攻防演练 | 如何做好一名优秀的蓝队(外网篇)
💡
原文中文,约900字,阅读约需3分钟。
📝
内容提要
本文参考ATT&CK模型,分析攻击和防守的攻防演练,重点关注侦查、资源开发和初始访问三个模块,通过指纹识别找到异常流量和可能存在攻击行为的IP。
🎯
关键要点
- 攻防演练考验攻击队和防守方的能力。
- 本文参考ATT&CK模型,分析侦查、资源开发和初始访问三个模块。
- 侦查阶段,攻击者通过主动和被动方式收集目标信息。
- 时间纬度分析可通过短时间内大量请求发现异常流量。
- 指纹纬度分析通过威胁情报识别可能存在攻击行为的IP。
- 场景维度分析关注异常流量与日常流量的冲突。
- 正常浏览器加载时不会只加载一个页面,需关注整体场景。
❓
延伸问答
攻防演练的主要考察内容是什么?
攻防演练主要考察攻击队的攻击能力和防守方的防御能力。
ATT&CK模型在攻防演练中如何应用?
ATT&CK模型用于分析侦查、资源开发和初始访问三个模块的攻击手法。
侦查阶段攻击者通常采用哪些方式收集信息?
攻击者通常通过主动和被动方式收集目标的子域名、指纹和供应链等信息。
如何通过时间纬度分析发现异常流量?
可以通过短时间内大量请求指向不同域名来发现异常流量,并进行统计分析。
指纹纬度分析在防守中有什么作用?
指纹纬度分析可以通过威胁情报识别可能存在攻击行为的IP,从而提高防守效率。
场景维度分析如何帮助识别攻击者?
场景维度分析关注异常流量与日常流量的冲突,帮助识别与正常行为不关联的流量。
➡️
