超级会员免费看
蓝队网络安全指南:核心能力与实践策略
蓝队的定义与构成
蓝队通常指的是防御者,他们负责抵御对手、攻击者、红队或演习中的“对立力量”。这一定义适用于人类冲突的各个领域,包括陆地、海洋、空中、太空、网络和间谍活动等。在网络领域,蓝队成员可类比为“士兵”,他们运用设备(武器/工具)、训练和组织原则来对抗攻击者。蓝队成员包括SOC分析师、事件响应者、威胁猎人、威胁情报分析师以及法医/恶意软件分析师等。
蓝队应具备的核心能力
蓝队需要出色完成两项核心任务:
1. 发现并解决威胁 :在指定的防御环境中,进行传统的警报/检测、审查、分析、识别以及跨职能的协调沟通,以找出并解决任何潜在的对手。
2. 对抗对手并达成目标 :根据组织的风险状况和职能,采取以下一种或多种策略:
- 拒绝 :在检测到侦察行为后,防止入侵者获得初始访问权限;在初始入侵后,阻止其进一步访问环境。可通过修补系统、实施防火墙/代理/DNS阻止等措施实现。
- 降级 :实施额外的措施或控制,减缓攻击速度,使攻击行为对防御者更难实施或更易被察觉。例如部署额外的IOC、暴露恶意软件、C2、TTPs等。
- 破坏 :尝试在攻击生命周期的某个阶段至少阻止部分攻击行为,如阻止C2通信、移除后门等。
- 欺骗 :这是一种更高级的功能,能够将攻击者引导或限制在严格控制和监控的基础设施部分,为防御者争取时间,以便更好地了解攻击者的TTPs、动机和意图,并制定
订阅专栏 解锁全文
扫一扫
8850
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
