本章为该系列的第2篇，也是事前准备阶段的第2篇，这一篇让我们聊聊如何在演练前增强我们的防护体系。

一、流量监控体系

历次对抗演练的主角莫过于各类流量监控设备了，如ips/ids、waf、nta等，关于流量监控类的设备，在精力有限的情况下，重点关注两个点就够了，一是流量监控覆盖度，二是规则的准确度。

1.1 流量覆盖度

如果安全自己不负责网络相关的工作，则需要网络和运维部门的协助，前期一定要与网络和运维部门做好沟通工作，必要时可让领导出面，双方达成共识后跨部门的协同才能更通畅。
想要保证有较高的流量覆盖度，首先要了解我们的网络都有哪些区域，所以一份完整的网络区域清单就非常重要，这个清单至少要包含两个维度：

当前的企业网络内都有哪些网段
各网段分别用作什么用途

获取到清单后，首先要根据网段的用途判断重要程度，比如DMZ区、核心生产网络等，这些都是要重兵把守的地方，重要网络区域相关的南北向流量一定要收集全，如果有条件还可以收集东西向的流量。
东西向的流量往往量很大，可以考虑对东西向的流量进行筛选后进行监控，如只监控非文件传输的http小流量包。
对于其他非重要网段，根据各企业投入的情况可以选择性的进行监控，不过南北向的流量尽可能收集全，在实战中这部分流量对于横向移动的发现有着至关重要的作用。
对于流量的需求梳理清楚后，安全再拿着清单去找网络和运维部门沟通流量镜像到安全设备上。
最后别忘了验证一下有效性，复核一下流量日志是否包含了清单中的网段，有条件的可以借助BAS（入侵与模拟攻击）系统进行自动化验证。

1.2 规则准确度

首先，所有检测监控类的流量设备必须在临战前将规则库更新到最新版本。
针对规则准确度重点关注以下两个维度：

规则的误报
规则的漏报

1.2.1 误报

海量的规则逐条去验证不现实，高效的做法是重点review阻断类规则的误报，比如waf和自动化封禁规则，即使是在特殊时期也不能因为误拦截中断业务。
针对waf，首先要梳理出一份自动封禁的规则清单。我们目前经过了长期运营，已经形成了准确度较高的封禁规则库，然后将近三个月内所有历史封禁记录进行逐一核对，观察触发封禁规则流量包的特征，看是否有误报的情况。
如果确认是误报，是规则的问题就去改规则，是业务流量的问题就需要和相应系统的负责人沟通。根据经验这种情况很可能业务功能设计还有优化空间，需要研发配合对相应功能进行更新。

1.2.2 漏报

判断是否有漏报，首先要有一份高危漏洞清单，然后逐一对照验证检测防护设备是否具备相应的检测规则，是否开启了对应规则的告警。有条件的可以借助BAS（入侵与模拟攻击）系统进行自动化验证，或者由内部蓝军配合构造相应的攻击流量，验证规则的有效性。
对于一些非标准特征攻击流量漏报的情况，需要制定自定义规则，通常是通过正则表达式来定义。对于阻断类的自定义规则，部署生产前一定要在测试环境做好充分测试，在部署到生产环境后建议在监控模式下运行一段时间，再决定是否开启阻断，防止误报影响业务。自定义规则需要限制到具体的url，为了保证性能，不要配置全局自定义规则。

1.3 关注设备性能

演练期间可能会遇到高频攻击的场景，在面临高强度分布式的攻击时，各类安全设备的性能有可能会成为瓶颈，在平时的安全防护中可能遇不到，也是容易被忽略的地方。

我们在红蓝对抗的过程中就发现了如下情况，我们的自动化封禁是通过SOAR联动旁路阻断实现的，但是在实际红蓝对抗中会遇到短时间内对大量封禁IP的场景，直接导致SOAR的性能飙满，甚至出现了剧本执行失败的情况。
所以演练前建议对所有安全设备进行一次性能巡检，对于使用频率高的设备，最好能预留出50%的性能，性能不足的话事前及时进行扩容，别等到打起来的时候枪突然不能用了。

二、 主机防护体系

主机安全是另一道保护屏障，常见的防护手段有防病毒、HIDS、EDR、防篡改、RASP等，来自终端的异常告警通常是比较准确的。当攻击者通过0day攻击绕过了流量监控，主机安全检测就起到了至关重要的作用，特别是在内网战场上，对于横向移动的对抗非常有效。
对于有条件和精力的防守单位，可以考虑在演练期间多部署几类设备，不仅可以在实战中测试相关产品的可用性，也可以形成异构检测能力，达到互补的效果。
和流量监控一样，主机安全同样需要关注覆盖率和规则情况。

2.1 主机安全监控安装覆盖率

计算覆盖率就要知道总共有多少台主机（分母）、有多少已经安装（分子），分母可以从cmdb系统中去拉取全量清单，分子则可以到相应的主机安全管理后台获取。
两个清单梳理出来之后，通过对比，重点找到那些还没安装的主机，梳理出来待安装主机的数量很可能非常大，没有太好的办法，只能与相应的负责人逐一沟通部署，查缺补漏，其实安全运营工作没有捷径，就要多下笨功夫。

2.2 主机可用性

端侧的安全防护通常离不开agent，各种agent很可能与现有的软件体系不兼容，严重的还会导致系统宕机。
如果演练前为了增强防护能力临时安装各类agent，没有经过充分测试的话，很可能会出现系统稳定性的问题，要明白业务的正常运行一定比安全监控更重要。
所以针对主机的安全防护，一定要多安排些时间，提前组织相关产品的测试工作，赶鸭子上架往往会带来各种各样的问题。

2.3 规则准确度

首先，还是要保证所有设备的规则都升级到最新，保证各设备都能以最佳状态来应战。
终端的运行场景是非常复杂的，所以平时对于规则的运营更要精细化。特别是新部署的产品，误报量比较大，有些服务器上还会同时运行着多个有监控功能的agent，还会造成互相告警的情况。前期对主机安全设备的告警进行一次集中运营，误报规则及时加白名单，可减轻演习期间的告警处置压力。

2.4 策略配置

对于服务器上重点监控的目录，可以通过防篡改、HIDS设置一些监控策略，当目录下的文件发生变化，可以及时告警，此项策略对于文件上传/写入类的攻击非常有效。在一次国家级演习的过程中，就是通过防篡改的告警成功阻断并捕获了0day攻击。
很多终端安全产品可以设置重保模式，对于告警的粒度会更加精细，检测也更加严格，可以根据自身的需要选择性开放，建议可以在开发测试环境开启，生产环境谨慎。

三、 小结

此阶段工作至少要产出以下交付物：网段清单、自动封禁规则清单、高危漏洞清单、高危漏洞检测结果表、cmdb资产清单、终端安全部署清单。

经过长期的运营，我已梳理了一份简易版高危漏洞必修清单，可供大家参考。关注公众号，回复“漏洞必修清单”即可获取。

如果这篇文章你只能记住一件事，那请记住：让监控体系覆盖全面，让规则更精准。

原创 十九线菜鸟学安全