的一次攻防实战演习复盘总结。

基础工作做好了，自然是开始模拟攻防了。

这一块，防守方大致是盯着安全设备看了。不过要想防守做得好一些，个人觉得安全设备的日志处理还是必要的。如waf的日志，流量分析设备的日志等相关日志，虽然安全设备对于日志做过一定的处理。但是远远不够。这里说的日志处理，指的是，大量日志关联还原出真实的攻击情况。从资产角度出发，同一资产受到的不同攻击数据包及其访问数据包，还需联动不同的设备日志。一定程度上可以还原出未发现的资产薄弱点。尤其是在攻击方采用大量无效攻击包干扰时，靠肉眼去甄别就很难了。日志处理还算是有希望找出真正有威胁的攻击行为。

总觉得护网的工作核心就是监测-分析-处置，最后做的就是。。。封IP。做为防守方，除了封禁还能做些什么。值得思考。

之前提到人是最薄弱的地方，相信看过人性的弱点，啊呸，欺骗的艺术。。的同学，会对社工充满想象。总觉得社工有着无限可能性。护网自然也不会漏了这一块。不然按照历年情况来看，16年的是成功了，其他没怎么听说。总觉得社工这块，攻击方都未做到极致，只是做为一种可能性去尝试。话说，捡垃圾也可以啊。哈哈，不知道有没有人这样试过，一般企业对于这些文件处理还是比较随意的，碎纸机也是摆设。至于收买防守人员，这一点被禁止可以理解，毕竟是演练，有些东西不可控。但实际中，这些操作的可能性还是很大的。也不知道该如何去防范。

不知道大厂的红队人员会不会用0day，不过可以肯定的是，2725补丁绕过的exp肯定会用。我相信不是每个企业都采用删包的修复方式的，只是打补丁的可就倒霉了。。。