i黑马：攻防演练及小规模网络对抗的战术，对抗中的主动防御( 七 ) 01

组织建设一支高效的应急小组，他们可以负责在前期进行必要的风险评估和修补，也负责在发生事件时进行处置；
全面进行弱口令排查；
建立一个“非白即黑”的处理机制，在确定发现攻击后，马上进行封堵。这里面有可能因为分析能力的不完善出现漏判和误判，需要应急小组能够进行紧急响应；
对1day漏洞进行专项跟踪，并对有可能受其影响的设备进行排查和修补；
采购或租用蜜罐/蜜网，他们能极大地减缓攻击成功的时间，消耗攻击者的精力，好的蜜罐还能进行溯源。可以为防御创造更多的时间，为反击提供可能；
采购各类自动化工具，协助和武装安全管理员和应急小组，使他们能够更快速、更高效地发挥战斗力。自动化工具的采购步骤，请依据实际的预算和安全基础建设成熟度逐步采购；
组建或租用安全服务团队，一方面进行安全性测试或者红蓝对抗测试，另一方面更有体系的长期进行安全事件处置和规划动态安全防御体系。
16
信息安全负责人和项目经理既要积极主动，又要坚决果断
信息安全负责人和项目经理是整个网络对抗的总负责人，在整个工作中起到至关重要的作用。自古既有“物勒工名，以考其诚；工有不当，必行其罪”的说法。
总负责人既然要负起全部责任，就必须被赋予相应的权利。经常会遇到这样的场景：某些业务系统有极大的安全隐患，但是安全负责人不敢或者无法有效协调业务部门负责人，最终导致该业务系统被攻破。如果希望在网络对抗中达到效果，就需要组织高层在这些方面赋予相应的权利。
另外我曾经经常遇到的场景，也是特别需要注意的，在组织协调中，往往会出现“@甲、@乙、@丙，你们处理一下”这种情况。在这种工作安排下，一般被安排到的那个部门或者责任人都不会去很好地处理，这种工作安排实际上是一种“懒政”的表现。合理的安排应该是“@甲，授权全权负责该事情， @乙和@丙全力配合” 。
17
结尾
感谢看到结尾。以上写到的内容，都是从实操出发，针对小规模的攻击和攻防演练提出的。
【i黑马：攻防演练及小规模网络对抗的战术，对抗中的主动防御】对于“小规模”的理解：我认为小规模大致应该是持续数月、商业黑客或敌对组织攻击级别（非国家级）、会少量使用0day（具备一定的0day挖掘能力）、较大量使用社工手段（包括钓鱼等）和1day漏洞、不以DDoS为目的、具备完善的Web、APP和内网攻击等能力，具备一定的工控网络攻击能力，具备一定APT能力，不具备定向攻击能力（例如专门针对某一设备或工业组织），不具备全网攻击0day（例如某骨干网基础传输协议或设备的0day等），不具备通杀型0day（例如某常见操作系统远程溢出root权限0day等），不具备复杂工具制作能力，以窃取某些特定资料、信息或取得某些权限为目的的有组织的攻击行为。